20210726 Hack der Impfzertifikate lächerlich einfach

26.07.2021 Hack der Impfzertifikate lächerlich einfach

Z. Zt. keine digitalen Impf- oder Genesenenzertifikate

Nanu, dabei wollten viele Apotheken in Deutschland weiter 18€ für eine PDF-Datei mit dem Impfzertifikat verdienen. Die Ursache liegt im "Test" von Sicherheitsforschern, die einfach mal eine "Sonnen-Apotheke" erfunden hatten, sich beim Deutschen Apothekerverband (DAV) registrieren ließen, um eigene digitale Impfzertifikate erstellen zu können.

Die beiden Sicherheitsexperten André Zilch und Martin Tschirsich haben bewiesen, dass wieder einmal die Sicherheit der von Politikern hochgelobten IT-Infrastruktur dem Erfindergeist von Hackern nicht gewachsen ist - es gibt keine 100-prozentige Sicherheit.

Der Apothekerverband hat das Portal zur Zertifikatsausstellung bis auf Weiteres offline genommen – Wiedereröffnungstermin unbekannt, schreibt Heise. Es wird interessant, wie der Apothekerverband seine "Prüfung" des Antrags der "Sonnen-Apotheke" erklären wird, denn es wurde scheinbar nicht einmal die Postanschrift mit einem Adressverlag oder einem Kartendienst abgeglichen.

Völlig daneben ist jedoch die Tatsache, dass die beiden Sicherheitsexperten in dem Pflichtfeld für die Telematik-ID, die auch die elektronische Gesundheitskarte (eGK) und die nun seit 1. Juli "wirklich in Betrieb gegangene" elektronische Patientenakte (ePA) absichern sollen, einfach "19 beliebige Ziffern" eingeben konnten und sich damit als Teil des neuen Gesundheitsnetzes identifizierten.

Dumm gelaufen, muss man feststellen, insbesondere, weil die Architektur des Impfzertifikats keine Sperrung einzelner Schlüssel erlaubt - es bleibt nur die Möglichkeit alle 25 Millionen bisher im Rahmen des Apothekervebrands ausgestellten Zertifikate als ungültig zurückzuziehen ...

Mehr dazu bei https://www.heise.de/news/Apotheken-Wie-Sicherheitsforscher-das-Impfzertifikats-Portal-kompromittierten-6145902.html