Den digitalen Impfausweis können wir dann wohl beerdigen

Ich sag ja schon die ganze Zeit, dass der digitale Impfausweis eine Schnapsidee ist, weil er zu vollen Fußballstadien und anderen Superspreader Events führt. Aber hey, in einem Wahljahr will man dem Volk lieber nicht erklären müssen, dass Verzicht der einzig gangbare Weg aus der Krise ist. Dann doch lieber in Hightechspielzeug investieren.

Tja, und dann passiert, wie erwartet, sowas hier: Unberechtigte verschaffen sich Zugang zur Zertifizierungsstelle

Wozu brauchen wir nochmal gleich einen digitalen Impfpass?

Wenn wir den gelben Impfpass ständig mit uns herum schleppen, dann zerfleddert der zu schnell und am Ende können wir nicht mehr an einem Superspreader Event teilnehmen, weil wir nur noch Fetzen im Portemonnaie haben. Also muss der Ausweis irgendwie aufs Smartphone…

Zum Ablauf:

1. Ihr legt euren gelben, leicht fälschbaren, Impfpass in der Apotheke vor und verlangt ein fälschungssicheres Zertifikat in Form eines QR Codes.
2. Der Apotheker prüft die Echtheit des Passes. Zulässige Verfahren hierfür sind: Geruchs- und Geschmackstest, Blick in die Kristallkugel, oder einfach blindes Vertrauen.
3. Der Apotheker tippt die Angaben (Name, Geburtsdatum, Impfdatum,…) in ein Formular des Apothekerportals. Das Portal generiert daraus einen QR Code, der auf Papier ausgedruckt wird, damit er in ein Smartphone eingescannt werden kann.
4. Die Apotheke verdient 18€.

Soweit, so lächerlich. Wir bezahlen also jemandem 18€ dafür, fälschbare potentiell gefälschte Dokumente anzuschauen, um dafür zu unterschreiben, dass diese echt sind. Wir verlassen uns dabei darauf, dass es unter den gut 17.900 Apothekern Deutschlands (sowie deren Angestellten) keine schwarzen Schafe gibt, die Impfgegnern Zertifikate als kleinen, steuerfreien Nebenverdienst verkaufen würden, denn das verstieße ja gegen die Berufsehre und spätestens bei Globuli ist da halt Schluss. Großes Apothekerehrenwort!

Aber das war doch schon vorher bekannt, was ist denn jetzt konkret geschehen?

Der deutsche Apothekerverband ist eine Dachorganisation mit freiwilliger Mitgliedschaft, der aus wettbewerbsrechtlichen Gründen auch nicht-Mitgliedern Zugang zur Zertifikatsportal geben muss. Um als freie Apotheke Zugang zu erhalten, müssen Dokumente (amtliche Betriebserlaubnis, Bescheid des Nacht- und Notdienstfonds) vorgelegt werden. Mit einem gewissem Maß an Ironie, welche auch mit einer Familienpackung Ibuprofen noch schmerzt, wurden diese Dokumente nicht ausreichend auf Echtheit geprüft, und zwei Sicherheitsforscher konnten sich als fiktive Apotheke anmelden und zwei Test Zertifikate ausstellen.

Wie groß ist jetzt der Schaden?

Holt euch mal Popcorn.

Über das Apothekerportal wurden 25 Millionen digitale Impfpässe ausgestellt. Zwei von diesen sind garantiert unberechtigt (die der Sicherheitsforscher). Aber es gibt Anzeichen, dass dieselbe Sicherheitslücke schon vorher von Kriminellen ausgenutzt wurde, die Zertifikate im Darknet angeboten haben (alternativ könnte es auch ein Apothekerazubi gewesen sein, der sein Gehalt aufbessern wollte). Wir reden also davon, dass womöglich einige hundert, vielleicht sogar wenige tausend unberechtigte Zertifikate im Umlauf sind, die von Berechtigten nicht unterschieden werden können.

Das hört sich jetzt erstmal nach nicht viel an, bedeutet aber dummerweise, dass man jetzt keinem QR Code mehr trauen kann darf, der aus einer Apotheke stammt. Folglich, wenn wir es richtig machen wollten, müssten wir also jetzt den Signaturschlüssel des DAV austauschen und damit alle durch ihn signierten Zertifikate für ungültig erklären. In diesem Fall haben wir also weitere 18€ mal 25 Millionen für Nichts durch den Schornstein geblasen. Alternativ können wir natürlich auch einfach sagen: “ach komm, austauschen ist zu teuer, damit leben wir jetzt”. Aber dann müssen wir uns halt auch fragen, warum wir weitere 18€ mal 25 Millionen für eine Luftnummer durch den Schornstein geblasen haben.

Egal wie wir uns entscheiden, es läuft in jedem Fall darauf hinaus, dass wir schon wieder massive Steuergelder in eine App Lösung versenkt haben, die nicht hält, was sie verspricht und von der von vorne herein klar war, dass sie nicht funktionieren würde.