Sicherheitslücke

Missbrauch möglich: Naiver Fehler im Impfzertifikat

, Uhr
Mit einem einfachen Trick lässt sich in der Corona-Warn-App ein falsches Impfzertifikat erstellen.Screenshot: APOTHEKE ADHOC
Berlin -

Die Impfzertifikate machen den Apotheken immer noch große Probleme – das System läuft nicht dauerhaft stabil. Die Ursachen liegen nach wie vor im Dunkeln. Umso ärgerlicher ist, dass sich eine weitere Sicherheitsstufe des Zertifikats mit einem sehr einfachen Trick aushebeln lässt.

Der Digitale Impfnachweis lässt sich unter anderem in die eigens vom Robert Koch-Institut (RKI) herausgegebenen CovPass-App sowie in die Corona-Warn-App des Bundes übertragen. 14 Tage nach der Zweitimpfung ist das Zertifikat gültig, erstellen lässt es sich aber auch vorher schon. Die App zeigt dann den bevorstehenden Termin an – im Beispiel (siehe Video) heißt es „Vollständiger Impfschutz in 10 Tagen“.

Nutzer:innen können allerdings Datum und Uhrzeit auf ihrem Smartphone manuell einstellen. Die Corona-Warn-App weist dann zwar in einer Fehlermeldung darauf hin, dass die eingestellte Uhrzeit nicht der aktuellen Uhrzeit entspricht und deshalb das Risiko von Kontaktpersonen nicht ermittelt werden kann. Beim Impfzertifikat ist diese Lücke aber nicht geschlossen worden. Im Beispiel attestiert der Digitale Impfnachweis jetzt einen vollständigen Impfschutz. Die CovPass-App lässt sich auf demselben Weg austricksen. Das Zertifikat zu verwenden wäre allerdings illegal.

Theoretisch könnte sich der Nutzer oder die Nutzerin mit dem so gefälschten Impfzertifikat Zugang zu Veranstaltungen verschaffen oder im Restaurant vorzeigen. Im Impfzertifikat selbst ist das gefälschte Datum nicht ersichtlich. Die Betreiber:innen können sich natürlich das eingestellte Datum zeigen lassen, auch wenn es in der Praxis dazu kaum kommen dürfte. Allerdings ist auch der „Datums-Hack“ maximal in einem Zeitraum von zwei Wochen nach der zweiten Impfung überhaupt anwendbar.

Auch wenn es sich um eine naive Sicherheitslücke handelt, über die im Netz schon gespottet wird – Nutzer:innen sollten von diesem Trick tunlichst keinen Gebrauch machen. Denn die Fälschung von Impfpässen ist strafbewehrt, das gilt für analoge wie für digitale Impfdokumente. Die Nutzung gefälschter Dokumente kann mit bis zu zwei Jahren Freiheitsstrafe geahndet werden.

Die Apotheken müssen beim Ausstellen der Zertifikate – so dies denn funktioniert – ihre Kund:innen auch über die Notwendigkeit der korrekten Angaben aufklären. Eine Dokumentation über diese Belehrung ist nicht erforderlich. Apotheker:innen müssen nur mit strafrechtlichen Konsequenzen rechnen, wenn sie ein falsches digitales Zertifikat wissentlich erstellt haben.

Der vorgelegte Impfpass muss auf folgende Kriterien geprüft werden: Datum der Schutzimpfung, Bezeichnung und Chargenbezeichnung des Impfstoffes, Name der Krankheit, gegen die geimpft wurde, Name und Geburtsdatum der geimpften Person sowie Name und Anschrift des Arztes. Anstatt des Namens und der Anschrift des Arztes können auch die Angaben „Impfzentren“, „Mobile Impfteams“, „Arztpraxen“ oder „Betriebsarzt“ gemacht werden. Die Apotheke muss nicht überprüfen, ob der Kunde oder die Kundin bereits ein digitales Impfzertifikat in einer anderen Apotheke oder in der Arztpraxis erhalten hat.

Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

Neuere Artikel zum Thema

APOTHEKE ADHOC Debatte