Digitaler Impfpass: Sicherheit verbessern, keinen QR-Code im Internet posten, Immuny-App

Sicherheit (Pexels, allgemeine Nutzung)Seit einigen Tagen steht ja der digitale Impfpass zum Nachweis eines COVID-19-Impfschutzes in Deutschland zur Verfügung. Zum Start gingen Nachrichten über vermeintliche Sicherheitslücken durch die Medien. Kann man da was gegen tun? Und dann gibt es noch den Ratschlag von Sicherheitsexperten, die QR-Codes, die man bei einer Impfung im Impfzentrum erhält, nicht einfach mal so im Internet zu posten. Denn sonst droht Missbrauch. Und es gibt eine weitere App Immuny zum Impfnachweis.


Anzeige

Stolzer Impfling, gleich mal im Netz posten

Mir sind sie ja öfters untergekommen, die Fotos von Leuten, die ein oder zwei Mal geimpft wurden und gleich ein Selfie auf Facebook, Twitter und Co. posten mussten. Mir sind auch Fotos der betreffenden COVID-19-Impfnachweise aus dem gelben Impfbuch unter die Augen gekommen. Immerhin waren die Leute so schlau, die Chargennummern der Impfdosen zu schwärzen.

In diesem Artikel des Redaktionsnetzwerks Deutschland, RND; weist ein Sicherheitsexperte darauf hin, dass man die QR-Codes, die für die digitalen Impfzertifikate ausgestellt bekommt, nicht als Screenshot oder Foto im Internet posten solle. Denn jeder, der diese QR-Codes in die Finger bekommt, könnte diese dann in einer Check-App einscannen. So hätte er einen Nachweis der Impfung, auch wenn die Daten nicht zur jeweiligen Person passen.

Das war dann auch die "Sicherheitslücke", die von Medien am ersten Tag des Impfstarts gemeldet wurde. Dort stellte sich heraus, dass man die QR-Codes der Impfzertifikate gleich mehrfach in verschiedenen Apps einlesen könne. So what? Das ist by design, denn es kann ja sein, dass gleich mehrere Smartphones von einer Person genutzt werden, oder das Gerät wird gewechselt und geht verloren. Dann muss der Geimpfte ja die noch vorhandenen Zertifikate in Papierform erneut scannen können.

Die Impf-Apps rumpeln …

Ich selbst bin ja bezüglich Impfnachweisen ein "armer Tropf", zwei Impfungen in den Oberarm gerammt bekommen, zwei Einträge im gelben Impfbuch, und alles war gegessen. Meine Frau erhielt vom Impfzentrum noch jeweils ein DIN A4-Blatt mit einem QR-Code der Impfdaten als Nachweis. Ich habe es nicht getestet, aber der Nachbar meinte, dass er diese QR-Codes nicht in die Impf-Check-App importieren konnte.

Da wir in der Familie durchgeimpft sind, haben wir in einer Apotheke die digitalen Impfnachweise in Papierform erstellen lassen. Als es dann an die Übernahme in Apps ging, gab es durchaus Überraschungen. Meiner Frau und meiner Tochter habe ich die CovPass-App des RKI auf die Smartphones installiert. Bei der Übernahme der QR-Codes aus den Impfzertifikaten musste ich mehrere Ansätze versuchen und den Scan mehrfach wiederholen, bis sich was tat. Am Ende waren die Zertifikate eingescannt und in der App kann man den Impfstatus ablesen. Dort werden dann Name des Geimpften sowie die Impfdosen, sowie die Gültigkeit für ein Jahr, samt eines QR-Codes angezeigt. Aber kein "grüner Balken" für eine erfolgreiche Impfung, wie in der Werbung suggeriert.

 CovPass-App des RKI

Ich selbst hatte die Corona-Warn-App des RKI auf dem Smartphone installiert, die auch ein Kontakt-Tagebuch sowie die Erfassung von PCR-Tests und der Impf-Zertifikate unterstützt. Der Scan der QR-Codes der Impfzertifikate klappte wie am Schnürchen, drauf gehalten, schon war das Zertifikat importiert. Dort kann man die Impfdaten samt QR-Code ebenfalls einsehen.

Das Ganze zeigt schon die unterschiedliche Qualität der Apps, die beim Scan-Vorgang durchaus patzen können. Gänzlich skurril wurde es bei der CovPass-App des RKI, als ich im Rahmen dieses Beitrags nochmals die QR-Codes meiner digitalen Zertifikate einscannen wollte. Das erste Impfzertifikat wurde nach einigem Probieren erkannt und importiert. Beim zweiten Impfzertifikat wollte der Scan erst nicht, und als es endlich klappte, erschien die Nachricht, dass dieses Impfzertifikat ungültig sei. Ich habe es mehrfach wiederholt und bekam das gleiche Ergebnis.

