Ab Montag gibt es wieder digitale Impfnachweise in Apotheken
Wer einen digitalen Impfnachweis über die Corona-Warn-App oder Covpass erhalten möchte, kann das ab kommenden Montag wieder bei teilnehmenden Apotheken tun. Das Bundesgesundheitsministerium teilte der Deutschen Presse-Agentur am Freitag mit, Apotheken würden in der nächsten Woche nach und nach wieder Zugang zum Portal des Deutschen Apothekerverbands (DAV) bekommen und somit wieder Impfzertifikate aushändigen können.
Am Mittwochnachmittag wurde der Zugang auf das Portal kurzerhand gesperrt, nachdem zwei Sicherheitsforscher eine Sicherheitslücke gefunden hatten. Ihnen war es gelungen, über einen Gastzugang mithilfe gefälschter Dokumente eine Schein-Apotheke zu registrieren, die daraufhin zwei Impfzertifikate ausstellte. Anschließend informierten die Experten den DAV darüber, der das System erst einmal komplett abstellte.
Laut Gesundheitsministerium waren von der Sicherheitslücke nur die wenigen Hundert Apotheken betroffen, die nicht Mitglied des DAV sind. „Alle erteilten Zugänge werden bereits überprüft und verifiziert“, heißt es. Offenbar erhalten am Montag zunächst nur die DAV-Mitglieder Zugriff, während die Gastzugänge zunächst eingeschränkt sind. Inwiefern das System zusätzlich gesichert wurde, ist nicht bekannt. Der Verband sieht offenbar keine elementaren Sicherheitslücken, sondern erklärt, dass man Opfer von „professionell gefälschten Dokumenten“ wurde.
Sicherheitsexperten bleiben skeptisch. So hatte das Onlinemagazin watson.ch zuvor berichtet, wie im Internet mit deutschen Impfzertifikaten gehandelt wird – zwischen 150 und 300 Euro soll es kosten. „Die digitalen Zertifikate wurden mutmaßlich durch missbräuchlichen Zugriff auf ein entsprechendes IT-System des deutschen Apothekenverbandes generiert“, schreiben die Autoren. Der DAV dagegen sagte noch vergangene Woche, man habe „keinerlei Hinweise, dass in deutschen Apotheken Impfzertifikate ohne das Vorliegen der entsprechenden Rechtsgrundlage erstellt worden sein könnten“. Auch nach den jüngsten Erkenntnissen glaubt der Verband, dass lediglich die zwei gefälschten Zertifikate im Umlauf sind.