Berlin. Wegen einer Sicherheitslücke konnten Apotheken zeitweise keine digitalen Impfpässe ausstellen. Nun gab es neue IT-Probleme im System.

  • Die Ausstellung von Zertifikaten für den digitalen Corona-Impfpass musste in Apotheken zeitweise gestoppt werden
  • Schuld daran war eine Sicherheitslücke
  • Mittlerweile läuft die Ausstellung wieder – doch es gibt neue Probleme

Nach dem Stopp der Ausstellung des digitalen Impfpasses in Apotheken hat es mancherorts erneut technische Probleme gegeben. Aufgrund dessen war eine Ausstellung des Nachweises einer Corona-Impfung teilweise nicht möglich.

"In den vergangenen Tagen hatte das System beim Abruf digitaler Impfzertifikate bundesweit immer wieder mit Performance-Problemen zu tun", teilte ein Sprecher der Bundesvereinigung Deutscher Apothekerverbände (Abda) auf Anfrage unserer Redaktion mit. Die Probleme hätten den stabilen und zeitnahen Abruf der Zertifikate in den Apotheken massiv eingeschränkt.

Digitaler Impfpass: IT-Spezialisten beheben Fehler im System

Der Fehler sei durch IT-Spezialisten mittlerweile behoben worden und die Techniker würden intensiv an der weiteren Stabilisierung der Performance arbeiten, teilte die Abda weiter mit. "Inzwischen läuft das System wieder zuverlässig und die Apotheken können digitale Impfzertifikate abrufen." Zur Zeit würden pro Stunde wieder mehrere zehntausend Impfzertifikate ausgestellt.

Der ursprüngliche Grund für den Stopp der Ausstellungen war eine Sicherheitslücke. Aufgrund eines Hinweises auf eine Schwachstelle beim Zugang von Apotheken zum Webportal des Deuschen Apothekerverbands (DAV) wurde die Ausstellung von Impfzertifikaten deshalb vorübergehend deaktiviert.

Sicherheitslücke bei Impfzertifikaten – neue Daten-Infrastruktur

Alle Zugänge wurden überprüft, laut Gesundheitsministerium waren von der Sicherheitslücke potenziell allerdings nur die wenigen hundert Apotheken betroffen, die nicht Mitglied des DAV sind. Die Ausstellung der Impfnachweise in Papierform lief währenddessen ohnehin weiter wie gewohnt, sagte ein Sprecher des DAV unserer Redaktion.

Seit Donnerstag bieten die Apotheken den Service für das digitale Impfzertifikat nun Stück für Stück wieder an. Ab diesem Zeitpunkt sollten die Apotheken wieder schrittweise an das System angeschlossen werden,sagte ein Sprecher der Abda. Nach den nun aufgetretenen Problemen empfiehlt es sich für Geimpfte umso mehr vor dem Besuch das Verbraucherportal www.mein-apothekenmanager.de aufzurufen. Dort können sich Geimpfte vorab informieren, welche Apotheke in ihrer Nähe den Service anbietet.

Sicherheit bei der Ausstellung in Apotheken: Tests abgeschlossen

Um die Sicherheit ab sofort weiter zu erhöhen, haben Bundesgesundheitsministerium (BMG) und DAV vereinbart, dass das Fachmodul „Digitales Impfzertifikat“ in den Apotheken über die Telematikinfrastruktur (TI) erreicht wird. Nach erfolgreichen Tests wurde das Modul inzwischen wieder an den RKI-Zertifikatsserver angeschlossen.

Damit steht das Impfzertifikatportal des DAV ab sofort über die TI zur Verfügung. Die einzelnen Apotheken werden von ihren für die TI-Anbindung zuständigen EDV-Dienstleistern mit den notwendigen Updates versorgt. Die TI vernetzt alle Akteure des Gesundheitswesens und gewährleistet den sektoren- und systemübergreifenden sowie sicheren Austausch von Informationen.

Durch die sicherheitsbedingte Anbindung an die TI sei eine komplexe Netzwerkinfrastruktur entstanden, heißt es von Seiten der Abda. Daher habe sich auch die Fehlersuche bei den nun aufgetretenen Performance-Problemen "entsprechend kompliziert" gestaltet.

Testpflicht für Reiserückkehrer schon ab August geplant

weitere Videos

    Digitaler Impfpass: IT-Experten decken Sicherheitslücke auf

    Das "Handelsblatt" hatte zuletzt mit Hilfe der IT-Sicherheitsexperten André Zilch und Martin Tschirsich eine gravierende Sicherheitslücke bei der Erstellung der digitalen Impfnachweise aufgedeckt.

    Ihnen war es gelungen, innerhalb von 48 Stunden unbemerkt auf das Impfnachweis-Portal des DAV zuzugreifen und gültige Zertifikate zu erstellen – ohne Prüfung, ob die betreffende Person geimpft ist oder nicht. Apotheken, die nicht Mitglied in Landesverbänden sind, müssen sich über dieses Portal mit einem Gastzugang registrieren. Dann können auch sie digitale Impfzertifikate austellen.

    Zilch und Tschirsich konnten erfolgreich einen solchen Gastzugang für einen nicht existierenden Apotheker erstellen, teilt der DAV mit. "Unter der gefälschten Apotheken-Identität wurden insgesamt zwei Impfzertifikate ausgestellt."

    Digitale Impfnachweise in Apotheken zeitweise gestoppt

    Nachdem das "Handelsblatt" auf die Sicherheitslücke hingewiesen habe, sei die Ausstellung der digitalen Impfzertifikate in Rücksprache mit dem Bundesgesundheitsministerium gestoppt worden, hieß es weiter seitens des DAV.

    Zunächst wurden alle über einen Gastzugang registrierten Apotheken überprüft. Bis vergangenen Freitag habe es keine Hinweise auf weitere falsche Apotheken im System gegeben, gab das Bundesgesundheitsministerium bekannt. "Daher ist davon auszugehen, dass die über 25 Millionen Impfzertifikate, die bisher über Apotheken ausgestellt worden sind, alle von rechtmäßig registrierten Apotheken ausgestellt wurden", meldete der DAV.

    Doch wie das Nachrichtenportal "Watson" berichtet, sind im Darknet bereits Impfpässe angeboten worden, an deren Kennziffern sich die Ausstellung durch eine Apotheke belegen lässt. "Es ist ziemlich wahrscheinlich, dass die kriminellen Anbieter eine der aufgezeigten Schwachstellen des DAV-Portals nutzen", sagte It-Sicherheitsexperte Tschirsich dem "Handelsblatt".

    Wie funktioniert der digitale Impfpass?

    Um einen digitalen Impfpass über eine Corona-Impfung zu erhalten, legen Geimpfte bei registrierten Apotheken ihren Impfausweis und ihren Personalausweis vor. Die Apotheke trägt diese dann in das RKI-Meldesystem ein, woraufhin ein QR-Code erstellt wird, mit dem Geimpfte ihre Impfung in der Corona-Warn-App digital nachweisen können.

    Der digitale Impfpass wurde im Juni eingeführt, um das Reisen innerhalb der EU oder aber auch den Einlass in Restaurants, Kinos und Museen zu vereinfachen. Er soll den gelben Impfpass ablösen - wobei der digitale Nachweis nicht verpflichtend ist.

    (mit bml)