Fälschungsicherheit durch digitalen Impfpass?

Das Problem ist, dass sie nicht nachprüfen können ob und wie oft diese Lücke im Prozess ausgenutzt wurde.
Steht aber auch alles in dem „reißerischen Artikel“, besser mal lesen als nur überfliegen.

Ach wie schön, mit Blockchain wär das wohl nicht passiert? Ironie off

Ich warte immer noch auf die Links zu Aussagen von angesehen IT Sicherheitsexperten, die es anders sehen als im Artikel beschrieben.

Soweit ich das aus den Artikeln die ich dazu herausgelesen habe ist dies weiterhin nicht vorgesehen. Wird auch nichts helfen bei den bereits ausgestellten Zertifikaten.

Und ja, die digitalen Zerifikate in der App sind nicht „sicherer“ als das Blatt Papier auf dem Impfausweis. Aber, wozu dann digitale Zertifikate?

Noch mal zur Erinnerung: Bisher war ein Impfausweis für den jeweiligen Bürger gedacht, damit er im Blick hat wann er das letzte Mal gegen was geimpft wurde, um zu häufiges Impfen zu vermeiden bzw eine Auffrischung nicht zu verpassen. Dafür reicht eben ein Blatt Papier mit Datum. Das was hier nun gefordert wird ist ein „Passierschein“, der erstens fragwürdig ist und zweitens ganz andere Kriterien erfüllen muss.

Naja, doch. Wenn es bei der Ausstellung des digitalen Impfpasses offenbar keinerlei Plausibilitätsprüfungen gibt (und nachträglich offenbar einzelne Pässe nicht deaktiviert werden können), dann ist die Hemmschwelle zum Fälschen wirklich lächerlich niedrig, weil der digitale Impfpass den gefälschten gelben Impfpass faktisch legalisiert und das offenbar auch nicht mehr nachweisbar ist.

Nur dann, wenn es dann nicht genauso simple ist, zu betrügen.

Laut Artikel von Netzpolitik mussten Apotheken zur Verfikation " ihre Betriebserlaubnis und einen Aktivitätsnachweis, etwa in Form von Abrechnungen oder einem Bescheid des Nacht- und Notdienstfonds vorlegen".
Ich hatte irgendwo gehört oder gelesen das teilweise Apotheken Betriebserlaubnisse auf Ihrer Homepage veröffentlichen, was dann von den IT Experten als Blaupause für ihre fiktive Apotheke genutzt wurde.

Moin!

Als Apotheker hier meine Sicht der Dinge:

1. Können Apotheker (und Ärzte) gefälschte Impfausweise prüfen, wenn sie einen Digitalen impfAusweis ausstellen?

Ja. Apotheker prüfen jeden Tag hunderte ärztliche Dokumente auf Echtheit. Wenn das irgend jemand kann, dann Apotheken. Wenn ein Fälschung dort nicht auffällt, was auf jeden Fall auch vorkommt, wird es nirgendwo auffallen. Erst Recht nicht beim Einlass ins Konzert o.ä.

Apotheken sind nach Verordnung auch angewiesen, nur Impfungen aus ihrem Umfeld zu bestätigen. Natürlich gibt es da auch begründete Ausnahmen, aber da wird dann auch genau hingeschaut.

2. Kann man Ärzten und Apothekern vertrauen, eine so wichtige Aufgabe zu übernehmen?

Wem denn sonst? Jetzt ganz ehrlich. Apotheker lagern tausende Medikamente und geben diese seit Jahrhunderten verantwortungsvoll an die Bevölkerung aus. Ein Apotheker, der sich als unzuverlässig erweist, verliert ganz schnell seine Approbation.
Natürlich gibt es immer schwarze Schafe, aber das Risiko scheint mir sehr gering.

3. worin bestand die benannte Sicherheitslücke?

Das Portal wurde betrieben vom Deutschen Apothekerverband, der Vertretung der selbstständigen Apotheker. Alle Mitglieder hatten schon lange vor dem Impfzertifikate-Geschehen einen Zugang dazu erhalten, der Weg dahin hat sich bisher als sicher gezeigt.