Die Immuny-App als Lösung

Die oben aufgezeigten Probleme, dass der digitale Impfnachweis nur mit einer Identifikation durch Personalausweis möglich ist, will ein weiterer Anbieter per Immuny-App umgehen. Dazu schreibt der Anbieter:


Anzeige

Verwiesen wird auf die geltenden Richtlinien: Es müsse bei der Kontrolle des digitalen Impfnachweises, wie bei jedem anderen Zertifikat, immer auch der Ausweis der vorzeigenden Person kontrolliert und mit dem digitalen Impfnachweis abgeglichen werden.

Doch wo passiert dies zuverlässig und ohne Augenzwinkern bei der Kontrolle? Spätestens, wenn beim Eintritt in das Stadion lange Schlangen entstehen, weil neben den digitalen Impfnachweisen zusätzlich auch Papiernachweise, Schnelltests und Genesenenzertifikate geprüft werden müssen, dürfte das mit der Identitätsprüfung schnell zweitrangig werden.

So lässig und cool das für den Besucher eines Großevents sein mag, einfach und ohne gültige Impfung durchgekommen zu sein, so fatal wirkt sich diese Systemschwäche auf die Bemühungen aus, das Pandemiegeschehen unter Kontrolle zu halten, wenn Kontaktdaten falsch sind und nicht nachverfolgt werden können. Für Gesundheitsämter ein Horrorszenario.

Genau aus diesem Grund haben viele Gesundheitsämter in NRW nicht auf die App Luca gesetzt, nachdem sich neben anderen Sicherheitsmängeln herausgestellt hat, dass die von Luca gelieferten Daten in vielen Fällen unbrauchbar waren. Auch hier werden die Nutzer nicht geprüft oder einer existierenden und geprüften Identität zugeordnet. Der digitale Impfnachweis also als echtes Sicherheitsproblem?

„Eigentlich nicht. Die digitale Strecke muss nur zu Ende gedacht werden", sagt Istok Kespret, Geschäftsführer bei HMM Deutschland GmbH. Die Moerser Firma geht mit der App „immuny" einen anderen Weg. Am Anfang steht immer die Registrierung eines neuen Nutzers mit einer sicheren Identitätsprüfung.

„Das – und nur das – ist der Grund, warum bei der Registrierung private Nutzer den Ausweis kontrollieren lassen müssen. Unsere Mitarbeiter sehen sich die eingebenden Daten an und vergleichen sie mit den eingereichten Ausweisdokumenten. Wenn alles passt, wird der Benutzer zugelassen. Damit haben wir einen geprüften und authentifizierten Benutzer, mit gültigem Namen, Anschrift- und Kontaktdaten. Aus meiner Sicht ist das die absolute Voraussetzung für alles, was danach kommt: digitaler Impfnachweis, Schnelltests, insgesamt alle 3G-Nachweise sowie der Kontaktnachweis", so Kespret.

Was bedeutet dies konkret in Bezug auf den neuen digitalen Impfnachweis? „Der authentifizierte Benutzer von immuny fotografiert mit der immuny.App den digitalen Impfnachweis. Diesen hat er direkt bei seinem Arzt, der Impfstelle oder von einer Apotheke bekommen. Der Code wird von unseren Mitarbeitern in sich und gegen die hinterlegten Daten des Benutzers geprüft. Wenn alles in Ordnung ist, dann wird der QR-Code des Impfnachweises im Konto des Benutzers in immuny hinterlegt und ist somit immer verfügbar. Sicher und geprüft. Mit sicherer Identität. Und damit sind alle Sicherheitsbedenken hinfällig."

Weitere Informationenunter www.immuny.net.  Allerdings habe ich mir das Immuny-System nicht angesehen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Digitaler Impfpass: Sicherheit verbessern, keinen QR-Code im Internet posten, Immuny-App

  1. Lothar sagt:

    immuny: Und damit sind alle Sicherheitsbedenken hinfällig.

    Unsere Mitarbeiter sehen sich die eingebenden Daten an und vergleichen sie mit den eingereichten Ausweisdokumenten. Wenn alles passt, wird der Benutzer zugelassen. Damit haben wir einen geprüften und authentifizierten Benutzer, mit gültigem Namen, Anschrift- und Kontaktdaten.

