So einfach lässt sich der digitale Impfnachweis kopieren
Der digitale Impfnachweis gegen das Corona-Virus hat keinen Kopierschutz. Deswegen lässt der QR-Code sich beliebig oft in Smartphones einlesen und verwenden.
Hannover/Berlin – Nach mehr als anderthalb Jahren Einschränkungen wegen des Corona-Virus‘ lässt die Impfung hoffen*. Doch nicht jeder, der einen Nachweis über eine Impfung in der Tasche hat, hat auch wirklich eine Impfung erhalten. Die herkömmlichen gelben Impfpässe sind äußerst anfällig für eine Fälschung, da sie quasi über keinerlei Sicherheitsmerkmale verfügen. Doch auch der digitale Impfnachweis hat eklatante Sicherheitsmängel.
| Virus: | Coronavirus, COVID-19 |
| Krankheitserreger: | SARS-CoV-2 |
| Vorkommen: | weltweit |
| Erster bekannter Fall: | 1. Dezember 2019 |
Der QR-Code, den Geimpfte nach ihrer Impfung erhalten*, um den digitalen Impfnachweis in ihrem Smartphone einzupflegen, kann nämlich beliebig oft eingelesen werden. Das ergibt durchaus Sinn, schließlich brauchen manche ihren Impfnachweis auch mehrfach in digitaler Form. Etwa, wenn der Nachweis neben dem privaten Handy auch auf dem beruflich genutzten Handy eingespeichert werden muss.
Sicherheitslücke: Digitalen Impfausweis anderer Personen ins eigene Smartphone laden
Doch diese Methode öffnet Impfgegnern und -kritikern die Tore sperrangelweit. Denn theoretisch könnte man in seinem Smartphone auch den Impfausweis einer anderen Person einlesen und nutzen.
Wer es darauf anlegt, der kann den in einer Apotheke ausgedruckten QR-Code* gleich in drei unterschiedlichen Apps einlesen: in der Corona-Warn-App, der CovPass-App oder der Luca-App. Verbraucht sind die QR-Codes damit aber noch lange nicht. Beliebig viele weitere Nutzer können sie ebenfalls auf ihre Smartphones spielen. Zumindest mit der Corona-Warn-App oder der CovPass-App funktioniert dies problemlos.
Es reicht aber auch schon, ein Bild eines QR-Codes abzuscannen. Beispielsweise von einer Veröffentlichung im Internet*. Auch, wenn der Code leicht entfremdet oder verwischt ist, erkennen Apps ihn als gültig.
Sicherheitslücke beim digitalen Impfausweis: Digitaler Impfnachweis und Impfbuch sollen Reisen vereinfachen
Bundesgesundheitsminister Jens Spahn (CDU) hatte bereits bei der Vorstellung des Vorhabens festgestellt, dass das Interesse der Fälscher sowohl dem gelben Impfbuch der WHO als auch dem geplanten digitalen EU-Impfnachweis gelten könnte. Und beide Dokumente sollen das Reisen vereinfachen.
Wer womöglich fälschen möchte, für den genügt – wie so oft – zunächst ein Blick ins Internet. Ein bedruckbares Etikett in der Größe des Impfstoff-Aufklebers lässt sich auf Online-Marktplätzen legal kaufen. Auch selbst bestückbare Stempel sind frei verfügbar.
Impfnachweis: Chaos Computer Club bemängelt Fälschungsanfälligkeit
Der Chaos Computer Club (CCC) weist deshalb auf das Fälschungsrisiko hin: Weder das Chargenetikett der Corona-Impfung noch Arztstempel und Unterschrift im herkömmlichen Impfbuch weisen einer Stellungnahme zufolge besondere Sicherheitsmerkmale auf.
Gesundheitsminister Spahn wies zuletzt darauf hin, dass „Fehler- oder Fälschungsanfälligkeit“ mit Blick auf den digitalen Impfausweis vor allem beim Übertrag gegeben seien. Hintergrund ist, dass Bürgerinnen und Bürger, die schon vor Einführung des sogenannten CovPass vollständig geimpft worden sind, ihr digitales Zertifikat in Impfzentren, Arztpraxen und auch in Apotheken erhalten können.
Sicherheitslücke beim digitalen Impfausweis: Apotheker überprüfen Echtheit
Die Apotheker müssten also entscheiden, ob der analoge Impfeintrag im gelben Impfbuch echt ist. Spahn sagte dazu, dies könne man am Ende „nur nach fachlicher Augenscheinkontrolle machen“. Daher werde man „eine Fälschung nicht zu hundert Prozent ausschließen können“.
Apotheken sehen sich hingegen dazu in der Lage, Fälschungen zu erkennen. „Apotheker sind Arzneimittelexperten und Impfstoffe sind auch Arzneimittel“, sagte Christian Splett von der Bundesvereinigung Deutscher Apothekerverbände (ABDA). „Jede Apotheke muss jeden Tag hundert oder mehr Rezepte auf ihre Echtheit prüfen. Apotheker trauen sich daher zu, auch Impfausweise zu prüfen.“
Betrügern drohen nach Angaben des Gesundheitsministeriums indes saftige Strafen: Den Verwendern eines gefälschten Impfausweises blüht demnach Freiheitsentzug von bis zu einem Jahr oder eine Geldstrafe. Den Erstellern drohen zwei Jahre im Gefängnis oder eine Geldstrafe. „Ich kann immer nur sagen, am Ende betrügt man sich selbst“, stellte Spahn fest.
Sicherheitslücke beim digitalen Impfausweis: „Wir können nur das aufdecken, was für uns nachweisbar ist.“
Die Tatsache, dass Corona-Beschränkungen auch für negativ Getestete fallen sollen, macht das Fälschen wohl vor allem für sogenannte Corona-Kritiker attraktiv. Der Vorsitzende der Gewerkschaft der Polizei (GdP) für die Bundespolizei, Andreas Roßkopf, stellte bereits klar, dass der Handlungsspielraum für die Beamten eher gering ist. Wer die Hürde in der Apotheke nehme, der sei relativ sicher, sagte er. „Wir können nur das aufdecken, was für uns nachweisbar ist.“
Wie viele gefälschte Impfausweise während der Reisesaison entdeckt werden, wird letztlich sowohl von den Kontrollen etwa an den Grenzen als auch beim Übertrag in den Apotheken abhängen. Der Sprecher des Apothekenverbands zeigte sich zuversichtlich. Jedoch fehlten derzeit „noch der gesetzliche Rahmen und technische Details“.
Unterdessen macht die Finanzierung des digitalen Impfnachweises mächtig Ärger. Bis zu 24 Euro bekommen Apotheker, wenn sie ein Corona-Impfzertifikat für den neuen digitalen Nachweis erstellen. Kritiker halten das für unangemessen. (Mit Material der dpa) * kreiszeitung.de, 24hamburg.de, hna.de, leinetal24.de und echo24.de sind Angebote von IPPEN.MEDIA.