Audio

Loca-tag 'teaser_more_audio_sr' not found hr-Reporterin Sophia Luft über die Lücken im Digitalen Impfpass

Digitaler Impfpass auf dem Smartphone

Mit dem digitalen Impfpass soll alles einfacher werden: international gültig, ohne Papierkram, jederzeit zur Hand und einfach zu handhaben. Aber ebenso einfach lässt er sich austricksen.

Wer bereits zweimal gegen Corona geimpft wurde, kann sich seit Montag einen digitalen Impfausweis ausstellen lassen. Nach Vorlage des gelben Impfpasses können Hausärzte, Impfzentren und ausgewählte Apotheken einen sogenannten QR-Code ausdrucken, der von der Corona-Warn-App oder der App CovPass eingelesen werden kann. Die Apps generieren wiederum einen QR-Code, der dann jederzeit vorgezeigt werden kann: beim Friseurbesuch, in einem Lokal, beim Grenzübertritt auf dem Weg in den Urlaub, im Hotel.

Klingt simpel, lässt sich in der Praxis aber ebenso simpel manipulieren: So ist es etwa möglich, die vorgeschriebene 14-tägige Wartezeit zwischen zweiter Impfung und vollständigem Impfschutz mit einem simplen Trick am Smartphone zu umgehen. Das kann jeder Nutzer und jede Nutzerin ohne große technische Kenntnisse machen. Danach zeigen beide Apps auf dem Display vollen Impfschutz an - vorzeitig, denn der umfassende Schutz besteht erst zwei Wochen nach der zweiten Impfdosis. Der Autor dieses Berichts hat den Trick zu Testzwecken selbst angewandt - er funktioniert.

Bundesgesundheitsministerium verweist auf QR-Code

Das Bundesministerium für Gesundheit, das hinter beiden Apps steht, weist in einer Antwort auf eine Anfrage des hr darauf hin, dass in dem QR-Code der Apps weiterhin die korrekten Impfdaten hinterlegt seien und diese beim Einscannen auch angezeigt würden.

Screenshot aus der App CovPass

Wird allerdings nur nach Sicht kontrolliert, was durchaus üblich ist, können sich Nutzerinnen und Nutzer der Apps durch diesen Trick dennoch Zutritt zu Veranstaltungen oder Innenräumen verschaffen, obwohl sie noch keinen vollen Impfschutz besitzen. So ist etwa die Bundespolizei, die am Frankfurter Flughafen für die Überprüfung des digitalen Impfpasses zuständig ist, nach Angaben eines Sprechers aktuell noch gar nicht mit entsprechenden Scannern ausgestattet.

Digitaler Impfpass lässt sich leicht entwenden

Darüber hinaus ist es möglich, den digitalen Impfpass von einem Smartphone auf ein anderes zu übertragen, so dass theoretisch beliebig viele Personen mit dem Impfpass eines einzelnen Menschen unterwegs sein könnten. Zwar sollte bei der Kontrolle immer der Personalausweis verlangt werden, aber auch das findet in der Praxis nicht zuverlässig statt. Es ist sogar möglich, die Daten des digitalen Impfpasses bei Kontrollen zu entwenden, ohne dass die geschädigte Person etwas davon mitbekommt.

Tila Farzan, Inhaberin der Schwarzburg-Apotheke in Frankfurt, zeigt sich besorgt ob der Sicherheitslücken: "Dass man das so manipulieren kann, ist natürlich beunruhigend. Eine Lösung wäre dann vielleicht, dass wir in der Apotheke den QR-Code erst herausgeben, wenn die zwei Wochen nach der zweiten Impfung vorbei sind und man den vollen Impfschutz auch wirklich hat." Damit wäre zumindest das Problem mit der Umgehung der 14-tägigen Wartezeit gelöst.

IT-Experte kritisiert digitalen Impfpass scharf

Dass es wie bereits bei der von vielen hessischen Gesundheitsämtern zur Nachverfolgung genutzten Luca-App nun auch beim digitalen Impfpass zu Sicherheitsproblemen kommt, wundert Ahmad-Reza Sadeghi nicht. "Das passiert, wenn man Apps unüberlegt auf den Markt bringt", sagt der Professor für Informatik an der TU Darmstadt im Gespräch mit dem hr.

Der Experte für IT-Sicherheit vermutet, dass hier der schnelle Erfolg über die nötige Sicherheit gestellt wurde. In der jetzigen Form würde er dem digitalen Impfpass in Deutschland noch gerade so die Schulnote vier verpassen: "Er funktioniert, aber schlecht."

Armband mit Chip für Senioren?

Doch wie kann man es besser machen? Sadeghi schlägt vor, nicht nur auf eine einzige technische Lösung zu setzen, sondern Alternativen anzubieten. Um sicher zu sein, müsse der digitale Impfpass mit dynamischen QR-Codes arbeiten, die sich regelmäßig aktualisieren und nicht so leicht missbraucht werden können.

Somit könnten zwar ältere Menschen, die mit Smartphones vielleicht nicht so gut zurechtkommen, den Code nicht mehr ausdrucken und in Papierform vorlegen, aber für diesen Fall schlägt Sadeghi eine andere Lösung vor. Diese Personen könnten etwa mit einem kostengünstigen Armband inklusive Chip ausgestattet werden, das sie immer bei sich tragen. Darauf könnte der Impfpass gespeichert sein und ebenso leicht elektronisch eingelesen werden. Somit wäre allen Personengruppen geholfen und der Sicherheit Genüge getan, findet der IT-Professor.

Das habe er in der Vergangenheit auch bereits dem hessischen Digitalministerium und dem Robert-Koch-Institut in Berlin vorgeschlagen, sagt Sadeghi - jedoch ohne Erfolg. Ob und wann die Fehler in den Apps behoben werden, ist unklar.

Weitere Informationen Ende der weiteren Informationen