Missbrauch möglich: Naiver Fehler im Impfzertifikat | APOTHEKE ADHOC
Sicherheitslücke

Missbrauch möglich: Naiver Fehler im Impfzertifikat

, Uhr
Mit einem einfachen Trick lässt sich in der Corona-Warn-App ein falsches Impfzertifikat erstellen.
Berlin -

Die Impfzertifikate machen den Apotheken immer noch große Probleme – das System läuft nicht dauerhaft stabil. Die Ursachen liegen nach wie vor im Dunkeln. Umso ärgerlicher ist, dass sich eine weitere Sicherheitsstufe des Zertifikats mit einem sehr einfachen Trick aushebeln lässt.

Der Digitale Impfnachweis lässt sich unter anderem in die eigens vom Robert Koch-Institut (RKI) herausgegebenen CovPass-App sowie in die Corona-Warn-App des Bundes übertragen. 14 Tage nach der Zweitimpfung ist das Zertifikat gültig, erstellen lässt es sich aber auch vorher schon. Die App zeigt dann den bevorstehenden Termin an – im Beispiel (siehe Video) heißt es „Vollständiger Impfschutz in 10 Tagen“.

Nutzer:innen können allerdings Datum und Uhrzeit auf ihrem Smartphone manuell einstellen. Die Corona-Warn-App weist dann zwar in einer Fehlermeldung darauf hin, dass die eingestellte Uhrzeit nicht der aktuellen Uhrzeit entspricht und deshalb das Risiko von Kontaktpersonen nicht ermittelt werden kann. Beim Impfzertifikat ist diese Lücke aber nicht geschlossen worden. Im Beispiel attestiert der Digitale Impfnachweis jetzt einen vollständigen Impfschutz. Die CovPass-App lässt sich auf demselben Weg austricksen. Das Zertifikat zu verwenden wäre allerdings illegal.

Theoretisch könnte sich der Nutzer oder die Nutzerin mit dem so gefälschten Impfzertifikat Zugang zu Veranstaltungen verschaffen oder im Restaurant vorzeigen. Im Impfzertifikat selbst ist das gefälschte Datum nicht ersichtlich. Die Betreiber:innen können sich natürlich das eingestellte Datum zeigen lassen, auch wenn es in der Praxis dazu kaum kommen dürfte. Allerdings ist auch der „Datums-Hack“ maximal in einem Zeitraum von zwei Wochen nach der zweiten Impfung überhaupt anwendbar.

Auch wenn es sich um eine naive Sicherheitslücke handelt, über die im Netz schon gespottet wird – Nutzer:innen sollten von diesem Trick tunlichst keinen Gebrauch machen. Denn die Fälschung von Impfpässen ist strafbewehrt, das gilt für analoge wie für digitale Impfdokumente. Die Nutzung gefälschter Dokumente kann mit bis zu zwei Jahren Freiheitsstrafe geahndet werden.

Die Apotheken müssen beim Ausstellen der Zertifikate – so dies denn funktioniert – ihre Kund:innen auch über die Notwendigkeit der korrekten Angaben aufklären. Eine Dokumentation über diese Belehrung ist nicht erforderlich. Apotheker:innen müssen nur mit strafrechtlichen Konsequenzen rechnen, wenn sie ein falsches digitales Zertifikat wissentlich erstellt haben.

Der vorgelegte Impfpass muss auf folgende Kriterien geprüft werden: Datum der Schutzimpfung, Bezeichnung und Chargenbezeichnung des Impfstoffes, Name der Krankheit, gegen die geimpft wurde, Name und Geburtsdatum der geimpften Person sowie Name und Anschrift des Arztes. Anstatt des Namens und der Anschrift des Arztes können auch die Angaben „Impfzentren“, „Mobile Impfteams“, „Arztpraxen“ oder „Betriebsarzt“ gemacht werden. Die Apotheke muss nicht überprüfen, ob der Kunde oder die Kundin bereits ein digitales Impfzertifikat in einer anderen Apotheke oder in der Arztpraxis erhalten hat.

Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

Neuere Artikel zum Thema

APOTHEKE ADHOC Debatte

Weiteres
Risikokinder erhalten drei Dosen des Vakzins
Impfschema Kleinkinder: Aktualisierung durch RKI»
Impflücken und fehlende Booster
Chinas Impfproblem»
KHPflEG im Bundestag verabschiedet
eGK-Identverfahren in der Apotheke»
Mehr als ein „beleuchtetes Stück Papier“
Gematik gegen Verschlüsselung des E-Rezeptes»
Per Fragebogen zum Medikament
Online-Rezept von Amazon»
WHO vergibt neuen Namen
Mpox statt Monkeypox»
ApoRetrO – der satirische Wochenrückblick
Coupons für Paracetamol»
A-Ausgabe Dezember
90 Seconds of my life»
Das Kindermagazin der my life Familie
Platsch»
Kompetenter Begleiter für alle Leser:innen ab 60
my life Senioren»
Schwangere sind nicht automatisch befreit
Retaxgefahr: Zuzahlung in der Schwangerschaft»
Mehrkosten, Belieferung & Heilung
Retaxgefahr: BG-Rezept»
Schlüsselrolle bei wichtigen Stoffwechselfunktionen
Hautvitamin B2: Vorstufe von Coenzymen»
Trockene Haut, Rötungen und Entzündungen
Handekzeme: Ursache, Symptome, Behandlung»