Auf Druck des BMG und unter Klageandrohung wurden auch Nicht-Mitglieder aufgeschaltet. Hier sah der Registrierungsprozess das Einsenden der amtlichen Betriebserlaubnis und eines weiteren Schreibens vor, welches nur Apotheken vorliegt und deren Aktivität im Vorangegangenen Quartal nachweist.
Die „Hacker“ haben diese beiden Dokumente (bewusst dilettantisch) gefälscht, diese wurden aber nur einer optischen Prüfung unterzogen. Eine einfache Google-Recherche hätte gezeigt, dass es die genannte Apotheke nicht gibt.

Von den 17900 ausgeschalteten Apotheken sind nur 470 nicht Verbandsmitglieder, dass ist also die nun zu prüfende Zahl. Ich rechne nicht damit, dass es weitere illegitime Zugänge gab.

4. Wie kam es zu dieser Schwachstelle?

Der DAV hatte von Gesetzesveröffentlichung bis zur Ankündigung Spahns, dass es „ab sofort“ in Apotheken möglich ist, knappe zehn Tage. Ab dann stürmten Kunden die Apotheken, die ohnehin seit einem Jahr überlastet sind.
Der Druck auf die IT-Abteilung war also immens.
Als Spahn seine PK gab, wussten die Apotheken noch nichts darüber, wie es funktionieren soll.
Die paar hundert nicht-Verbandsmitglieder fühlten sich dann benachteiligt und bauten entsprechenden Druck auf.
Zu dem Zeitpunkt war aber der Support beim DAV vollkommen überlastet, da, so scheint es von außen, der RKI-Server absolut überlastet war und alle Anfragen beim DAV landeten.

Unter diesem Druck wurden dann falsche Entscheidungen getroffen.
Kommt vor. Und ich bin recht sicher, dass durch diese Lücke keine Zertifikate gefälscht wurden.

5. das heißt nicht, dass der Rest von RKI und co nicht schlecht gemacht ist.

Vor allem müsste man in der Praxis viel mehr kontrollieren, ob am Einlass zu Veranstaltungen auch die CovPassCheck App zum Einsatz kommt.
Nach meiner Erfahrung wissen die Mitarbeiter dort nicht mal, dass es diese App gibt. Sollte eigentlich Pflicht sein.

Ich habe auch nach mehrfachem Lesen keinen Hinweis auf die Handelsblatt-Lücke mit den falschen Apotheken gefunden. Wäre auch schräg, immerhin ist der G-Data-Artikel vom 25. Juni 2021, der Handelsblatt-Artikel zum Thema vom 22. Juli 2021, also einen Monat älter.
Könntest du bitte den Abschnitt nennen oder einen Satz zitieren?

Aber wie bereits gesagt: Die Handelsblatt-Lücke wertet den G-Data-Artikel natürlich von einer technischen Schlamperei zu einem echten Problem auf. Das ist wohl auch der Grund, warum der gerade so durch’s Netz geht.
Das ändert nicht daran, dass die im G-Data-Artikel erwähnten „Schwächen“ eben nicht ausreichen, um das System zu zerstören.

Man wird gerade dabei sein, zu prüfen, ob die registrierten Apotheken alle echt sind.

Die kenne ich nicht, habe ich nicht behauptet (ich sprach von Reparierbarkeit, nicht vom Status Quo) und kann und werde sie daher nicht liefern.

Ist es nicht, weil du ja dann den digitalen Pass sofort bei der Impfung bekommst. Dass Apotheken die Impfung eines anderen Arztes bescheinigen, war nur die Übergangslösung.

… ist das jetzt so? Ich dachte, die Hausärzte
weigern sich, den digitalen Impfpass auszustellen.

