Mit dem Impfpass in die Apotheke: Viele Deutsche gelangten auf diesem Weg zu ihrem digitalen Impfzertifikat. Wer vor dem Start des digitalen Nachweises geimpft wurde oder seinen digitalen Nachweis nicht direkt von der Arztpraxis oder dem Impfzentrum bekam, konnte sich in den Apotheken seinen QR-Code ausstellen lassen. Die Aufkleber im Impfpass mit Unterschrift der Impfärzt:innen genügten als Nachweis für eine Impfung gegen das Corona-Virus.
Doch von Anfang an meldeten Expert:innen Zweifel an der Sicherheit des Systems an. Immer wieder gab es Berichte über Lücken, die impfunwillige Menschen ausnutzen könnten, um auch ohne Spritze an ein gültiges Zertifikat zu gelangen.
So könnten Menschen versucht sein, den analogen Nachweis zu fälschen und damit in der Apotheke ein gültiges digitales Zertifikat zu ergaunern. Angebote für gefälschte Impfpässe oder Aufkleber kursieren schon seit Längerem im Netz. Für die Apotheken ist es nicht immer einfach, echte von gefälschten Impfaufklebern zu unterscheiden.
Erfundene Apotheke konnte gültige Zertifikate ausstellen
Doch auch die IT-Systeme selbst waren anfällig für Angriffe. Im Juli war es zwei IT-Experten gelungen, eine Apotheke zu erfinden und sich so einen Zugang zum Webportal des Deutschen Apothekerverbandes (DAV) zu verschaffen. Mit diesem Zugang konnten sie digitale Impfnachweise ausstellen, die die CovPass-Check-App als gültig erkannte. Der DAV schaltete sein Portal in Folge dessen erstmal vollständig ab, viele Apotheken konnten über Wochen keine Impfnachweise ausstellen.
Diese Sicherheitslücke ist mittlerweile geschlossen, da die Impfnachweise nicht mehr einfach nur über das Webportal des DAV ausgestellt werden. Stattdessen benötigt man einen Zugang zur Telematik-Infrastruktur, dem geschützten Netzwerk des Gesundheitssystems. Schon im Sommer gab es aber Hinweise darauf, dass die Lücke auch von Kriminellen ausgenutzt worden war, da in der Schweiz gültige, aber gefälschte deutsche Impfzertifikate aufgetaucht waren.
Die IT-Sicherheitsexperten Martin Tschirsich und André Zilch wiesen damals gegenüber netzpolitik.org darauf hin, dass im System keine Möglichkeit vorgesehen war, gültige Zertifikate im Nachhinein zurückzuziehen, wenn eine Fälschung ans Licht kommt. Das liegt daran, dass an einem Zertifikat lange Zeit nicht ablesbar war, wer es ausgestellt hatte. Der Signaturschlüssel für die ausgebende Stelle war für alle Apotheken in Deutschland gleich.
Frühe Zertifikate nicht zurückverfolgbar
Erst seit Ende Juni kann man an einem Zertifikat erkennen, welche Apotheke es ausgestellt hat, mithilfe des sogenannten Unique Vaccination Certificate Identifier, kurz UVCI. Dieser Code enthält neben dem Land und einer zufälligen ID für jedes einzelne Zertifikat seitdem auch eine Herausgeberkennung. Alle Zertifikate, die nach dem 29. Juni ausgestellt wurden, können also anhand dieser Herausgeberkennung zurückgezogen werden. Die digitalen Impfnachweise, die vor diesem Datum ausgestellt wurden, lassen sich aber nicht zu einer Apotheke zurückzuverfolgen. Um hier ganz sicher zu gehen, müssten alle frühen Impfnachweise ungültig gemacht und neu ausgestellt werden. Das würde Millionen von Menschen betreffen.
Wenn bekannt wird, dass in einer Apotheke Nachweise gefälscht wurden, wie beispielsweise kürzlich im Fall einer Münchener Apotheke, könnten alle Nachweise dieser Stelle für nichtig erklärt werden. Wer tatsächlich geimpft ist und seinen Nachweis aus dieser Apotheke hat, muss sich dann einen neuen digitalen Nachweis besorgen – in einer anderen Apotheke. Denn weiterhin ist es nicht vorgesehen, unter Fälschungsverdacht stehende Zertifikate einzeln zurückzuziehen.
Blacklist mit nur zwei Einträgen
Die CovPass-Check-App, mit der Veranstalter:innen in Deutschland die Gültigkeit des digitalen Impfnachweises prüfen können, führt seit Ende Juli eine Blacklist mit Apotheken, deren Nachweise nicht mehr anerkannt werden. Diese Blacklist hat akutell aber nur zwei Einträge: einen Test-Eintrag und den der fiktiven „Sonnen-Apotheke“ aus dem Hack von Tschirsich und Zilch.
Die Blacklist wurde in den Quellcode der CovPass-Check-App mit aufgenommen. Diese App wird allerdings nur in Deutschland verwendet, um das EU-weit gültige Impfzertifikat zu überprüfen. Die Apps anderer Staaten bekommen also nicht automatisch die Information, dass gewisse Zertifikate in Deutschland nicht mehr gültig sind. Sie müsste sich die Informationen aus dem öffentlichen Quellcode der CovPass-Check-App selbst herausholen.
Seit Anfang dieser Woche warnt die Corona-Warn-App ihre Nutzer:innen per Push-Mitteilung, wenn ihre Impfnachweise ihre Gültigkeit verlieren. Sie hat aber ihre eigene Blockliste, die sich aus den Servern der Corona-Warn-App speist. Die Prüfung eines Zertifikats gegenüber dieser Blockliste ist aber noch nicht fertig implementiert.
Auch aus anderen EU-Ländern tauchen immer wieder gefälschte, digitale Impfnachweise auf. Diese Nachrichten sind beunruhigend, da ein Großteil der Hygienekonzepte, die derzeit genutzt werden, auf der Kontrolle des Impfnachweises basieren. Eine 2G-Veranstaltung klingt angesichts steigender Inzidenzen vor allem von Ungeimpften gleich viel weniger sicher, wenn man sich bewusst macht, dass auch diese Personen sich mit einem gefälschten Impfpass Zutritt zu solchen Veranstaltungen verschaffen könnten.
Ein großes Problem bei der Überprüfung vom Impfnachweisen sind allerdings nicht nur gefälschte Zertifikate, sondern die nur selten ausgeführte Identititätsüberprüfung bei der Einlasskontrolle zu 2G-Orten. Ohne die Kontrolle eines Ausweises kann jeder Mensch einfach irgendein gültiges Zertifikat oder einen Screenshot davon nehmen und so in Bereiche gelangen, in denen eigentlich 2G gilt.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires