Zertifikate-Fiasko: DAV sieht keine eigenen Fehler Tobias Lau, 12.08.2021 13:46 Uhr
Mehr als zwei Wochen strapazierten der Ausfall des Impfzertifikatemoduls und die anschließenden gravierenden Störungen die Nerven der Apothekenteams. Unterdessen standen Kund:innen in der Offizin und mussten vertröstet werden – ohne dass man ihnen vorhersagen konnte, wann sie wieder digitale Impfzertifikate erhalten würden. Denn der Deutsche Apothekerverband (DAV) hatte das Portal ohne Vorwarnung abgeschaltet und die Apotheker:innen daraufhin nur häppchenweise informiert. Entsprechend groß war der Frust, zahlreiche Kolleg:innen forderten – auch personelle – Konsequenzen beim DAV. Doch sie werden enttäuscht, der DAV sieht keine eigenen Fehler – der Umzug des Moduls in die Telematikinfrastruktur (TI) sei bereits Konsequenz genug.
Auf die Apotheken war es in den vergangenen Wochen von allen Seiten eingeprasselt. Die Zertifikatsausstellung funktioniere nicht wegen „Sicherheitsrisiken in den Apotheken“, hieß es in der Tagesschau. Publikums- und Fachmedien berichteten ausführlich über den Ausfall des Portals und seine Ursachen. Technisch-organisatorische Hintergründe und Strukturen von DAV über Gematik bis IBM sind dabei den allermeisten Kunden fremd oder gänzlich egal – was zählt, ist, dass sie in den Apotheken standen und nichts funktionierte. Die wiederum konnten ihnen auch keine klaren Angaben machen, wann es denn wieder rund laufen würde, schließlich hatten sie die meisten Informationen selbst nur aus der Presse.
Als das Modul wieder am Netz war, sah es oft nicht anders aus: Vor allem in den Kernöffnungszeiten standen Kund:innen oft vor Apothekenmitarbeiter:innen, die minutenlang ihr Bestes gaben, aber wegen ständiger Fehlermeldungen keine Zertifikate erstellen konnten. So wie es auch schon beim ersten Launch des Portals außerhalb der TI der Fall war: „Die Apotheke war völlig überfordert. Der Server lief nicht rund, das Portal hängte sich ständig auf und die Mitarbeiter hatten nur eine ungenügende Einweisung erhalten, wie das zu bedienen ist“, erzählte IT-Journalist Gerd Himmelein kürzlich aus seiner Kundenperspektive. „Ich dachte mir dann, das lief jetzt aber nicht so rund.“ Die Hilflosigkeit angesichts des ausgefallen und später fehlergeplagten Portals führten so weit, dass sich einzelne Apotheker:innen selbst auf die Suche nach Workarounds machten und lernten, die Fehler zu handhaben.
Am Image der Apotheken bei den Kunden habe all das allerdings nicht gekratzt, ist sich der DAV sicher. Im Gegenteil: Viel wichtiger sei, dass die Apotheken überhaupt Impfzertifikate ausgestellt haben, und zwar mehr als 30 Millionen innerhalb weniger Wochen. Damit hätten sie „für sehr viele Menschen als erste und einzige Dienstleister einen solchen Service angeboten und damit letztlich auch vielen Familien einen unbeschwerten Sommerurlaub ermöglicht“, erklärt der DAV auf Anfrage.
Vielmehr hätten die Apotheken trotz des Ausfalls, der Darstellung der Sicherheitslücken in der Presse und der anschließenden Performanceprobleme des Portals gegenüber den Kunden ihre eigene IT-Kompetenz präsentiert: „Vor-Ort-Apotheken werden damit mehr denn je als digital affine Problemlöser und Troubleshooter in der Pandemie wahrgenommen. Daran ändert die kurzfristige Nicht-Verfügbarkeit des Portals aus Sicherheitsgründen im Grundsatz nichts“, so der DAV.
Ohnehin teilt der DAV offensichtlich nicht die Problemanalyse der IT-Experten: „Es gab keine Sicherheitslücke im eigentlichen Sinne“, erklärt er. Weder seien Daten gehackt worden noch sei das System an sich kompromittiert worden. Mit dem ersten Teil hat der DAV tatsächlich recht: Dem Problem lag keine IT-Sicherheitslücke im engeren Sinne zugrunde, sondern die Tatsache, dass der DAV die Zugangsanträge offensichtlich nicht geprüft hatte. Ob das System wirklich nicht kompromittiert ist, wenn jeder Antrag einfach ohne Prüfung durchgewinkt wird, ist allerdings mindestens diskutabel.
Die IT-Sicherheitsexperten Dr. André Zilch und Martin Tschirsich hatten sich nach eigenen Angaben bei der Erstellung des Antrags absichtlich dilettantisch angestellt, die Betriebserlaubnis hatten sie mit einem kostenlosen Bildbearbeitungsprogramm gebastelt, die TI-Nummer willkürlich zusammengestellt und die Apotheke selbst einfach erfunden, samt Adresse in einem zehnstöckigen Mehrfamilienhaus. „In diesem ganzen Antrag waren so viele absichtliche Fehler drin, dass man das mit einer einfachsten Prüfung hätte erkennen müssen“, sagt Zilch. Dass er dennoch nicht als die plumpe Fälschung zu erkennen war, um die es sich handelte, lag laut DAV an den Gastzugängen für Nichtverbandsmitglieder. Denn deren Schaffung habe „die Prüfung der Authentizität von Registrierungsanträgen schwieriger gemacht“.