Eine nachträgliche Aufdeckung anhand einer späteren Prüfung eines digitalen Impfnachweises ist im Gegensatz zum traditionellen gelben Impfpass nicht zu erwarten. Wie beschrieben sind die Merkmale, die eine Aufdeckung einer Fälschung bei genauerer Prüfung möglich machen, im digitalen Impfnachweis nicht mehr enthalten. Als offizieller Aussteller erscheint immer der Robert Koch-Institut. Weil nach unseren Informationen außerdem keinerlei Dokumentationspflicht besteht, könnte die ausgebende Arztpraxis oder Apotheke ein schuldhaftes Verhalten auch immer abstreiten.

Ich glaube Du misverstehst den von mir verwendeten Ausdruck „kaputt“ in dem Zusammenhang. Wenn eine Sicherheitslücke dafür sorgt, dass ein IT System vom Netz genommen werden muss, dann ist es einfach kaputt. Kann man das reparieren? Oftmals schon. Nur sollte man dann auch an die Design-Lücken rangehen.

Wie kannst Du dann mit Inbrunst davon sprechen, dass das alles gar nicht so schlimm sei? Bist du Experte?

Hier steht nichts von falschen Apotheken, hier geht’s um echte Apotheken, die absichtlich falsche Zertifikate erstellen. Das ist ein Unterschied.

Ziemlich sicher ist die Lücke, die das System vom Netz genommen hat, der unrechtmäßige Zugang vom Handelsblatt und eben keine der von G-Data genannten Lücken. Das mache ich insbesondere am zeitlichen Zusammenhang fest Das sieht das ZDF (erster Treffer meiner Suchmaschine) genauso.
„Handelsblatt-Recherche soll Auslöser sein“

Indem ich die verlinkten Inhalte bis zum Ende lese, ihren Inhalt erfasse und dann technisch einordne, welche Auswirkungen die dargestellten Vorgänge (ich will hier nichtmal „Angriffe“ schreiben) in der Praxis haben.
Ob ich damit als Experte zähle, muss jeder selbst wissen.

Update dazu: Ich war vorgestern in einer Aptheke und die konnten kein digitales Impzertifakt ausstellen. Entwerder ist das System immer noch kaputt oder schon wieder. Auf nachfrage meinten die, das es immer noch mit dem Vorfall von vor einem Monat, also diesem hier zusammen hängt.

Kann ich hier nicht bestätigen, ich konnte vor 2 Wochen problemlos mein Papierdokument übertragen lassen. Vielleicht hat die lokale Aphoteke nur die Nase voll ob das Hickhacks?

Das liegt dann aber an dieser konkreten Apotheke.
Ich habe mein Zertifikat nach dem Abschalten und Wiederabschalten des Systems erhalten.

Moin! Das Problem besteht generell NICHT mehr. Die Identität der Apotheke wird nun sichergestellt, in dem der Zugang zum „Zertifkate-Portal“ nur noch über die Telematik-Infrastrukur möglich ist. An diese sind Apotheken generell seit letztem Jahr verpflichtet angeschloßen. Allerdings gab es dafür bisher keinen Einsatzzweck, so dass nach wie vor nicht alle Apotheken dies auch umgesetzt haben.

Insofern: wenn diese Apotheke keine Zertifikate ausstellen kann, ist das ein Problem der Apotheke.

auf www.mein-apothekenmanager.de kann man einsehen, welche Apotheken Zertifikate ausstellen.

Mal eine ganz andere Sicht: Sind gefälschte Impausweise wirklich ein Problem? Ende September wird nun wirklich jeder Impfwillige geimpft sein. Impfverweigerer werden früher oder später angesteckt und entweder sterben oder halt auch diese Immunität haben. Es muss also ein Impfverweigerer sein, der mit einem gefälschten Impfnachweis z.B. in ein Konzert kommt. Dort steckt er sich möglicherweise über einen Gleichgesinnten an oder es passiert umgekehrt. Die Geimpften sind ja geschützt. Einzig Menschen, die nicht geimpft werden können sind dadurch im Nachteil. Allerdings sind diese nicht nur wegen derFälscher gefährdet, sondern auch wegen Personen mit Impfdurchbrüchen. Es gibt also keine Sicherheit diesbezüglich.

