Ist das echt? – Seite 1
Wenn jeder ein offizielles Dokument fälschen kann, dann ist es wenig wert. Deswegen wollte der Dorfdisko-Türsteher bei der Volljährigkeitskontrolle lieber den Personalausweis sehen statt des handschriftlich ausgefüllten Schülerausweises. Und deswegen steht seit Donnerstag das digitale Impfzertifikat der Bundesregierung infrage. Denn zwei renommierten IT-Sicherheitsforschern ist es gelungen, zwei falsche, aber komplett funktionstüchtige Zertifikate auszustellen – und sie benötigten dazu nur grundlegende Fähigkeiten in digitaler Bildbearbeitung.
Martin Tschirsich und André Zilch, die in der Vergangenheit bereits Sicherheitslücken in der elektronischen Patientenakte aufgezeigt hatten, gelang es, sich in das System einzuschleusen, über das Apotheken die Zertifikate ausstellen, wie das Handelsblatt zuerst berichtete. Als Reaktion schaltete der Deutsche Apothekerverband (DAV) zunächst die gesamte Infrastruktur ab, Apotheken sollen in der kommenden Woche wieder schrittweise Zugriff auf das Portal erhalten. Bis auf Weiteres können sich Geimpfte in ganz Deutschland keine digitalen Impfzertifikate in Apotheken ausstellen lassen. Arztpraxen und Impfzentren sind von der Sicherheitslücke nicht betroffen, sie können weiterhin Zertifikate ausgeben.
Das digitale Impfzertifikat CovPass soll belegen, dass eine Person gegen Covid-19 geimpft ist, ähnlich wie der Impfpass auf Papier, aber eben digital in einer App. Wer zweimal, oder im Fall von Johnson & Johnson einmal, geimpft wurde, erhält einen entsprechenden Beleg im Impfzentrum, bei der impfenden Ärztin oder, wenn die vollständige Impfung schon vor Einführung des Impfzertifikats im Juni erfolgt ist, in der Apotheke.
Es soll ermöglichen, wieder ohne Quarantäne- und Testpflichten zu reisen, und wird europaweit akzeptiert. Auch im Inland kann man mit dem Zertifikat seinen Impfschutz nachweisen, etwa in Restaurants. Mit der App CovPass Check können Kontrolleure am Flughafen oder die Barbesitzerin den QR-Code des Zertifikats scannen. Zusätzlich muss man einen Personalausweis vorzeigen, sonst könnte es schließlich das Impfdokument einer anderen Person sein. Bisher sind in deutschen Apotheken rund 25 Millionen solcher Zertifikate ausgestellt worden.
Fälschen leicht gemacht
In einer Mitteilung schreibt der DAV, dass es bislang keine Hinweise darauf gebe, dass Impfzertifikate gefälscht worden seien. Zugang zu erlangen, wie es Tschirsich und Zilch gelungen ist, sei "in betrügerischer Absicht nur mit erheblichem Aufwand und krimineller Energie denkbar". Es ist dennoch nicht auszuschließen, dass auch andere Zertifikate auf diese Weise gefälscht wurden und im Umlauf sind.
Allzu erheblich war der Aufwand nämlich nicht.
Um Zertifikate ausstellen zu können, registrierten Tschirsich und Zilch eine fiktive "Sonnen-Apotheke" im System. Sie nutzten dafür den Gastzugang für Apotheken, die nicht in einem Landesapothekerverband organisiert sind. Dazu mussten sie Scans von zwei Dokumenten vorlegen: erstens eine Betriebserlaubnis, das ist eine Urkunde, die jede Apotheke braucht, und zweitens einen Bescheid des Nacht- und Notdienstfonds, aus dem Apotheken Geld beziehen. Da einige Apotheken ihre Betriebserlaubnis auf ihrer Website veröffentlichen und auch der Inhalt eines solchen Fonds-Bescheids öffentlich zugänglich ist, war nur ein wenig Bildbearbeitung nötig, um diese Dokumente zu erstellen.
