- Millionen Menschen in Deutschland haben bereits den digitalen Beleg ihrer Corona-Impfung auf ihrem Smartphone.
- Bundesweit startete die digitale Alternative zum gelben Impfpass aus Papier erst in der vergangenen Woche.
- Doch bereits jetzt haben Nutzer Sicherheitslücken ausgemacht, so kann auf dem Handy sehr leicht der Impfstatus verändert und eine vollständige Impfung vorgetäuscht werden.
Bereits kurz nach dem bundesweiten Start des digitalen Corona-Impfnachweises sind erste Probleme bekannt geworden. Der Nachweis ist eine zusätzliche Möglichkeit, seinen Impfstatus zu dokumentieren. Geimpfte können damit – zusätzlich zum gelben Impfpass aus Papier – ihren Status sowie Impfdaten und Impfstoffe auf ihrem Smartphone speichern. Laut Bundesgesundheitsministerium soll der digitale Impfnachweis fälschungssicher sein.
Doch Nutzer haben bereits zwei Sicherheitslücken identifiziert. Zumindest eine der Lücken zeigt, wie leicht der Impfstatus verändert und eine vollständige Impfung vorgetäuscht werden kann. So genügt es das Datum des Smartphones zu ändern, um die zwei Wochen zwischen zweiter Impfung (mit eingescanntem QR-Code für den digitalen Corona-Impfnachweis) und anerkannter vollständiger Impfung zu überbrücken.
Unsere Redaktion hat das Vorgehen überprüft: Eine erst am Montag erfolgte zweite Impfung war nach dem Einscannen des dazugehörigen Codes in der Corona-Warn-App ausgegraut. Nach einer Änderung der Systemzeit des Handys um mehr als 14 Tage in die Zukunft zeigte die App hingegen eine vollständige Impfung am. Damit würden der Person in der Praxis mehr Freiheiten eingeräumt, gilt doch der digitale Nachweis als Beleg bei gelockerten Corona-Beschränkungen im In- und Ausland. Auch Corona-Tests würden so für die Person entfallen – obwohl die Immunisierung noch nicht sicher abgeschlossen ist.
22,3 Millionen vollständig Geimpfte in Deutschland
Ein zweites Problem betrifft offenbar den von der App ausgegebenen Prüf-Code. Mit diesem sollen Kellner oder Türsteher den Impfstatus mit einer eigenen Prüf-App kontrollieren. Einem Nutzer zufolge kann aber mit dem eigentlich nur zur Kontrolle gedachten Code der Impfnachweis auf ein anderes Smartphone übertragen werden.
"Jedem, dem ich den Code wohlmeinend zeige, um meinen Impfstatus nachzuweisen, könnte statt einer lesenden Kontrollapp auch meinen Impfstatus einfach importieren. Und ich würde es nicht merken", kritisiert der Twitter-Nutzer.
Laut Bundesgesundheitsministerium ist der digitale Impfnachweis nur mit Lichtbildausweis gültig. Das heißt, ein fremder Code würde spätestens bei einer vorgeschriebenen Kontrolle auffallen. In der Praxis wird sich aber erst zeigen müssen, ob wirklich in jeder Situation die von der App ausgegebenen Daten (Name und Geburtsdatum) mit einem Ausweis abgeglichen werden.
Aktuell sind nach Angaben des Robert-Koch-Instituts rund 22,3 Millionen Menschen in Deutschland vollständig geimpft – mehr als ein Viertel der Bevölkerung. Nach Einschätzung von Bundesgesundheitsminister Jens Spahn (CDU) wird am Dienstag die Marke von fünf Millionen digitalen Corona-Impfzertifikaten erreicht. (mf)
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.