In GB sind 72% geimpft, der Rest bleibt wohl ungeimpft. (In Wales hatten in einem bestimmten Gebiet aber schon 92% Antikörper.) Auch von daher bleibt die Frage, ob gefälschte Nachweise noch eine Rolle spielen.

Zu kurz gedacht. Es gibt natürlich auch noch ungeimpfte, die sich nicht impfen lassen können, zb alle Kinder unter 12 Jahren.
Oder u.U. Schwangere. Oder Menschen mit Immundefiziten.

Man könnte diskutieren ob deren Risiko die entsprechende Freiheitseinschränkung wert ist. Aber in dem Moment, wo wir zugangsregeln und Impfzertifikate festlegen, sollten diese Personen sich schon sicher fühlen können.

Sag ich doch:

Du musst meinen Beitrag nochmal lesen.

Ich wollte das Thema Fälschungssicherheit der Impfpässe nochmals pushen.

Seit Kurzen können Apotheken durch eine Software die Chargennummer der Impfungen überprüfen. Dadurch wird natürlich das Auffinden von Fälschungen deutlich erleichtert:
https://www.golem.de/news/corona-apotheken-sollen-gefaelschte-impfausweise-besser-erkennen-2112-161855.html

Jedoch gibt es unter den Apothekerkammern einen Dissenz, wie man mit gefälschten Impfpässen umzugehen hat. Es ist wohl so, dass die Unterrichtung von Behörden wegen einer Fälschung ein Datenschutzproblem darstellt und deswegen einige Apothekerkammern das Anzeigen von Fälschungen nicht empfehlen.

Das passt alles nicht so richtig zusammen. Wie würde die Lage diese Situation einschätzen?

Gerade habe ich auf SZ online einen sehr verstörenden Bericht gelesen:

Demnach können sich Apotheker strafbar machen, die einen gefälschten Impfpass der Polizei melden. Sie verletzen die Verschwiegenheitspflicht gegenüber dem Kunden.
Baden-Württemberg und Niedersachsen haben ein Abkommen, das Straffreiheit zusichert.
In Mecklenburg-Vorpommern das Gegenteil:

Aus Mecklenburg-Vorpommern heißt es, die Apotheken seien in diesen Fällen nicht von der Schweigepflicht entbunden. Eine Meldung an die Behörden stelle „eine Verletzung der Schweigepflicht dar und kann zur Anzeige gebracht werden“.

@der_Matti
Krass. Leider kann ich den Artikel nicht lesen. Steht da was von konkreten Anzeigen und ggf. was daraus wurde? Das Zitat zu MV klingt ja so, als sei es bisher nur eine theoretische Möglichkeit.

Nein, von tatsächlichen Klagen wird nicht berichtet, aber davon, dass Apotheker deshalb von einer Anzeige absehen.
Der Apothekerverband zieht den Kopf ein und spricht von einem “individuellen Ermessen des Apothekers“ ob er Anzeige erstattet und gibt keine Empfehlung ab.
Das von den Journalisten informierte Gesundheitsministerium zeigte sich überrascht und will dem nachgehen.

Es hat schon Nachteile, wenn man jede Kleinigkeit gesetzlich regelt, das jahrzehntelang vor sich hin wuchert und dann keiner mehr den Überblick hat.

Und sowas liebe Kinder passiert, wenn wir auch ein halbes Jahr, nachdem der digitale Impfpass ausgerollt wurde, immer noch darauf verzichten, diesen konsequent nur an der Impfstelle auszugeben.
Betrifft übrigens auch staatliche Impfstellen.

Das Problem ist aber vielleicht gar keins. Die Schweigepflicht gilt nämlich nicht für meldepflichtige Krankheiten (Covid-19 fällt darunter). Nun sind die Täter hier nicht erkrankt, aber gibt es da vielleicht schon eine Regelung für gefälschte Impfnachweise für solche Krankheiten? Ansonsten wäre die vielleicht generell mal überfällig.