Die IT-Sicherheitsexperten Dr. André Zilch und Martin Tschirsich haben in nur 48 Stunden eine Sicherheitslücke im DAV-Portal aufgedeckt. Der DAV hat das Ausstellen digitaler Impfzertifikate über das Portal gestoppt. In der kommenden Woche soll das Ausstellen der Zertifikate wieder möglich sein.
„Aufgrund eines Hinweises auf eine potentielle Schwachstelle beim Zugang zum Webportal des Deutschen Apothekerverbands (DAV) wurde die Ausstellung von Impfzertifikaten über dieses Webportal vorübergehend deaktiviert“, erklären DAV und Bundesgesundheitsministerium (BMG) heute in einem gemeinsamen Statement. Potentiell seien nur die wenigen hundert Apotheken betroffen, die nicht Mitglied des DAV sind. Außerdem würden alle erteilten Zugänge bereits überprüft und verifiziert.
„Nach aktuellem Kenntnisstand ist es zu keinem Betrug bei der Erstellung von Impfzertifikaten gekommen. Ein solcher wäre im Übrigen eine Straftat. Alle Apotheken, die dies wünschen, erhalten in der nächsten Woche schrittweise wieder Zugriff auf das DAV-Portal, so dass sie auch wieder Impfzertifikate ausstellen können. DAV, IBM, gematik und BMG arbeiten zudem gemeinsam daran, die Sicherheit bei der Ausstellung von Impfzertifikaten durch eine Einbindung dieses Prozesses in die sichere Telematikinfrastruktur insgesamt noch weiter zu erhöhen.“
Zu Beginn der Zertifikateausstellung konnten nur Apotheken, deren Inhaber:innen Mitglieder in den Landesapothekerverbänden sind, über das DAV-Portal digitale Impfnachweise ausstellen. Der Ärger unter den Nichtmitgliedern war groß und es wurde die Möglichkeit des Gastzuganges geschaffen. Und genau dieser wurde nun zur Sicherheitslücke.
Die IT-Sicherheitsexperten hatten laut DAV „mithilfe von professionell gefälschten Dokumenten einen Gastzugang für einen nicht existierenden Apothekeninhaber erzeugt.“ Wirklich kompliziert war das Ganze nicht: „Ich bin absolut kein Grafiker oder Bildbearbeiter. Das war weit entfernt von einer professionellen Fälschung“, erklärt Tschirsich gegenüber APOTHEKE ADHOC. Doch das reichte. „Der DAV möchte ja gar keine Betriebserlaubnis sehen, sondern nur ein Bild davon.“ Erfunden wurden nicht nur die „Sonnen-Apotheke“, sondern auch die Adresse, die zu einem Mehrfamilienhaus passt und die 19-stellige TI-Nummer. „In diesem ganzen Antrag waren so viele absichtliche Fehler drin, dass man das mit einer einfachsten Prüfung hätte erkennen müssen“, sagt Zilch. Doch aufgefallen ist der „Hack“ nicht.
Das könnte dich auch interessieren
Mehr aus dieser Kategorie
Mela B3: La Roche Posay launcht Hautpflege-Serie bei Pigmentflecken
Ab April gibt es Zuwachs im Kosmetikbereich: La Roche Posay launcht die Mela B3-Serie, die speziell zur Hautpflege bei Pigmentflecken …
DeVit 2.400 I.E./ml: Indikations- und Dosierungsänderung
DeVit Tropfen (Pädia) beinhalten Vitamin D und werden vorrangig zur Rachitisprophylaxe bei Frühgeborenen, Neugeborenen und Kleinkindern eingesetzt. Außerdem finden sie …
Bis 1. Mai: Cannabis im Artikelstamm weiter BtM
Cannabis ist ab Montag kein Betäubungsmittel mehr. Dass das Gesetz so schnell durchgedrückt wurde, bekommen Apotheken und Patient:innen zu spüren. …