Er habe am Sonntagabend mit der Registrierung begonnen, bereits am Montagmorgen waren die Dokumente überprüft, die "Sonnen-Apotheke" freigeschaltet. "Diese Schwachstelle war wirklich einfach auszunutzen", sagt Tschirsich im Gespräch mit ZEIT ONLINE. "Man braucht dafür nicht einmal technische Kenntnisse."
"Anträge werden offenbar nicht auf Plausibilität geprüft"
Das zugrunde liegende Problem sei, sagt Tschirsich, dass der Apothekerverband ein eigenes Onlineportal für die Zertifikatserstellung aufgebaut hat, statt auf eine etablierte Infrastruktur zu setzen. Diese Plattform sei schlecht geschützt, zum Beispiel brauche man für den Log-in nur ein Passwort. Bedeutet: Ein Mitarbeiter einer Apotheke, der das Passwort weiß, könnte auch von zu Hause aus Zertifikate erstellen.
Stattdessen, sagt Tschirsich, sollten die Apotheken Zertifikate über die Telematik-Infrastruktur erstellen, so wie Arztpraxen das auch tun. Dieses System dient zur Kommunikation im Gesundheitssystem, also etwa zum Datentransfer zwischen Krankenhäusern, Praxen und Versicherungen. Auch zu diesem System haben sich Tschirsich und Zilch bereits Zugang verschafft, doch das war deutlich aufwendiger. "Es gibt für die Telematik ein aufwändiges Ident-Verfahren und das haben alle Apotheken auch schon durchlaufen", sagt Tschirsich. Den Zertifikatsprozess darüber laufen zu lassen, sei zwar mit etwas Aufwand verbunden, aber in etwa einer Woche umsetzbar, schätzt er.
Tatsächlich müssen bereits jetzt laut DAV alle Apotheken, die Zertifikate ausstellen wollen, an die Telematik angeschlossen sein, auch, wenn die Zertifikateerstellung dann über das DAV-eigene Portal läuft. Auch die IT-Sicherheitsforscher mussten bei der Anmeldung eine 19-stellige Telematik-ID eingeben. Es reichte allerdings, dass sie eine willkürliche Zeichenfolge eintippten, um damit durchzukommen.
"Diese Anträge werden offenbar überhaupt nicht auf ihre Plausibilität geprüft", sagt Tschirsich. Schon eine Google-Suche nach dem Namen der Apotheke zusammen mit der Adresse hätte ergeben, dass sie nicht existiert. "So einfach, wie diese Lücke ausnutzbar ist, ist die Wahrscheinlichkeit, dass es bereits einen Schaden gegeben hat, sehr hoch", sagt Tschirsich.
Recherchen des Schweizer Onlinemediums Watson zeigen, dass unrechtmäßig ausgestellte digitale Impfzertifikate aus Deutschland online für etwas mehr als 100 Euro zum Kauf angeboten werden. Details dazu, wie die Zertifikate erstellt wurden, nennt Watson nicht. Es gibt also keinen Beweis, dass die jetzt aufgedeckte Lücke genutzt wurde. Aber auf irgendeine Art müssen die Kriminellen Zugang zur Zertifikatsinfrastruktur erlangt haben.
Fehler mit System
Das ist vor allem deshalb ein großes Problem, weil es derzeit kaum möglich ist, nicht rechtmäßig ausgestellte Zertifikate wieder aus dem Verkehr zu ziehen. So bestätigte Martin Tschirsich am Freitag, dass die über den erschlichenen Zugang ausgestellten Zertifikate nach wie vor gültig seien, wenn man sie in der CovPass-Check-App scanne.
Dass das so ist, liegt an einem Konstruktionsfehler im System. An sich funktioniert das digitale Impfzertifikat nach einem in der IT-Sicherheit seit Langem bewährten Prinzip, einer sogenannten Public-Key-Infrastruktur. Vereinfacht gesagt hat dabei jede Entität, zum Beispiel eine Apotheke, die ein Zertifikat ausstellt, einen geheimen und einen öffentlichen Schlüssel (Schlüssel sind in diesem Fall lange Zeichenketten). Mithilfe des privaten Schlüssels wird eine eindeutige Signatur (wieder eine Zeichenkette) erstellt. Ob die echt ist, kann dann mit dem öffentlichen Schlüssel überprüft werden: Er passt nur dann, wenn die Signatur mit dem passenden privaten Schlüssel erstellt wurde.
