Sie sind hier:

Covid-19-Impfkampagne - Wie sicher ist der digitale Impfausweis?

Datum:

Der digitale Impfausweis kann leicht gefälscht werden. Doch EU-Kommission und Bundesregierung ignorieren die meisten massiven Sicherheitsbedenken.

Smartphone mit digitalem europäischem Impfpass
Smartphone mit digitalem europäischem Impfpass
Quelle: imago

Die Politik steht unter Druck. Bereits zum 1. Juni 2021 soll der digitale Impfausweis der Europäischen Union eingeführt werden. Doch bei der Datenübernahme, bei der Erstellung der eigentlichen Ausweis-Codes und bei den digitalen Signaturen zur Überprüfung sind Sicherheitsfragen weitgehend unbedacht geblieben.

Das hat Konsequenzen. Denn mit dem bisherigen Konzept kann der digitale Impfausweis mit weniger Aufwand gefälscht werden als das papierne gelbe Impfdokument. Schon jetzt werden auf entsprechenden Untergrundforen Bestellungen für gefälschte digitale Impfausweise entgegengenommen. Lieferung dann ab Ende Mai.

Die EU-Kommission entschied heute unter anderem über den europaweiten Einsatz eines digitalen Impfausweises. Wie kann man sich diesen vorstellen?

Beitragslänge:
1 min
Datum:

Kriminelle wittern gute Geschäfte mit Impfausweisen

So sehen das die Businesspläne einiger krimineller Organisationen vor. Sie wollen gleich mehrere Sicherheitslücken ausnutzen. Das fängt bei der Datenübertragung aus den gelben Papier-Impfausweisen in die Computersysteme für das digitale grüne Zertifikat an. Und es hört bei der Manipulation von Ausweis-Codes in Impfzentren, Arztpraxen und Krankenhäusern noch längst nicht auf.

Erstellt werden soll der digitale Impfausweis überall dort, wo geimpft wird, aber auch in Apotheken und Arztpraxen, die bisher nicht in das Impfgeschehen einbezogen sind. Das passiert im Idealfall gleich nach der Impfung.

Doch weil bereits viele Menschen geimpft sind, sollen deren Daten vom gelben Impfausweis in die Erfassungssysteme für das grüne digitale Zertifikat direkt übertragen werden. Das soll vorzugsweise in Apotheken und Arztpraxen geschehen, aber auch in den Impfzentren.

Sand unter den Füßen und der Impfpass in der Strandtasche. Sieht so Urlaub 2021 aus? Ab dem 1. Mai nimmt Sylt wieder Gäste auf, als Teil eines Modellprojekts des Landes. Testlauf für die Pfingst- und Sommerferien.

Beitragslänge:
5 min
Datum:

Sicherheitslücken beim Impfbuchungssystem

Dabei gibt es für die Übertragung der Daten aus dem vorgelegten papiernen Impfnachweis in die Erfassungssysteme keinen standardisierten Prüfprozess. Ob und wie die Daten aus dem Papier-Impfnachweis überprüft werden, entscheiden die für die Datenübertragung nicht einmal gesondert geschulten Mitarbeiter vor Ort.

Eine Pflicht zum Beispiel zum Abgleich der Daten mit dem Impfbuchungssystem ist bisher nicht vorgesehen. Doch das ist nicht die einzige Sicherheitslücke, die der organisierten Kriminalität ein gutes Geschäft mit gefälschten Impfausweisen bescheren dürfte.

Computersysteme von Impfzentren und Arztpraxen sind Schwachstellen

Eine weitere Schwachstelle in diesem System sind nämlich die Computersysteme in den Impfzentren, Arztpraxen, Krankenhäuser und Apotheken. Denn da können per Fernzugriff von den Online-Kriminellen mit entsprechender Schadsoftware falsche Impfausweise mit verhältnismäßig geringem Aufwand ausgestellt werden.

Der digitale Impfausweis besteht im Wesentlichen aus einem Barcode bzw. QR-Code. In dem sind sämtliche Impfdaten und eine digitale Signatur gespeichert. Wer sich als "Geimpft" ausweisen will, zeigt einfach den QR-Code auf seinem Smartphone, als Papierausdruck oder als Plastikkärtchen vor.

Schon bald soll der digitale Impfnachweis in der Corona-Warn-App hinterlegt sein. Wie die Daten aus dem Impfzentrum, wo sie erhoben werden, dann datenschutzkonform in die App kommen, das wird jetzt schon in Hamburg erprobt.

Beitragslänge:
2 min
Datum:

Signaturaustausch ohne Gegencheck

Das Prüfpersonal, zum Beispiel Grenzbeamte oder Flughafenmitarbeiter, scannen diesen Code mithilfe einer Überprüfungs-App auf ihrem Smartphone oder Tablet. In dieser App sind alle vertrauenswürdigen digitalen Schlüssel gespeichert, mit denen Impfzertifikate signiert werden dürfen. Es wird dann nur geprüft, ob die Signatur mit einem Schlüssel aus dieser Liste signiert wurde.

Deshalb muss jedes EU-Mitgliedsland alle an Impfzentren und Arztpraxen ausgegebenen digitalen Schlüssel über eine Schnittstelle der EU an alle Mitgliedsländer weitergeben.

Damit das System funktioniert, dürfen diese digitalen Schlüssel nicht entwendet, die IT-Systeme und Server der Spitäler und Impfzentren nicht gehackt werden und keiner, der Impfungen verabreicht, bestechlich sein - in jedem Land, das bei dem Programm mitmacht.
Carmela Tronsoco, Sicherheitsforscherin

Das gab die Sicherheitsforscherin Carmela Tronsoco gegenüber der "Neuen Zürcher Zeitung" zu bedenken.

Die EU-Kommission überlässt es den Mitgliedsländern dafür zu sorgen, dass die gesamte Infrastruktur für den digitalen Impfnachweis nicht erfolgreich angegriffen werden kann. Doch die haben sich bisher kaum Gedanken darüber gemacht.

Digitale Lösungen gegen Corona - Ein Impfpass, der nicht so heißen darf 

Tech-Lösungen für digitale Zertifikate sind startklar, nur die Politik hinkt hinterher. Das Europaparlament stimmte am Abend über den Rahmen ab.

Videolänge
2 min
von Gunnar Krüger

Aktuelle Nachrichten zur Corona-Krise

Gemerkt auf Mein ZDF! Merken beendet Bewertet! Bewertung entfernt Zur Merkliste hinzugefügt! Merken beendet Embed-Code kopieren HTML-Code zum Einbetten des Videos in der Zwischenablage gespeichert.
Bitte beachten Sie die Nutzungsbedingungen des ZDF.

Um zu verstehen, wie unsere Webseite genutzt wird und um dir ein interessenbezogenes Angebot präsentieren zu können, nutzen wir Cookies und andere Techniken. Hier kannst du mehr erfahren und hier widersprechen.

Um Sendungen mit einer Altersbeschränkung zu jeder Tageszeit anzuschauen, kannst du jetzt eine Altersprüfung durchführen. Dafür benötigst du dein Ausweisdokument.

Du wechselst in den Kinderbereich und bewegst dich mit deinem Kinderprofil weiter.