Letzte Woche dürfte man sich mal wieder nach Schilda versetzt fühlen – dem fiktiven Ort, an dem die Schildbürger so einige Dinge tun, die sich einer logischen Bewertung entziehen. Und dieses mal waren es die Apotheker, die für landesweites Erstaunen gesorgt haben. Was war passiert? Letzten Donnerstag meldete Heise online: Apotheken: Wie Sicherheitsforscher das Impfzertifikats-Portal kompromittierten und griffen dabei eine Meldung des Schweizer Portals watson.ch auf.
Die Geschichte dazu ist pure Realsatire. Denn die Sicherheitsforscher hatten nichts anderes getan, als sich eine fiktive Apotheke auszudenken und die beim Apothekenportal anzumelden. Als Anschrift der Apotheke gaben sie dabei laut Heise ein Mehrfamilienhaus in Darmstadt an. Die für die Anmeldung nötigen Bestätigungen erstellten Sie sich selbst – Photoshop sei Dank. Per Post erhielten sie daraufhin einen Registrierungscode zur Anmeldung. Blieb als letzte Hürde das Abfragen der Telematik-ID. Sie hatten keine, also gaben sie zufällig gewählte Ziffern ein. Und schon konnten sie eigene Zertifikate mit beliebigen Namen und Impfterminen erstellen.
Es entbehrt nicht einer gewissen Ironie, dass ausgerechnet die Apotheker bei allen Diskussionen um das e-Rezept gerne die Datenschutzkeule schwingen. Klar, das spielt ja durchaus auch den Versandapotheken in die Karten. Und als in der Schweiz erste Gerüchte aufkamen, gefälschte EU-Impfzertifikate könnten aus deutscher Quelle stammen, wies der Apothekerverband DAV alle Zweifel an der Sicherheit der Zertifikatsausstellung barsch zurück.
Dann musste der DAV das Portal zur Zertifikatsausstellung schließlich doch erst mal offline nehmen, ab heute soll es nach und nach wieder in Betrieb genommen werden. Wir lernen daraus, dass Brute Force-Angriffe auf unsere Daten vielleicht gar nicht das größte Sicherheitsproblem sind. Eher ist es der DAU – der dümmste anzunehmende User – der einen wohlklingenden Apotheken-Namen an einer beliebigen Adresse als „geprüft“ durchwinkt. Dass das zur gleichen Zeit passiert, in der die Apotheken das ungeliebte e-Rezept ein bisschen mürbe reden wollen, kann Zufall sein. Muss es aber nicht.