Der digitale Impfnachweis – gute Idee, aber nicht ausgefeilt

 Eine Untersuchung des digitalen Impfnachweises durch das Cyber Security Unternehmen G DATA CyberDefens hat ergeben, dass es bezüglich Sicherheit noch einige schwerwiegende Versäumnisse gibt. Skrupellose Menschen könnten Impfnachweise erstellen, ohne eine Impfung bekommen zu haben.

Das Problem: Die Corona-Warn-App überprüft die Signaturen der digitalen Impfnachweise nicht, sodass sich jeder einen auf den ersten Blick echt aussehenden Nachweis erstellen kann. Auch die Chargennummer des Impfstoffs wird bei der Erstellung weder überprüft noch in die digitalen Impfnachweise übernommen. Das macht eine spätere Prüfung unmöglich und einmal ausgestellte Impfnachweise lassen sich im Missbrauchsfall nicht widerrufen. Dabei mangelt es nicht an den technischen Grundlagen, sondern an der Umsetzung.

„Es entsteht der Eindruck, dass die Einführung des digitalen Impfnachweises vor allem ein Schnellschuss war. Eine schnelle Lösung vor Beginn der Ferienzeit präsentieren zu können war offenbar wichtiger als eine von Anfang an sichere Lösung„, soThomas Siebert, Head of Protection Technologies bei G DATA CyberDefense.

Apotheken, Arztpraxen und Impfzentren erstellen die Impfnachweise mit Hilfe einer Webseite. Der Zugang für dieses Portal ist lediglich mit einem Benutzernamen und einem Passwort gesichert. Es gibt keine Mehrfaktor-Authentifizierung.  Cyberkriminelle und andere Betrüger könnten sich zum Beispiel die Anmeldedaten einer Apotheke widerrechtlich aneignen und das Portal nutzen, um nach Belieben Impfnachweise zu erstellen.

Impfnachweise lassen sich unter anderem in die Corona-Warn-App (CWA) des Robert Koch-Instituts einbinden, um sie per Smartphone vorzeigen zu können. Ob die elektronische Signatur des eingescannten Nachweises auch gültig ist, überprüft die Applikation ebenfalls nicht. Mit einem Programmcode ist es möglich, sich einen QR-Code mit einem Fantasie-Impfnachweis zu erstellen, der von der Crona-Warn-App problemlos akzeptiert wird. Eine tatsächliche Verifizierung des Impfnachweises sei nur mit der CovCheck-App möglich, warnen die Data Security Experten.