Wie das Handelsblatt berichtet, haben IT-Sicherheitsexperten es geschafft, binnen 48 Stunden aller Sicherheitsmaßnahmen zu umgehen und offizielle, vom RKI ausgestellte Impfzertifikate zu erstellen. Sie bedienten sich dabei des Onlineportals des Deutschen Apothekerverbandes (DAV), über den die Apotheken dein Impfzertifikat erstellen konnten.

Dabei haben die Sicherheitsexperten aber keinen Hackerangriff gestartet. Sie haben sich gegenüber dem DAV lediglich als Apotheke ausgegeben. So bekamen sie einen Gastzugang zu dem Portal. Der Vorgang ist nicht unüblich, denn nicht alle Apotheken sind Mitglied in dem Verband, über einen Gastzugang können aber auch Nicht-Mitglieder die Zertifikate erstellen.

Notwendige Unterlagen für Impfnachweis gefälscht

Zur Anmeldung brauchten die Sicherheitsexperten eine Betriebserlaubnis. Diese zu fälschen war offenbar ebenso leicht wie die Vorlage eines Bescheides des Nacht- und Notdienstfonds. Der DAV winkte den Antrag durch, schickte per Post einen Registrierungscode. Zwei Tage nach ihrer fingierten Anmeldung konnten die Experten nach Darstellung des Handelsblattes ein offiziell signiertes Impfzertifikat für CovPass oder die Corona-Warn-App erstellen. Eine Prüfung, ob es die ausgedachte Apotheke überhaupt gibt, erfolgte ganz offenbar nicht.

Wie es nun weitergeht, ist unklar. Fakt ist aber: Der DAV hat die Reißleine gezogen. Du bekommst also in Apotheken derzeit keinen QR-Code mehr. Um so wichtiger ist es, dass dir dein Arzt oder das Impfzentrum diesen nach Möglichkeit direkt mitgibt. Wie es mit den bereits ausgestellten Zertifikaten weitergeht, ist unklar. Sollten weitere gefälschte Zertifikate im Umlauf sein, gibt es wohl keine Möglichkeit, diese nachträglich zu sperren und von den Handys zu löschen. Das schränkt die Vertrauenswürdigkeit des digitalen Impfnachweises massiv ein.