    Das ist doch genau das, was aus "Datenschutzgründen" eben keiner wollte!!

  2. Herr IngoW sagt:

    Wenn Gaststätten, Stadien usw. daran halten würden, könnte es auch funktionieren.
    Ich war schon an mehreren Orten wo es kontrolliert werden sollen, aber nix ist passiert. Hauptsache die Leute kommen und geben reichlich Geld aus.
    Die Gier über-wiegt leider wieder, wie damals in Ischgl.

  3. nook sagt:

    Und noch eine App die Daten speichert!
    Ihre Daten sind bei uns sicher … ;-)

    Perso und QR auf Papier.
    Nur, wo bleiben die gescannten Daten, auf welchem (verseuchten) Gerät?

    • Paul sagt:

      Wenn es in der App wäre ginge es ja.
      Anscheinend werden die Rohdaten im Klartext auf irgendwelchen Servern von Privatleuten gespeichert.

      Wer finanziert den Laden?

  4. Oliver L sagt:

    Es braucht keine zusätzliche App. Die Corona-Warn-App hat man sowieso drauf, sofern technisch möglich, es sei denn man trägt auch keine Maske in Innenräumen bei engen Personenkontakten – beides ist gleichermaßen asozial. Und wenn man keine sehr persönlichen Daten von sich dumb veröffentlicht, ist alles gut. Thema erledigt. Läuft.

  5. Rene sagt:

    Ich habe mir die App covPass installiert und die QR Codes eingescannt.
    Keine Probleme damit gehabt. 👍

    https://play.google.com/store/apps/details?id=de.rki.covpass.app

  6. Sam sagt:

    Die CovPass-App hat unter iOS ein Problem!

    Im Gegensatz zur Corona-Warn-App können bei der CovPass-App QR-Codes nicht eingescannt werden, wenn das Handy keine Code/PIN Sperre eingerichtet hat!!

    Siehe die zahlreichen Negativbewertungen im AppStore und das hier https://github.com/Digitaler-Impfnachweis/covpass-ios/issues/6

  7. mvo sagt:

    Ich habe die App covPass auf Android 11 Smartphone installiert und gleich am ersten Tag der Aktion absolut problemlos den QR-Code einlesen können. Bei meiner Frau hat es unter einer älteren Android Version auch auf Anhieb funktioniert.

  8. Paul sagt:

    Was ist eigentlich aus dem ePerso geworden nach seiner Marketing-Umbenennung in "nPerso"?

    Ist dieser nicht sicher genug?
    Warum müssen da nun noch privaten Firmen rum basteln?

    Ist der Ruf unseres Staates so schlecht, das man lieber privaten Bastlern seine Daten zusätzlich anvertraut? (so allgemein.)
    Der Staat hat sie doch eh (warum eigentlich,??die USA funktionieren doch auch ohne Person, oder?)

  9. Paul sagt:

    Es sei daran erinnert, das auch das Impfbuch nur zusammen mit einem Perso gültig ist. Es gibt da eine Zeile für die Perso-Nummer! (Was quatsch ist, da ja Name und geb. Datum zu 99,99999% der Fälle eindeutig ist, und das Impfbuch ja nicht ungültig wird, wenn der Ausweis verfallen ist.)

    Es war bisher wurscht, da er nur dazu dienen sollte Doppelimpfungen und Impflücken zu erinnern. (Ich bin ja selbst der doofe, wenn ich nicht zur 2.-Impfung gehe.)
    Daher ist der auch nur ganz einfach geheftet. Das ist eine KLARE Aufforderungen der WHO zum fälschen. So scheinen mehr Menschen geimpft zu sein…
    (Es gibt auch eine weiße Variante. In Leporello-Faltung, 1 duchgehendes Stück sehr festes Geldscheinpapier…)

  10. Frank sagt:

    ID2020 und die ansonsten völlig sinnfreie Diskussion um Privilegien für Geimpfte

    22. 02. 2021 Die Initiative ID2020 von Microsoft, Accenture und Gavi zielt darauf ab, alle Menschen mit einem biometrisch unterlegten Identitätsnachweis zu versehen. Ein digitaler Impfausweis, den man braucht um zu reisen, ins Kino zu gehen oder Leute zu treffen, ist ein prima Instrument, um das durchzusetzen. Einen vernünftigen Grund, solche Rechte auf Geimpfte zu beschränken gibt es abseits von ID2020 nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.