Die beiden IT-Experten, die das Sicherheitsleck im DAV-Portal aufgedeckt haben, erheben schwere Vorwürfe gegen den Deutschen Apothekerverband (DAV): Die Sicherheitsrisiken seien Verband und Bundesgesundheitsministerium (BMG) seit Wochen bekannt gewesen, genauso wie die Tatsache, dass bereits mit offenbar rechtswidrig erstellten Zertifikaten aus dem DAV-Portal gehandelt wird. Trotz mehrmaliger Warnungen hätten Verband und Politik aber nicht reagiert – und als sie mit der bevorstehenden Berichterstattung konfrontiert wurden, hätten sie dann ohne Rücksprache den Stecker gezogen.
Der DAV wusste Bescheid, hat aber nicht gehandelt, bis es aus seiner Sicht zu spät war. Dann hat er in einer Kurzschlussreaktion die Impfzertifikate-Funktion im Portal abgeschaltet, ohne auf die Konfrontation des Handelsblatts zu reagieren und ohne die Apotheken über die Probleme zu informieren – so lassen sich die Vorwürfe zusammenfassen, die die IT-Experten Dr. André Zilch und Martin Tschirsich gegenüber dem DAV erheben. Beide hatten den Aufbau der Infrastruktur für die Zertifikate von Beginn an begleitet und bereits Vorschläge gemacht, wie die Sicherheitsarchitektur ihrer Auffassung nach aussehen sollte, und dabei für die Nutzung der Telematikinfrastruktur (TI) plädiert. Doch die politischen Erwartungen wogen offensichtlich schwerer.
„Dann gab es die Aussage von Herrn Minister Spahn, dass es am Montag losgehen sollte, die Apotheken waren noch gar nicht informiert“, sagt Tschirsich. „Unterdessen hatte der DAV das Portal schon am Netz – es entsprach aber gar nicht den Anforderungen. Das Sicherheitsniveau war von Anfang an unter dem, was das BMG in der Ausschreibung gefordert hatte, nämlich eine 2-Faktor-Authenthifizierung und Ausstellung über die TI.“ Erst nachdem das BMG den Auftrag für den Betrieb des Servers per Direktvergabe an IBM und Ubirch vergeben hatte, seien Erwägungen angestellt worden, wie die unterschiedlichen Zertifikatsaussteller – Apotheken, Arztpraxen, Impfzentren – an den Server angebunden werden sollen.
Die Ärzteschaft hatte sich klar positioniert: Sie könne die nötigen Strukturen so schnell nicht aufbauen. „Im Gegensatz dazu hatte der DAV wohl ein sehr gutes Gespür, dass er das über sein Portal einrichten kann. Unter dem politischen Druck, dass es so schnell fertig sein musste, wurde dann entschieden, das DAV-Portal anzuschließen“, so Tschirsich. „Auf Ärzteseite gab es denselben Zeitdruck, doch man hat sich entschieden, auf die Telematik-Infrastruktur zu setzen, während der DAV sein über das offene Internet zugängliche Portal benutzt.“ Wer die Verantwortung trägt, ist für ihn klar: „Das BMG hat unter dem politischen Druck, unter den es sich selbst gesetzt hat, diese ausgestreckte Hand des DAV entgegengenommen. Es ging um reine Geschwindigkeit, denn es gab auch das Ziel, eines der ersten EU-Länder zu sein, das die Zertifikate anbietet.“
Diese Geburtsfehler hat die Zertifikate-Anwendung nach Darstellung der beiden bis jetzt mit sich herumgeschleppt – und sie seien dem DAV keineswegs erst diese Woche bekanntgeworden. Im Gegenteil: Die Schwachstellen, die nun zur Abschaltung führten, seien bereits seit Wochen bekannt gewesen. „G Data hatte bereits auf die Probleme hingewiesen und auch Watson hatte bereits darüber berichtet, dass auf Telegram für 140 Euro, die in Kryptowährung zu bezahlen sind, in der Schweiz deutsche Impfzertifikate angeboten wurden, die alle aus dem DAV-Portal kamen“, so Tschirsich. „Das sind offensichtlich vorliegende Mängel, aber die wurden von den Verantwortlichen übergangen.“
Tatsächlich hatte G Data bereits Ende Juni den Zertifikateservice des DAV zerlegt. Es gebe „einige eklatante Schwachstellen hinter den Kulissen, die das gesamte Konzept hinfällig machen könnten und die einige mehr als unbequeme Fragen aufwerfen“, hieß es bereits damals. Die Schweizer Nachrichtenseite Watson wiederum hatte berichtet, dass über verschlüsselte Messenger Impfzertifikate als PDF-Dateien verkauft würden, die „mutmaßlich durch missbräuchlichen Zugriff auf ein entsprechendes IT-System des deutschen Apothekenverbandes generiert“ worden seien.
