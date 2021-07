Herstellung von Phantasie-Impfnachweisen möglich

Das IT-Sicherheitsteam hat nach den Vorgaben der EU-Handlungsanweisung, der "EU Health Network Guidelines on verifiable vaccination certificates -basic interoperability elements", den QR Code für das Impfzertifikat selbst erstellt. Das sollte keinesfalls möglich sein.

Auf seiner Webseite erklärt das Robert-Koch-Institut, der Impfzertifikatsservice sei eine Web-Anwendung für Impfzentren, Arztpraxen und Apotheken: "Mit dieser können autorisierte Personen die digitalen COVID Impfzertifikate einfach, sicher und bequem ausstellen." Nach der Überprüfung erstellen sie einen QR-Code, der von der geimpften Person in die App eingelesen werden kann. Die App gilt dann als digitales Impfzertifikat.

Für Missbrauch lediglich Programmierkenntnisse nötig

Doch da in der Corona-Warn-App des Robert-Koch-Instituts die Überprüfung der digitalen Signatur für autorisierte Aussteller nicht angelegt ist, kann im Grunde jeder mit Programmierkenntnissen entsprechende QR-Codes herstellen und mit diesen dann digitale Phantasie-Impfnachweise. Es ließen sich QR-Codes mit komplett erdachtem Inhalt erstellen, die von der Corona-Warn-App nicht beanstandet werden, so die G Data-Experten. Mit falschen oder auch fehlerhaften Angaben lässt sich jeder beliebige QR-Code erstellen, der als Impfnachweis auch für heute lebende Personen gelten könnte. Missbrauch sei damit möglich, so Tim Berghoff.

System hat Implausibilitäten nicht erkannt

Nach den Phantasieangaben der IT-Experten wäre der Robert Koch 1890 geimpft worden. Dass das nicht stimmen kann, hat das System offenbar nicht erkannt. Es findet keine Überprüfung der digitalen Signatur statt. Ob der QR-Code-Ersteller autorisiert ist oder nicht, spielt keine Rolle. Den 130 Jahre alten Impfnachweis akzeptiert die Corona-Warn-App problemlos. Die erfundene Impfung von Robert Koch zählt laut Corona-Warn-App als vollständig.

"Die Tatsache, dass der Impf-Nachweis in der Corona-App korrekt angezeigt wird, ist kein Indikator dafür, dass der Nachweis auch tatsächlich echt ist." Tim Berghoff, G Data

"CovPassCheck"-App ohne diese Schwachstelle

Die sogenannte "CovPassCheck"-App weist die beschrieben Schwachstelle übrigens nicht auf. Sie verifiziert die digitale Signatur. Doch da die offizielle App des Robert Koch-Instituts ein scheinbar gültiges Zertifikat aufweist, wird befürchtet, dass mit dieser App Missbrauch erfolgen könnte. Nach einer Stichprobe von BR24 verließen sich in München in acht von zehn Fällen Gastronomiebetriebe ausschließlich auf die Angaben in der Corona-Warn-App und verlangten den CovPass nicht zusätzlich.

Digitales Impfzertifikat zu schnell entwickelt?

Die Sicherheitslücken sind mit sehr hoher Wahrscheinlichkeit eine Auswirkung des sehr hohen Zeitdrucks, den das Bundesministerium für Gesundheit wohl ausgeübt habe, vermutet Tim Berghoff.

"Denn jetzt, kurz vor den Sommerferien, wollte man natürlich eine entsprechende Lösung präsentieren, um den Bürgerinnen und Bürgern hier wieder ein Stück Normalität zu ermöglichen. Das ist an und für sich ja eigentlich eine gar nicht so schlechte Sache. Allerdings ging das in diesem Fall ganz klar zu Lasten der Sicherheit." Tim Berghoff, G Data

Rückruf eines Zertifikats ist nicht vorgesehen

Die Fehler, die bis jetzt gemacht worden seien, würden sich nur sehr schwer - wenn überhaupt - ausbügeln lassen, befürchtet der IT- Sicherheitsexperte Tim Berghoff. Pikant: Selbst, wenn der Phantasieausweis von Robert Koch, geimpft 1890, auffliegen würde, können digitale Impfausweise nicht zurückgerufen werden. Das System sieht das derzeit nicht vor.

Ministerium verweist auf Apotheken

Das Robert-Koch Institut wollte sich auf Anfrage von BR24 nicht zu den Sicherheitsmängeln äußern und hat auf das Bundesgesundheitsministerium verwiesen. Dort verweist man auf Überprüfungspflichten der Apotheken als ausgebende Stellen. Dass der QR Code am Computer selbst erstellt und damit auch verfälscht werden kann, weil in der Warn-App die digitale Signatur nicht überprüft wird, bleibt außen vor.

Fälschern drohen zwei Jahre Haft

Zumindest eine Hürde für potentielle Fälsche gibt es: Seit dem 1. Juni 2021 ist das Fälschen von Impfunterlagen zur COVID19-Impfung strafbar. Es drohen bis zu zwei Jahre Gefängnis.