Der gelbe analoge Impfpass kann seit dem 14. Juni durch einen digitalen Impfpass ersetzt werden.
+
Der gelbe analoge Impfpass kann seit dem 14. Juni durch einen digitalen Impfpass ersetzt werden.

Bundesbehörde: „Das ist möglich“

Sicherheitslücke im digitalen Impfausweis: Betrüger könnten Daten stehlen - „die Zertifikate sind kopierbar“

  • Andreas Schmid
    VonAndreas Schmid
    schließen

Kaum auf dem Markt und schon gibt es Probleme? Der digitale Impfausweis ist offenbar unsicherer als gedacht. Betrüger könnten den Impfstatus stehlen.

Bonn - Seit kurzem gibt es in Deutschland den digitalen Impfpass. Gegen das Coronavirus* geimpfte Personen können dadurch leichter nachweisen, eine Impfung erhalten zu haben. Was von vielen Menschen als sinnvolle bis überfällige Möglichkeit, sich vom gelben Impfpass zu verabschieden, gesehen wird, birgt allerdings auch Probleme. Offenbar ist der digitale Impfpass unsicherer als gedacht.

Corona: Sicherheitslücke im digitalen Impfausweis? Betrüger könnten Zertifikate klauen

Denn der durch den QR-Code generierte digitale Impfstatus lässt sich von Betrügern offenbar ohne großen Aufwand abrufen und missbrauchen. Der Business Insider berichtet von einer „Sicherheitslücke beim digitalen Impfausweis“. In dem Code sind der Name der geimpften Person, das Datum der Impfung und Angaben zum Impfstoff* enthalten. Die Corona-Warn-App oder die neu geschaffene App CovPass* lesen den Code anschließend ein und erstellen einen weiteren QR-Code. Dieser fungiert dann als Eintrittskarte in Restaurant, Stadion & Co.

Aber wie sicher ist der digitale Impfpass? „Der digitale Impfnachweis ist kryptographisch vor Veränderungen geschützt“, heißt es dahingehend vom Bundesgesundheitsministerium*. „Alle digitalen Impfnachweise werden nur temporär im Impfprotokollierungssystem erstellt und anschließend gelöscht. Dauerhaft gespeichert werden sie nur dezentral auf den Smartphones der Nutzer.“

Corona: Wie sicher ist der digitale Impfpass? „Es ist möglich, andere Impfzertifikate in seine App zu laden“

Diese dezentrale Speicherung schützt jedoch offenbar nicht vor Missbrauch. Denn offenbar ist es möglich, dass der Impfstatus geklaut werden kann und somit beliebig viele Personen gleichzeitig denselben QR-Code verwenden. Das bestätigt das Bundesamt für Sicherheit in der Informationstechnik dem Business Insider. „Wird der QR-Code eines Impfzertifikates von der Corona-Warn-App oder der CovPass-App – einer sogenannten Wallet-App – eingelesen, werden die Informationen aus dem Impfzertifikat ausgelesen und im Klartext angezeigt.“

Das sorge für Probleme: „Da die Wallet-Apps die Identität der App-Nutzerinnen und -Nutzer nicht kennen, können sie nicht überprüfen, ob die jeweilige Identität mit dem Impfling übereinstimmt.“ Heißt konkret: „Somit ist es möglich, Impfzertifikate anderer Personen in seine Wallet-App zu laden.“

Corona: Digitaler Impfpass - Experte rät zu sensiblem Umgang: „Die Zertifikate sind kopierbar“

Um dem vorzubeugen, müsse der digitale Impfausweis in Verbindung mit einem Lichtbildausweis vorgelegt werden. Wie stark darauf in der Realität geachtet wird, lässt sich jedoch nicht beurteilen. Experten raten daher zu einem sensiblen Umgang mit dem Impfpass. „Die Zertifikate sind kopierbar“, sagt Holger Bleich vom Fachmagazin c't. Der Experte rät, das Zertifikat nur für offizielle Anlässe wie Reisen oder im Grenzverkehr zu nutzen. Im Alltag helfe zudem skeptisches Nachfragen: „Wenn am Biergarten jemand den Impfstatus checkt, würde ich mir zeigen lassen, dass das auch wirklich die Check-App ist“, sagt Bleich.

Die CovPass-Check-App erkennt man am weißen App-Symbol mit blauem Schild - im Gegensatz zur CovPass-App mit blauem Symbol und weißem Schild. Checkt man mit ihr ein Impfzertifikat, erscheint auf dem Telefon der kontrollierenden Person ein grüner Haken - dazu Name, Nachname und Geburtsdatum der geimpften Person. (as/dpa) *Merkur.de ist ein Angebot von IPPEN.MEDIA

Auch interessant

Mehr zum Thema

Kommentare