So leicht war das DAV-Portal zu knacken Tobias Lau, 23.07.2021 12:09 Uhr
Wegen einer Sicherheitslücke im DAV-Portal können die Apotheken aktuell keine Impfzertifikate ausstellen. Die IT-Sicherheitsexperten Dr. André Zilch und Martin Tschirsich haben das System in nur 48 Stunden geknackt. Im Gespräch mit APOTHEKE ADHOC erklären sie, wie erschreckend einfach das war.
Jeder mit genug krimineller Energie konnte sich ohne allzu große Fachkenntnisse einen Zugang zum DAV-Portsal erschleichen und danach echte Impfzertifikate ausstellen – denn der DAV hat keinerlei Prüfung der angegebenen Daten vorgenommen. Tschirsich und Zilch haben keineswegs kriminelle Energie, sondern im Gegenteil: Die beiden IT-Experten, die 2019 bereits die Schwachstellen bei der Ausstellung der SMC-B für den Anschluss an die Telematikinfratruktur (TI) öffentlich gemacht hatten, tun dies mit dem Ziel, dass gerade solche Sichehreitslücken geschlossen werden.
Wie groß diese Lücke im jetzigen Fall war und wie schnell es ging – davon waren sie selbst überrascht. „Sonntag fiel die Entscheidung, dass wir das demonstrieren müssen, denn es ist wie mit des Kaisers neuen Kleidern: Bevor das Kind es nicht ausspricht, passiert nichts“, erzählt Tschirsich. Also setzten sie sich Sonntagnachmittag an den Computer und bearbeiteteten mit dem kostenlos downloadbaren Grafikprogramm GIMP eine Betriebserlaubnis, die sie von der Homepage einer echten Apotheke hatten. „Ich bin absolut kein Grafiker oder Bildbearbeiter. Das war weit entfernt von einer professionellen Fälschung“, sagt er. Doch das reichte. „Der DAV möchte ja gar keine Betriebserlaubnis sehen, sondern nur ein Bild davon.“
Sie erfanden dabei einfach die Sonnen-Apotheke – davon gibt es schließlich etliche in Deutschland – und machten den gesamten Antrag leicht als Fälschung erkenntlich. „In diesem ganzen Antrag waren so viele absichtliche Fehler drin, dass man das mit einer einfachsten Prüfung hätte erkennen müssen“, sagt Zilch. Besonders gravierend: Die 19-stellige TI-Nummer sei komplett willkürlich zusammengestellt gewesen. Doch auch die Apotheke selbst war ganz offensichtlich erfunden: „Die Adresse gehörte zu einem zehnstöckigen Mehrfamilienhaus, man hätte nur bei Google Maps schauen müssen, um das zu erkennen – oder die angegebene Telefonnummer anrufen, die gar nicht zu einer Apotheke gehört.“ Den zur Registrierung ebenfalls erforderlichen Nachweis des Nacht- und Notdienstfonds (NNF) zu fälschen, sei noch leichter gewesen, schließlich habe es sich lediglich um einen einfachen Brief ohne Sicherheitsmerkmale gehandelt. Die notwendigen Informationen hätten sie aus dem Internet und mit ein paar Nachfragen bei Apothekern zusammenbekommen.
Sonntagabend, kurz nach 18 Uhr sendeten sie den Antrag ab – Montagmorgen, 9.50 Uhr sei bereits die Bestätigungsmail gekommen. Und auch der Postversand habe nicht lange auf sich warten lassen: „Bereits am Dienstag lag der Brief mit dem Aktivierungscode im Briefkasten des Mehrfamilienhauses“, erklärt Zilch. Sein Fazit zur Überprüfung der Angaben ist eindeutig: „Zum einen wurde da ein völlig falscher Prozess gewählt, aber selbst der wurde noch so unzureichend durchgeführt, dass es ohne Probleme möglich war, sich einen Zugang zu erschleichen.“ Besonders auffällig: Die Vorgehensweise war im Wesentlichen dieselbe wie Ende 2019 beim mittlerweile berüchtigten „Käsetheken-Hack“ der TI-Zugangskarten. „Die haben offensichtlich nichts daraus gelernt“, sagt Zilch.
Nun mussten sie nur noch demonstrieren, dass es auch funktioniert – wollten sich dabei aber nicht angreifbar machen. „Wir hatten bereits den Knopf, um alles zu machen. Allerdings wollten wir nicht gegen Recht und Gesetz verstoßen“, sagt Tschirsich. Also machten sie sich auf die Suche nach einem Apotheker, der ihnen hilft. „Von den 48 Stunden, die das alles gedauert hat, brauchten wir 20, um einen Apotheker zu finden, der das für uns macht.“ Und es klappte: Am Ende ließen sie von einem echten Apotheker ein echtes Impfzertifikat für eine echte Person ausstellen – aber eben über den erschlichenen Zugang. „Jemand mit krimineller Energie hätte den Zugang nutzen können, um unzählige Zertifikate auszustellen, die echt sind, aber falsche Daten angeben.“
Die Abda will noch davon ausgehen, dass die mehr als 25 Millionen Impfzertifikate, die bisher über Apotheken ausgestellt worden sind, „alle von rechtmäßig registrierten Apotheken ausgestellt wurden“. Doch Zilch kommt zu einem anderen Schluss: „Die Behauptung des DAV, dass sie keine gefälschten Zertifikate entdecken können, ist gewissermaßen richtig, aber nur, weil das technisch gar nicht geht. Falls es welche gibt, kann das der DAV gar nicht feststellen.“
Die IT-Experten hatten den „Hack“ zunächst dem Handelsblatt preisgegen. Gegenüber der Zeitung kommt Zilch zu einem konsequenten Schluss: „Die einzige ehrliche Lösung wäre, die Millionen von Impfnachweisen, die über das DAV-Portal ausgestellt wurden, allesamt für ungültig zu erklären.“