Moin!
Als Apotheker hier meine Sicht der Dinge:
- Können Apotheker (und Ärzte) gefälschte Impfausweise prüfen, wenn sie einen Digitalen impfAusweis ausstellen?
Ja. Apotheker prüfen jeden Tag hunderte ärztliche Dokumente auf Echtheit. Wenn das irgend jemand kann, dann Apotheken. Wenn ein Fälschung dort nicht auffällt, was auf jeden Fall auch vorkommt, wird es nirgendwo auffallen. Erst Recht nicht beim Einlass ins Konzert o.ä.
Apotheken sind nach Verordnung auch angewiesen, nur Impfungen aus ihrem Umfeld zu bestätigen. Natürlich gibt es da auch begründete Ausnahmen, aber da wird dann auch genau hingeschaut.
- Kann man Ärzten und Apothekern vertrauen, eine so wichtige Aufgabe zu übernehmen?
Wem denn sonst? Jetzt ganz ehrlich. Apotheker lagern tausende Medikamente und geben diese seit Jahrhunderten verantwortungsvoll an die Bevölkerung aus. Ein Apotheker, der sich als unzuverlässig erweist, verliert ganz schnell seine Approbation.
Natürlich gibt es immer schwarze Schafe, aber das Risiko scheint mir sehr gering.
- worin bestand die benannte Sicherheitslücke?
Das Portal wurde betrieben vom Deutschen Apothekerverband, der Vertretung der selbstständigen Apotheker. Alle Mitglieder hatten schon lange vor dem Impfzertifikate-Geschehen einen Zugang dazu erhalten, der Weg dahin hat sich bisher als sicher gezeigt.
Auf Druck des BMG und unter Klageandrohung wurden auch Nicht-Mitglieder aufgeschaltet. Hier sah der Registrierungsprozess das Einsenden der amtlichen Betriebserlaubnis und eines weiteren Schreibens vor, welches nur Apotheken vorliegt und deren Aktivität im Vorangegangenen Quartal nachweist.
Die „Hacker“ haben diese beiden Dokumente (bewusst dilettantisch) gefälscht, diese wurden aber nur einer optischen Prüfung unterzogen. Eine einfache Google-Recherche hätte gezeigt, dass es die genannte Apotheke nicht gibt.
Von den 17900 ausgeschalteten Apotheken sind nur 470 nicht Verbandsmitglieder, dass ist also die nun zu prüfende Zahl. Ich rechne nicht damit, dass es weitere illegitime Zugänge gab.
- Wie kam es zu dieser Schwachstelle?
Der DAV hatte von Gesetzesveröffentlichung bis zur Ankündigung Spahns, dass es „ab sofort“ in Apotheken möglich ist, knappe zehn Tage. Ab dann stürmten Kunden die Apotheken, die ohnehin seit einem Jahr überlastet sind.
Der Druck auf die IT-Abteilung war also immens.
Als Spahn seine PK gab, wussten die Apotheken noch nichts darüber, wie es funktionieren soll.
Die paar hundert nicht-Verbandsmitglieder fühlten sich dann benachteiligt und bauten entsprechenden Druck auf.
Zu dem Zeitpunkt war aber der Support beim DAV vollkommen überlastet, da, so scheint es von außen, der RKI-Server absolut überlastet war und alle Anfragen beim DAV landeten.
Unter diesem Druck wurden dann falsche Entscheidungen getroffen.
Kommt vor. Und ich bin recht sicher, dass durch diese Lücke keine Zertifikate gefälscht wurden.
- das heißt nicht, dass der Rest von RKI und co nicht schlecht gemacht ist.
Vor allem müsste man in der Praxis viel mehr kontrollieren, ob am Einlass zu Veranstaltungen auch die CovPassCheck App zum Einsatz kommt.
Nach meiner Erfahrung wissen die Mitarbeiter dort nicht mal, dass es diese App gibt. Sollte eigentlich Pflicht sein.