Impfzertifikate: Ausfall der Apotheken könnte teils Wochen dauern

Vergangene Woche stoppten die Apotheken die Ausgabe digitaler Impfzertifikate wegen Sicherheitsbedenken. Eine Lösung ist zwar gefunden, aber die Umstellung könnte laut Medienbereicht teils Wochen dauern.

Eigentlich war die Ausstellung der Impfzertifikate über die Apotheken ein Erfolgsmodell: Schon wenige Tage nach der Ankündigung durch das Gesundheitsministerium boten Tausende Apotheken diesen Service an: Bürger konnten mit ihrem Impfausweis in die Apotheke gehen und sich dort ein digitales Zertifikat erstellen lassen. Mittlerweie wurden laut Deutschem Apotheker Verband (DAV) über 25 Millionen Impfzertifikate ausgestellt.

Über einen QR-Code kann dieser dann aufs Handy geladen werden – neben CovPass bieten auch die Corona-Warn-App und die Luca-App eine entsprechende Funktion. Wie genau das funktioniert, lesen Sie hier.

Doch offenbar war es nicht allzu schwer, sich mittels gefälschter Dokumente kurzerhand selbst als eine Apotheke auszugeben. Das demonstrierten zwei Sicherheitsexperten, das Handelsblatt berichtete darüber. Auf diesem Wege ließen sich ungeprüft beliebig viele falsche Impfzertifikate ausstellen.

Und das schlimmste daran: Aufgrund von EU-Vorgaben zum System nutzen alle Apotheken den selben Sicherheitsschlüssel. Ein gefälschtes Zertifikat könnte nicht separat ungültig gemacht werden. Die einzige Möglichkeit bestünde darin, den Schlüssel komplett zurückzuziehen und damit alle 25 Millionen Zertifikate auf einen Schlag ungültig zu machen.

Um ein solches Szenario zu verhindern, wurde die Ausgabe der Zertifikate über die Apotheken am Donnerstag vergangener Woche kurzerhand gestoppt. Das Sicherheitssystem sollte überarbeitet werden, damit Zertifikatsfälschungen nicht mehr so einfach möglich wären.

Schon einen Tag später teilte der DAV mit, dass es nach aktuellem Kenntnisstand zu keinem Betrug bei der Erstellung von Impfzertifikaten gekommen sei und versicherte: "Alle Apotheken, die dies wünschen, erhalten in der nächsten Woche schrittweise wieder Zugriff auf das DAV-Portal, sodass sie auch wieder Impfzertifikate ausstellen können."

Doch jetzt rudern die Apotheken zurück: Auf der Website der Bundesvereinigung Deutscher Apothekerverbände ist nun zu lesen, dass der DAV und das Bundesgesundheitsministerium gemeinsam mit der Gematik, IBM und dem Robert-Koch-Institut noch immer mit "Hochdruck an einer technischen Lösung" arbeiteten.

Erste Tests seien in Vorbereitung. Neue Informationen zur Lage werde der DAV am heutigen Donnerstag liefern, zitiert die Deutsche Apotheker Zeitung aus einer Mitteilung vom DAV-Portal für Apotheker: "Derzeit wird intensiv an Lösungen zur Schließung der erkannten Sicherheitslücke gearbeitet. Dazu sind bereits erste Tests in Vorbereitung. Über den Fortgang werden wir Sie morgen, Donnerstag dem 29.07.2021, wieder informieren."

Doch wie das Fachportal Apotheke Adhoc berichtet, könnte die tatsächliche Umstellung auf das neue System lange dauern, teilweise sogar Wochen. Zwar sei die Zertifikateausgabe nun in die Telematikinfrastruktur (TI) integriert – die TI ist quasi das Grundgerüst des digitalisierten Gesundheitssystems, in dem sich Ärzte, Krankenhäuser, Apotheken und Krankenkassen sicher miteinander vernetzen und digitale (Patienten-)Daten austauschen können.

Ausstellung über ein neues Portal

Künftig würde die Zertifikatausstellung zudem nicht mehr über mein-apothekenportal.de abgewickelt, sondern über dav.impfnachweis.info. Diese Seite ist durch ein TLS-Zertifikat geschützt. Das ist eine passwortgeschützte Sicherheitsdatei, die in einem Browser installiert sein muss, über den man die Seite erreichen will.

Doch mit einer Verteilung dieser Datei und der entsprechenden Einrichtung des Browsers sei es für die Apotheken nicht getan, berichtet das Fachblatt. Zusätzlich müsse auch die richtige Route konfiguriert werden, sodass die Seite nicht über das offene Internet, sondern über die TI angesteuert werde.

Zum Verständnis: Die TI umfasst spezielle Hardware, die dann mit Hilfe eines VPN-Dienstes eine verschlüsselte, sichere Verbindung zum Server aufbaut. Dazu verfügen die Teilnehmer – also auch die Apotheken – unter anderem über den sogenannten "Konnektor". Dabei handelt es sich um einen VPN-Router, in den außerdem ein sicherer Anschluss an das Versichertenstammdatenmanagement (VSDM) angeschlossen ist. Das VSDM ist die Infrastruktur über die die Daten auf der elektronischen Gesundheitskarte geprüft wird.

Fachunternehmen müssen die Umstellung meist vornehmen

Die Einstellung der richtigen Route müsse also in der Regel von den Fachunternehmen durchgeführt werden, die die jeweiligen Apotheken auch an die TI angeschlossen haben. Laut Nachfrage von Apotheke Adhoc bei betreffenden Unternehmen dauere das für jede einzelne Apotheke zwar nur wenige Minuten. Doch bis die insgesamt über 18.000 Apotheken auf diese Weise ans neue System angeschlossen sind, könnten im schlimmsten Fall sogar Wochen vergehen.

Für einen Teil der Apotheken könnte die Umstellung zwar vergleichsweise schnell über einen, innerhalb weniger Tage erstellbaren Patch automatisch erfolgen. Viele müssten aber händisch aktualisiert werden, schätzt ein EDV-Anbieter. Das könnte im Einzelfall dann dauern.

Draußen vor blieben zudem die rund 1800 Apotheken, die bislang nicht an die TI angeschlossen seien, heißt es. Für den Rest sei die Ausstellung im Anschluss dann gleich.