Technologie

Der digitale Impfnachweis hat eine (entscheidende) Schwachstelle

Reisen, Reisepass, Impfung, Corona, Covid-19, Impfausweis, Impfpass, Digitaler Impfpass, digitaler Impfnachweis. digitales Impfzertifikat
Unsplash.com / Lukas
geschrieben von Maria Gramsch

Seit dem 14. Juni 2021 ist ein digitaler Impfnachweis auch in Deutschland erhältlich. Doch nun kommen Fragen auf, wie sicher er wirklich ist. Schließlich kann der QR-Code beliebig oft kopiert und eingescannt werden.

Seit Montag können vollständig Geimpfte sich in Deutschland einen QR-Code für den digitalen Impfnachweis direkt bei der Impfung ausstellen lassen. Auch bereits Geimpfte können sich diesen QR-Code über diverse Apotheken besorgen.

Für die Ausstellung werden lediglich ein analoger Impfnachweis – also im besten Fall der Impfausweis – und ein Ausweisdokument benötigt. Der QR-Code kann dann über die Corona-Warn-App, die CovPass-App oder die Luca-App mitgeführt werden. Doch nun berichtet der Spiegel, der QR-Code lasse sich „mehrfach einscannen“. Das sei zwar gewollt, aber auch problematisch.

Digitaler Impfnachweis kann mehrfach gescannt werden

„Der QR-Code kann neu eingescannt werden“, bestätigte ein Sprecher des Bundesgesundheitsministerium dem Spiegel. Das sei zum Beispiel erforderlich, wenn Geimpfte ihren Nachweis auf dem privaten und auf dem Arbeitshandy einscannen wollen. Auch beim Wechsel des Geräts sei diese Funktion nötig.

Gleichzeitig haben Betrüger:innen so leichtes Spiel. Denn auch ein fremder Impfnachweis kann so problemlos im eigenen Smartphone hinterlegt werden.

Das Bundesgesundheitsministerium weist gegenüber dem Spiegel darauf hin, dass „bei der Prüfung des Impfnachweises – wie in der analogen Welt auch – auch ein Lichtbildausweis vorzulegen ist.“

Ausweiskontrolle ist zwingend notwendig – und zugleich unrealistisch

Die digitalen Impfnachweise, die von Apotheken, Ärzt:innen und Impfzentren ausgestellt werden, sind mit einer elektronischen Signatur versehen. Bei einer Fälschung würde sie also sofort Alarm geschlagen.

Das sieht jedoch anders aus, wenn der digitale Nachweis eines Dritten auf dem Smartphone vorgezeigt wird. Denn dieser ist ebenfalls elektronisch signiert und erscheint so auf den ersten Blick korrekt.

Dass es sich beim digitalen Nachweis um eine Kopie und nicht um den eigenen handelt, fällt nur auf, wenn gleichzeitig eine Ausweiskontrolle durchgeführt wird. Der Blick in die Gastronomie zeigt jedoch schon jetzt, dass eine solche Überprüfung nur in den seltensten Fällen durchgeführt wird.

Missbrauch des digitalen Impfnachweises ist eine Straftat

Doch wer sich über diesen Weg mehr Freiheiten erschleicht, begeht eine Straftat. Das regelt das Zweite Gesetz zur Änderung des Infektionsschutzgesetzes.

Wer wissentlich eine falsche Bescheinigung über Tests oder Impfungen „zur Täuschung im Rechtsverkehr gebraucht“, dem drohen eine Freiheitsstrafe von bis zu einem Jahr oder eine Geldstrafe.

Wie zielführend die Kontrollen sein werden, steht allerdings in den Sternen. Fest steht jedoch, dass man seinen eigenen QR-Code nicht fotografiert in den sozialen Netzwerken zeigen sollte. Das würde Betrüger:innen ihr Vorhaben deutlich erleichtern.

Denn auch ein leicht verfremdeter oder verwischter Screenshot des QR-Codes wird laut dem Spiegel von manchen Apps als korrekt akzeptiert. Bei aller Freude über die Digitalisierung und neue Freiheiten sollten User also mit ihren Dokumenten vorsichtig umgehen.

Auch interessant:

Über den Autor

Maria Gramsch

Maria ist freie Journalistin und technische Mitarbeiterin an der Universität Leipzig. Seit 2021 arbeitet sie als freie Autorin für BASIC thinking. Maria lebt und paddelt in Leipzig und arbeitet hier unter anderem für die Leipziger Produktionsfirma schmidtFilm. Sie hat einen Bachelor in BWL von der DHBW Karlsruhe und einen Master in Journalistik von der Universität Leipzig.

3 Kommentare

  • Keine Ahnung, davon aber eine Menge.
    Natürlich kann man auch einen fremden QR Code einscannen!
    Aber bei der Überprüfung reicht nicht das einfach zeigen des Codes, sondern der Prüfende liest den Code in die App CovPass Check ein und muss dann die Daten mit einem Ausweisdokument vergleichen.
    Wenn diese Überprüfung nicht schlampig durchgeführt wird, dann wird es auch keinen Missbrauch geben.

    • Aber genau an dieser Stelle ist der Knackpunkt: Warst du schon einmal in einer Bar oder einem Restaurant, an dem der Impfpass überprüft werden soll? Da reicht schon eine Fotoaufnahme der Seite. Auf den Namen schaut da niemand.

      • Wenn man den Ausweis sowieso vorzeigen muss, finde ich den Nutzen des digitalen Impfpass nicht wirklich groß. Erst Handy rausholen, App öffnen und dann noch im Geldbeutel nach dem Perso suchen, oder Impfheft und Perso aus dem Geldbeutel holen. Kann jeder selber entscheiden was er will. Ob jetzt jemand ein gefälschtes Impfbuch vorzeigt oder den eingescannten Impfnachweis der Oma, macht da jetzt auch kein großen Unterschied. Ich würde das ganze als „technische Spielerei“ abtun.