Yahoo Finanzen Sicherheitslücke beim digitalen Impfausweis: So leicht ist es, den Impfstatus anderer Menschen zu stehlen
Kaum eingeführt, gibt es Ärger um den neuen digitalen Impfausweis: Offenbar lässt sich der Impfstatus von anderen Menschen problemlos stehlen. Das bestätigt das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf Anfrage von Business Insider.
So ist der Missbrauch möglich: Wer eine Erst- oder Zweitimpfung erhalten hat und das in seinen gelben Impfpass hat eintragen lassen, kann sich bei Ärzten, Impfzentren oder Apotheken ein Impfzertifikat mit einem QR-Code ausdrucken lassen. Dieser Code enthält den Namen, das Datum der Impfung und Angaben, welcher Impfstoff benutzt wurde. Der QR-Code lässt sich dann von der Corona-Warn-App oder der neuen App CovPass einlesen.
Einmal eingelesen, erstellen die Apps anschließend ihrerseits einen QR-Code, den man in Restaurants, bei Friseuren, im Urlaub oder bei Einreisen in einen anderen Staat vorzeigen kann. Wird der Code beispielsweise in einer Gaststätte oder in einem Hotel eingelesen, weiß das Personal, ob und wann jemand geimpft ist oder nicht. Mit anderen Worten: Es kennt den Impfstatus einer Person. Man muss nicht mehr ständig den gelben Impfpass mitnehmen, um als Geimpfter Quarantäne- und Test-Pflichten beim Friseur, Shoppen oder Verreisen zu vermeiden.
Doch offenbar ist es möglich, dass beim Einlesen des persönlichen QR-Codes der neu entwickelten CovPass-App der Impfstatus gestohlen werden kann. So können theoretisch beliebig viele Menschen den digitalen Impfpass einer Person nutzen. Das bestätigt das BSI auf Anfrage: "Wird der QR-Code eines Impfzertifikates von der Corona-Warn-App oder der CovPass-App – einer sogenannten Wallet-App – eingelesen, werden die Informationen aus dem Impfzertifikat ausgelesen und im Klartext angezeigt. Da die Wallet-Apps die Identität der App-Nutzerinnen und -Nutzer nicht kennen, können sie nicht überprüfen, ob die jeweilige Identität mit dem Impfling übereinstimmt. Somit ist es möglich, Impfzertifikate anderer Personen in seine Wallet-App zu laden", so ein Sprecher.
Das BSI betont, dass aus eben diesem Grund die Verwendung des digitalen Impfausweises nur in Verbindung mit dem Personalausweis gültig sei. Diejenigen, die beispielsweise im Restaurant oder im Hotel den QR-Code einlesen, sollten daher immer auch nach dem Personalausweis fragen.
https://twitter.com/Anaesthet1/status/1404514133933015043?s=08
Der BSI-Sprecher betont: "Auch der ausgedruckte QR-Code oder der gelbe Impfpass kann durch Diebstahl oder Weitergabe an Dritte geraten und ist ausschließlich in Zusammenhang mit einem Personalausweis gültig." Der Sicherheitsgewinn des digitalen Impfnachweises bestehe darin, dass durch eine elektronische Signatur die Daten über die geimpfte Person und den Impfstoff nicht nachträglich manipulierbar seien.
Trotzdem gibt es kritische Stimmen. Das Problem sei technisch zu lösen. Auch in der Bundesregierung soll ursprünglich eine diebstahlsichere Variante im Gespräch gewesen sein, doch hätte dies einen zeitlichen Mehraufwand bedeutet. Wichtiger sei es gewesen, dass die App vor den Sommerferien bereitstand.
