Demnach ist es zwei Hackern gelungen, unbemerkt Zugriff auf das Impfnachweis-Portal www.mein-apothekenportal.de zu erlangen und dort gültige Zertifikate zu erstellen – ohne die Prüfung, ob die betreffende Person geimpft ist oder nicht.
Die Hacker sollen offenbar mit dem Handelsblatt zusammengearbeitet haben, denn in einer Stellungnahme des Apothekerverband heißt es: „Das Handelsblatt hat nun mithilfe von professionell gefälschten Dokumenten einen Gastzugang für einen nicht existierenden Apothekeninhaber erzeugt. Dazu wurden eine gefälschte Betriebserlaubnis und ein gefälschter Bescheid des Nacht- und Notdienstfonds vorgelegt. Unter der gefälschten Apotheken-Identität wurden insgesamt zwei Impfzertifikate ausgestellt. Nach einer entsprechenden Information durch das Handelsblatt hat der Deutsche Apothekerverband in Rücksprache mit dem Bundesgesundheitsministerium die Ausstellung von Zertifikaten am gestrigen Mittwoch gestoppt, um zusätzlich zu der ohnehin mehrfach pro Woche laufenden Überprüfung der über Gastzugänge angemeldete Betriebsstätten eine weitere Prüfung vorzunehmen.“
Diese Prüfung habe bis Donnerstagmittag keine Hinweise auf unberechtigte Zugänge ergeben, deren Erstellung „in betrügerischer Absicht nur mit erheblichem Aufwand und krimineller Energie denkbar ist. Daher ist davon auszugehen, dass die über 25 Millionen Impfzertifikate, die bisher über Apotheken ausgestellt worden sind, alle von rechtmäßig registrierten Apotheken ausgestellt wurden“.
Allerdings werden im Darknet bereits digitale Impfzertifikate aus Deutschland angeboten, wie das Schweizer Nachrichtenportal „Watson“ berichtet. An den Kennziffern ist abzulesen, dass diese durch Apotheken ausgestellt werden. „Es ist ziemlich wahrscheinlich, dass die kriminellen Anbieter eine der aufgezeigten Schwachstellen des DAV-Portals nutzen“, sagte einer der Experten. Dass alle beim Webportal angemeldeten Apotheken noch einmal fundiert geprüft werden, birgt keine hundertprozentige Sicherheit. Denn es besteht auch die Möglichkeit, dass sich Kriminelle die Anmeldedaten einer echten Apotheke erschlichen haben. Zudem gibt es keine Möglichkeit, bereits ausgestellte Impfnachweise nachträglich zu sperren. „Die einzig ehrliche Lösung wäre, die 25 Millionen Impfnachweise, die über das DAV-Portal ausgestellt wurden, allesamt für ungültig zu erklären“, sagte einer der Experten. Beide halten das aufgrund es des dadurch entstehenden Schadens für unwahrscheinlich. In der Kritik steht neben dem DAV auch Bundesgesundheitsminister Jens Spahn (CDU). Der Weg für die Impfnachweise über die Apotheken war ursprünglich nicht vorgesehen. Er wurde aufgrund des Zeitdrucks bei dem Projekt kurzfristig eingerichtet. Das Bundesgesundheitsministerium gab auf eine Anfrage bislang keine konkrete Stellungnahme ab.
Der Apothekerverband prüft nun, „ob bzw. welche zusätzlichen Sicherheitsmechanismen gegen Missbrauch implementiert werden können oder sollen. Wann die Ausstellung von Zertifikaten wieder aufgenommen wird, steht noch nicht fest, der DAV befindet sich im engen Austausch mit dem Bundesgesundheitsministerium“.