Zilch und Tschirsich hatten nach Veröffentlichung der Sicherheitsmängel nicht nur das Verfahren an sich kritisiert, sondern auch die Reaktion des DAV. Das Handelsblatt hatte den nämlich mit den Recherchen der beiden konfrontiert. Zilch und Tschirsich sind keine unbeschriebenen Blätter, sie spüren regelmäßig Sicherheitslücken auf und konfrontieren daraufhin die betroffenen Unternehmen und Behörden mit ihren Rechercheergebnissen, oft in Zusammenarbeit mit Medien, die darüber berichten „und normalerweise gibt es dann als Reaktion erst einmal ein Gespräch mit den Verantwortlichen, bei dem es auch um die Lösung des Problems geht“, erklärt Tschirsich.
Anders beim DAV: Der hatte ohne jegliche Rückmeldung direkt das Portal abgeschaltet. Warum er so vorgegangen ist, verrät der Verband nicht. Er betont nur, dass er „lediglich von einem Journalisten des Handelsblatts auf die Erzeugung des unrechtmäßigen Zugangs hingewiesen worden“ sei und diesen Zugang umgehend identifiziert habe. „In Abstimmung mit dem Robert Koch-Institut und dem Bundesgesundheitsministerium wurde das Portal vorsorglich geschlossen, um weitere Sicherheitsprüfungen vorzunehmen.“
Nach jenen Sicherheitsprüfungen wurde das grundlegende Konzept des Moduls geändert: Statt einer Anwendung, die über das DAV-Portal im freien Internet erreichbar ist, erfolgt die Ausstellung der Zertifikate nun innerhalb der TI – wie es das Bundesgesundheitsministerium (BMG) ursprünglich gefordert hatte. Die TI-Migration sieht der DAV als Erfolg, schließlich ging das Portal nur eine Woche nach der Abschaltung wieder ans Netz, auch wenn er dabei verschweigt, dass Umfragen zufolge zu Beginn der darauffolgenden Woche rund 30 Prozent der Apotheken das Portal noch nicht wieder nutzen konnten. Dennoch: seinen Teil der Arbeit hatte der DAV innerhalb einer Woche erledigt. „In dieser kurzen Zeit ist in Abstimmung mit BMG, RKI, IBM, Gematik und ADAS die technische Einbindung des Fachmoduls in die TI gelungen. Gemessen an den bisher für Fortschritte in der TI benötigten Zeithorizonte war das ein extrem kurzer Zeitraum.“
Dass während dieser Woche und darüber hinaus die meisten Apotheken im Dunkeln tappten, zuerst aus der Presse von den wahren Ursachen der Abschaltung erfuhren und auch danach nur tage- und stückchenweise vom DAV über den Verlauf der Ereignisse erfuhren, war aus Verbandssicht unvermeidbar. Denn: „Der wichtigste Punkt beim Krisenmanagement ist die Gefahrenabwehr.“ Und dabei habe der DAV mit dem schnellen und vorsorglichen Abschalten des Portals konsequent gehandelt, was er auch öffentlich kommuniziert habe – wenn auch, wie er verschweigt, erst einen Tag später mit der fragwürdigen Begründung, dass es sich bei den Anträgen um „professionelle Fälschungen“ gehandelt habe. Über die weiteren Schritte – beispielsweise die TI-Migration oder die notwendigen Änderungen in den Netzwerkkonfigurationen – klärte der DAV stets erst auf, nachdem die Probleme bereits von Dritten thematisiert worden waren. Mehr Transparenz war aber aus DAV-Sicht nicht möglich, denn: „Die an sich wünschenswerte Vorabinformation von Landesverbänden und Apotheken musste hinter diesem Sicherheitsaspekt zurückstehen.“
Entsprechend sieht der DAV auch keinen Grund, den Forderungen nach organisatorischen oder personellen Konsequenzen nachzukommen. „Mit der Einbindung der Zertifikatsausstellung in die TI-Umgebung wurde bereits eine wichtige Konsequenz gezogen“, erklärt er und deutet ganz im Gegenteil zur viel geäußerten Kritik an, dass es sich bei der Krise eher um eine unerwartete Erfolgsgeschichte handele. Schließlich sei nicht nur durch die schnelle Implementierung des ursprünglichen Portals die Ausstellung von über 30 Millionen Impfzertifikaten ermöglicht worden, sondern er habe mit der Migration des Zugangs zur Zertifikatsausstellung in die TI auch „in kürzester Zeit eine der ersten echten Nutzwertanwendungen in der TI geschaffen“, so der DAV. „Insofern ist und bleibt das Fazit positiv.“