Kategorien: News

Impfstatus kann von Betrügern geklaut werden
Impfstatus kann von Betrügern geklaut werdenImpfstatus kann von Betrügern geklaut werden

Kaum das der digitale Impfpass eingeführt ist, gibt es auch schon den ersten Ärger. Der Impfstatus von anderen Menschen lässt sich offenbar absolut problemlos klauen.

Eine entsprechende Anfrage von „Business Insider“ hat jetzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt. Der Diebstahl ist auf diese Weise möglich: In den gelben Impfpass kann man die erhaltene Erst- und Zweitimpfung eintragen lassen. Mit diesem Nachweis kann man sich bei Ärzten, Impfzentren und auch den Apothekern ein digitales Impfzertifikat mit einem QR-Code ausdrucken lassen. In diesem Code ist dann unter anderem der Name der Person, das Impfdatum und die Angaben zum verabreichten Impfstoff enthalten. Sowohl von der Corona-Warn-App als auch der neuen CovPass-App kann dieser QR-Code dann ausgelesen werden.

Digitaler Impfpass mit Sicherheitslücke

Die Apps erstellen nach dem einlesen der Daten dann eigenständig einen QR-Code, der unter anderem in Restaurants, bei Friseuren sowie im Urlaub und der Einreise in ein anderes Land vorgezeigt werden kann. Das Personal in einem Hotel oder einem Restaurant weiß anhand dieses Codes somit, ob man geimpft ist oder nicht. Der Impfstatus eine Person ist also erkennbar. Der entscheidende Vorteil dieser Apps und des QR-Codes ist somit, dass man nicht ständig und überall seinen Impfpass dabeihaben muss. Man vermeidet so als Geimpfter beim Frisör, Shoppen oder auch Verreisen, Quarantäne- und Test-Pflichten erfüllen zu müssen.

Doch der Impfstatus kann möglicherweise beim Einlesen des persönlichen QR-Codes mittels der neuen CovPass-App geklaut werden. Beliebig viele Menschen haben so theoretisch die Möglichkeit, den digitalen Impfpass einer Person zu nutzen.

Es sollte immer nach dem Personalausweis gefragt werden

Auf Nachfrage hat die auch das BSI bestätigt. „Wird der QR-Code eines Impfzertifikates von der Corona-Warn-App oder der CovPass-App – einer sogenannten Wallet-App – eingelesen, werden die Informationen aus dem Impfzertifikat ausgelesen und im Klartext angezeigt. Da die Wallet-Apps die Identität der App-Nutzerinnen und -Nutzer nicht kennen, können sie nicht überprüfen, ob die jeweilige Identität mit dem Impfling übereinstimmt. Somit ist es möglich, Impfzertifikate anderer Personen in seine Wallet-App zu laden“, sagte gegenüber dem „Business Insider“ ein Sprecher der Behörde.

Daher betonte das BSI, dass nur in Verbindung mit der Vorlage des Personalausweises die Verwendung des digitalen Impfnachweises gültig sei. Es sei wichtig, dass die Personen, die am Eingang eines Restaurants oder Hotels immer auch den Personalausweis prüfen müssten.