Ein sichereres System wäre möglich
Stellt sich nun heraus, dass jemand, zum Beispiel eine "Sonnen-Apotheke", illegalerweise Zertifikate ausgegeben hat, könnte man einfach den Schlüssel dieser Apotheke für ungültig erklären. Würde man ein mit diesem Schlüssel signiertes Zertifikat überprüfen, würde das sofort auffallen – der öffentliche Schlüssel passt nicht mehr.
Nun signiert aber in der Infrastruktur, die der DAV gebaut hat, nicht wirklich die Apotheke, sondern der Verband. Die Apothekerin loggt sich in das Portal ein, gibt die nötigen Daten ein, erstellt wird das Zertifikat dann aber zentral auf den Servern des DAV, und zwar mit dessen Schlüssel, schreibt das IT-Sicherheitsunternehmen G Data in einem Blogpost. Wenn aber jedes Zertifikat mit demselben Schlüssel signiert wurde, kann man nur entweder alle Zertifikate ungültig machen – oder keins. Sprich: Das an sich sichere Schlüssel-Schloss-Prinzip ergibt keinen Sinn mehr, wenn alle denselben Schlüssel verwenden.
Bis vor Kurzem war in den Zertifikaten nicht hinterlegt, wer sie ausgestellt hat. Seit einigen Wochen gibt es nun immerhin einen solchen Identifier, eine Zeichenkette, die die ausstellende Apotheke eindeutig identifiziert. Erst dadurch bestünde nun die Möglichkeit zu überprüfen, ob ein bestimmtes Zertifikat aus einer Apotheke stammt, die es gar nicht gibt – wie die "Sonnen-Apotheke". Ein solches System existiert noch nicht, aber es wäre möglich. Unwirksam wäre es nur für ältere Zertifikate, die nicht auf eine bestimmte Apotheke rückverfolgbar sind.
Wir müssen schon sehen, dass diese Zertifikate nicht komplett verwässern und unglaubwürdig werden.
Technisch gesehen müsste man alle Zertifikate ungültig machen, um wirklich sicherzugehen, dass kein einziges gefälschtes im Umlauf ist. Das hält Martin Tschirsich für deutlich übertrieben. Im Augenblick deutet auch wenig darauf hin, dass in Apotheken ausgestellte Zertifikate ungültig erklärt werden müssen. "Ein solches System kann tolerieren, dass es einige wenige gefälschte Zertifikate gibt", sagt er.
Wenn aber der begründete Verdacht besteht, dass sehr viele Fälschungen im Umlauf sind, wird das ganze System unbrauchbar. Deshalb fordert Tschirsich, dass die oben beschriebene Möglichkeit, Zertifikate einer bestimmten Apotheke zurückrufen zu können, schnell implementiert werden solle. Optimal sei dieser Weg zwar nicht, denn diese Art des Rückrufs würde sich möglicherweise auf das Inland beschränken und im Ausland würde das Zertifikat weiterhin als gültig angezeigt werden. Aber es sei besser als nichts, sagt Tschirsich. "Wir müssen schon sehen, dass diese Zertifikate nicht komplett verwässern und unglaubwürdig werden."
Wenn jeder ein offizielles Dokument fälschen kann, dann ist es wenig wert. Deswegen wollte der Dorfdisko-Türsteher bei der Volljährigkeitskontrolle lieber den Personalausweis sehen statt des handschriftlich ausgefüllten Schülerausweises. Und deswegen steht seit Donnerstag das digitale Impfzertifikat der Bundesregierung infrage. Denn zwei renommierten IT-Sicherheitsforschern ist es gelungen, zwei falsche, aber komplett funktionstüchtige Zertifikate auszustellen – und sie benötigten dazu nur grundlegende Fähigkeiten in digitaler Bildbearbeitung.