Datenmissbrauch droht

Digitaler Impfpass leicht anfällig für Betrug: Bundesamt für Sicherheit unternimmt aber nichts

Kaum eingeführt, sorgt er schon für Ärger: Der digitale Impfpass ist äußerst anfällig für Betrug. Unternommen werden soll aber nichts.

Dortmund/Bonn – Ob beim Restaurantbesuch oder an der Hotelrezeption: Das Leben sollte mit der Einführung des digitalen Impfpasses Anfang Juni deutlich erleichtert werden. Mit einem digitalen QR-Code kann man ab sofort kinderleicht den Nachweis für die Corona-Impfung liefern. Kinderleicht sollen es allerdings auch Betrüger haben. Hat der digitale Impfnachweis ein Sicherheitsproblem?

BehördeBundesamt für Sicherheit in der Informationstechnik
HauptsitzBonn
AufgabeFragen der IT-Sicherheit
PräsidentArne Schönbohm

Digitaler Impfpass erleichert den Nachweis für die Corona-Impfung – aber es gibt Probleme

Inzwischen hat bereits jeder Zweite in Deutschland eine erste Corona-Impfung erhalten (Stand 21. Juni). Den Nachweis dafür gibt es nicht nur in dem typischen gelben Impfheft, sondern auch als QR-Code – entweder auf Papier ausgedruckt oder in digitaler Form, eingelesen in einer App.

Dieser QR-Code sollte den Nachweis der Corona-Impfung deutlich erleichtern. Statt stundenlang im Impfheft zu blättern, reicht ein Scann des Codes. In Sekundenschnelle wird dann klar, ob, wie oft und mit welchem Vakzin eine Person geimpft ist. Was einerseits extrem praktisch klingt, könnte andererseits aber auch zum Problem werden. Denn genau dieser QR-Code ist möglicherweise nicht fälschungssicher (mehr Verbraucher-Warnungen bei RUHR24).

Sicherheitslücken beim digitalen Impfausweis: QR-Code kann kopiert werden

Wie Business Insider, aber auch der MDR herausgefunden haben, gibt es Sicherheitslücken bei dem QR-Code und Betrüger haben ein leichtes Spiel. Aber was genau passiert? Wer sich bei Impfzentren, Apotheken oder Ärzten den Impfnachweis ausstellen lässt, kann diesen im Anschluss mit der Corona-Warn-App oder der neuen App CovPass einlesen.

Das Problem: Das kann beliebig oft und auf mehreren Geräten passieren, denn die Apps verifizieren die Identität des Nutzers oder besser gesagt des Geimpften nicht. Sie haben lediglich Angaben wie Name, Geburtsdatum und das Impfdatum gespeichert. Der Impfstatus einer Person kann folglich gestohlen und von zahlreichen Personen genutzt werden. Um dem vorzubeugen, sollte man daher niemals ein Foto des QR-Codes machen und möglicherweise in den Sozialen Medien veröffentlichen.

Digitaler Impfpass: Behörde will nichts gegen mangelnde Fälschungssicherheit machen

Das Fatale: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weiß über diese Sicherheitslücke Bescheid und hat jedoch in nächster Zeit nicht vor, diese zu schließen. Auf Anfrage von Business Insider sagte die Behörde folgendes:

Wird der QR-Code eines Impfzertifikates von der Corona-Warn-App oder der CovPass-App – einer sogenannten Wallet-App – eingelesen, werden die Informationen aus dem Impfzertifikat ausgelesen und im Klartext angezeigt. Da die Wallet-Apps die Identität der App-Nutzer nicht kennen, können sie nicht überprüfen, ob die jeweilige Identität mit dem Impfling übereinstimmt. Somit ist es möglich, Impfzertifikate anderer Personen in seine Wallet-App zu laden!

BSI-Sprecher gegenüber Business Insider

Digitaler Impfpass: Sichere Variante verliert gegen schnell umsetzbare Lösung

Dass der QR-Code beliebig oft kopiert und auf mehreren Geräten eingelesen werden kann, hat auch Vorteile: Geht das Smartphone mit dem digitalen Impfnachweis verloren, kaputt oder wird erneuert, ist es kein Problem, das Dokument jederzeit – und völlig unbürokratisch – auf ein neues Handy zu übertragen (mehr News über digitale Themen bei RUHR24).

Fällt es allerdings Betrügern oder Datendieben in die Hände, hat das fatale Folgen. Das BSI und das Bundesgesundheitsministerium weisen deshalb darauf hin, dass der digitale Impfpass nur in Verbindung mit einem Personalausweis gültig ist. Das gelte auch für den gelben Impfpass oder den Ausdruck des QR-Codes.

Daher habe man nicht vor, in nächster Zeit den digitalen Impfausweis noch einmal zu überarbeiten. In einem ersten Entwicklungsschritt war zwar auch bei der deutschen Bundesregierung eine diebstahlsichere Variante im Gespräch gewesen, aus Zeitgründen habe man sich jedoch dann für schnell umsetzbare Lösung entschieden.

Digitaler Impfpass: Nur in Verbindung mit dem Personalausweis gültig

Außerdem habe der QR-Code den Vorteil, dass die Daten über den Geimpften und die Impfung an sich im Nachhinein nicht manipulierbar seien. „Er ist kryptographisch vor Veränderungen geschützt“, gibt das Bundesgesundheitsministerium dazu an.

Das BSI betont daher noch einmal, dass das Personal im Restaurant, Hotel oder am Flughafen, die den Nachweis der Corona-Impfung prüfen, immer nach dem Personalausweis oder dem Reisepass fragen sollten. Beim Gesundheitsministerium heißt es dazu nur, dass bei der Überprüfung von digitalen Impfnachweisen gegebenenfalls ergänzend ein Lichtbildausweis vorzulegen sei.

Bei Fälschung von digitalem Impfpass droht ein Jahr Freiheitsstrafe

Der Chaos Computer Club hegt daher Zweifel an der Umsetzung. Gegenüber dem MDR sagte Linus Neumann, Mitglied des Vereins, dass er nicht glaube, dass bei den Kontrollen häufig der Ausweis verlangt werde – zudem es nicht im Interesse der Veranstalter oder Gastronomen sei, Kunden wegzuschicken. „Wer für 8,50 Euro die Stunde am Einlass steht, wird sich da keinen Stress machen.“ Und weiter: „Von daher wird das nicht so funktionieren, wie man sich das vorstellt.“

Linus Neumann vom Chaos Computer Club hegt Zweifel an der Sicherheit des digitalen Impfpasses.

Eine Sache wird Betrüger aber möglicherweise dennoch vor dem Datenklau abhalten. Wer den QR-Code fälschlicherweise nutzt, ihn vervielfältigt und verbreitet, macht sich strafbar. Es handelt sich dabei laut des deutschen Strafgesetzbuches um Missbrauch von Ausweispapieren. Es droht eine Freiheitsstrafe von bis zu einem Jahr oder eine Geldstrafe.

Rubriklistenbild: © Oliver Dietze/dpa