Der DAV hatte darauf geantwortet, dass es bislang keinerlei Hinweise gebe, „dass in deutschen Apotheken Impfzertifikate ohne das Vorliegen der entsprechenden Rechtsgrundlage erstellt worden sein könnten“, wird Abda-Sprecher Dr. Reiner Kern auf der Seite zitiert. Zilch erklärt dazu: „Es ist wichtig, festzuhalten, dass es sich bei den verkauften Zertifikaten nicht um gefälschte Zertifikate handelt, sondern um echte Zertifikate auf Grundlage falscher Angaben. Es gibt deshalb gar keine technische Möglichkeit, diese als Fälschungen zu enttarnen.“
Auch die Politik sei bereits mehrfach vor den konkreten Sicherheitsrisiken, die vom DAV-Portal ausgingen, gewarnt worden – von den beiden IT-Experten persönlich. „Wir selbst haben sogar im Bundestag darauf hingewiesen. Am 15. Juli habe ich auf Einladung von Manuel Höferlin der FDP im Unterausschuss Pandemie eine Stellungnahme abgegeben, in der ich klargemacht habe, dass das geforderte Sicherheitsniveau unterlaufen wurde und deshalb davon auszugehen ist, dass unberechtigte Zertifikate in Umlauf gelangt sind“, so Tschirsich. Bislang habe aber weder das BMG noch der DAV dafür Verantwortung übernommen.
Erst nachdem sie feststellen mussten, dass trotz wochenlanger Warnungen offensichtlich niemand handeln will, hätten sie sich entschieden, praktisch zu demonstrieren, welche massiven Schwachstellen die Sicherheitsarchitektur des DAV-Portals hat. Um die nötige Aufmerksamkeit zu erhalten, holten sie das Handelsblatt ins Boot. Das wiederum konfrontierte am Mittwoch den DAV über die Aktion der beiden Sicherheitsexperten. Der wiederum reagierte offenbar panisch. „Ursprünglich hatten wir eine Veröffentlichung dazu für Freitag geplant, nachdem wir zuvor mit dem DAV in Austausch gegangen wären“, erzählt Tschirsich.
Doch dazu kam es nicht. „Wir weisen Unternehmen oder andere Institutionen regelmäßig auf Sicherheitslecks hin und normalerweise gibt es dann als Reaktion erst einmal ein Gespräch mit den Verantwortlichen, bei dem es auch um die Lösung des Problems geht. Das ist hier alles nicht passiert“, so Tschirsich. Statt auf die Befunde zu reagieren und sich mit den beiden IT-Experten ins Vernehmen zu setzen, schaltete der DAV die Portalfunktion ab – und informierte weder die Apotheken noch die Öffentlichkeit. Erst am Donnerstag – einen Tag vor der geplanten Veröffentlichung durch das Handelsblatt – brachte der DAV dessen Recherchen mit einer Stellungnahme an die Öffentlichkeit. „Der DAV hat das, ohne auf unsere Befunde zu antworten, auf eigene Faust am Donnerstag öffentlich gemacht und selbst die Infrastruktur abgestellt. Das war gar keine Forderung von uns.“
In den Apotheken herrschte unterdessen Rätselraten. Das Portal – das vor allem zu Beginn häufig nicht richtig funktioniert hatte – zeigte plötzlich eine bis dato nicht gesehene Meldung an: „Aktuell ist die Ausstellung von digitalen Impfzertifikaten nicht möglich. Sobald die Ausstellung von digitalen Impfzertifikaten für ihre Apotheke wieder möglich ist, informieren wir Sie umgehend.“ Aus Zilchs Sicht war das der nächste Fauxpas: „Auch die Fehlermeldung in den Apotheken war irreführend. Da wurde der Eindruck erzeugt, dass nur die jeweilige Apotheke betroffen ist. Natürlich haben viele Apotheken gesagt, dass es bei ihnen gerade nicht geht. Da sind Menschen von einer Apotheke zur anderen gelaufen auf der Suche nach einer, in der es funktioniert.“
Der DAV wiederum weist die Vorwürfe zurück. Der Verband habe „erstmals am Mittwoch, 21. Juli 2021, im Zusammenhang mit einer Anfrage des Handelsblatts von dieser 'Sicherheitslücke' erfahren“, heißt es auf Anfrage. Das Handelsblatt habe den DAV darauf hingewiesen, dass es ihnen gelungen ist, mit Hilfe gefälschter Dokumente einen Zugang zu erschleichen. „Der DAV hat daraufhin sofort den Zugang zur Funktion der Ausstellung der Zertifikate eingestellt, um einerseits in eine sofortige Klärung mit dem BMG einzusteigen und andererseits nochmals alle angemeldeten Betriebsstätten von Nicht-Verbandsmitgliedern überprüft.“
Tschirsich und Zilch nehmen dem Verband das nicht ab – er habe nicht überrascht sein können von ihren Befunden. „Auch dem DAV waren diese Lücken seit Wochen bekannt. Es hat sich durch uns de facto nichts geändert. Beim vorherigen Watson-Artikel wurde bereits entscheiden, nichts zu machen“, sagt Tschirsich. Aus seiner Sicht wäre all das vermeidbar gewesen – hätte der DAV, wie vom BMG eigentlich vorgeschrieben, auf die sichere TI gesetzt. „Die Zeit war völlig ausreichend, um die Apotheken genau wie die Praxen mit einem an die TI angebundenen Service auszustatten“, sagt Tschirsich. „Warum bauen wir denn eine digitale Infrastruktur wie die TI auf, wenn wir sie dann nicht nutzen? Der Schaden, der dadurch entsteht, dass es jetzt nicht geht, ist einzig auf die Bequemlichkeit des DAV zurückzuführen, dass er das aussitzen wollte.“
APOTHEKE ADHOC Debatte