Digitaler Impfnachweis mit Mängeln

Rechtzeitig vor der großen Reisewelle im Sommer steht er zur Verfügung: der digitale Impfnachweis für das Smartphone, der mehr gesicherte Bewegungsfreiheit verspricht. Bei Reisen innerhalb Deutschlands sowie jenseits der Grenzen. Dass das so schnell möglich wurde, dafür klopften sich die Politiker bereits auf die Schulter.

Allerdings entdeckten IT-Sicherheitsexperten von GData Cyber Defense, die das digitale Impfzertifikat genauer unter die Lupe nahmen, eine Reihe von Schwachstellen. Selbst Fälschungen sind offenbar möglich.

Das liege aber nicht an fehlenden technischen Möglichkeiten, sondern an der Umsetzung, moniert Thomas Siebert, Head of Protection Technologies bei dem Bochumer IT-Sicherheitsunternehmen. "Eine schnelle Lösung vor Beginn der Ferienzeit präsentieren zu können, war offenbar wichtiger als eine von Anfang an sichere Lösung."

Lange Mängelliste

Die Liste der Schwachstellen beginnt nach den Worten von Tim Berghoff, Security Evangelist bei GData bereits mit der Übertragung der Daten aus dem gelben Impfheft. "In diesem digitalen Impfnachweis steht weder die Chargennummer des verimpften Wirkstoffs, noch wo die Impfung durchgeführt worden ist oder wer die Impfung durchgeführt hat.”

Außerdem werden bei der Erstellung des Impfnachweises in einer Apotheke oder Arztpraxis die Eintragungen nicht auf ihre Plausibilität hin überprüft. So stieß das GData-Team bei einem digitalen Impfnachweis durch eine Apotheke auf ein falsches Impfdatum für den zweiten Termin. Eingegeben war ein zweites Mal der Termin der Erstimpfung.

Doch statt einer Fehlermeldung servierte der Rechner unbeanstandet den fertigen Nachweis. Als Aussteller des Impfnachweises wird übrigens immer das Robert-Koch-Institut angegeben, nicht etwa die Apotheke oder die Arztpraxis, die den Impfnachweis tatsächlich erstellt hat.

Robert Koch - zweimal geimpft?

Ein weiterer Mängel besteht nach Einschätzung von Thomas Siebert darin, dass die digitale Signatur ungeprüft bleibt, So sei man bei dem Sicherheitstest in der Lage gewesen, "die Corona-Pandemie ins 19. Jahrhundert vorzuverlegen und einen gefälschten digitalen Impfnachweis für den bereits 1843 geborenen und lange verstorbenen Robert Koch zu erstellen."

Demnach hätte die Impfung dieses nicht ganz unbekannten Mediziners und Nobelpreisträgers Robert Koch zu dessen Lebzeiten im Jahr 1890 stattgefunden. Aber, resümiert Siebert, "diesen Impfnachweis akzeptierte die Corona-Warn-App klaglos." Zumal noch als vollständige Impfung, trotz einer erforderlichen Mindestwartezeit von zwei Wochen nach der letzten Impfung. "Mit unserem Impfzertifikat ist die Wartefrist aber schon seit gut 130 Jahren vorbei."

Aus Sicht von Tim Berghoff liegt die augenfälligste Schwachstelle in der Anzeigefunktion für den digitalen Impfnachweis in der Corona-Warn-App, weil die digitale Unterschrift unter einem solchen Zertifikat nicht überprüft wird. Das heißt, so Berghoff, "ich kann auch ein Phantasiezertifikat in der Corona-Warn-App einbinden - und das wird auch so angezeigt."

Zwei Jahre Gefängnis drohen

Die Tatsache, dass der Impfnachweis in der Corona-Warn-App korrekt angezeigt wird, ist letztlich kein Indikator für die Echtheit des Nachweises. Auch wenn das Robert-Koch-Institut offiziell als Aussteller auftaucht. Ein Qualitätsstandard, sagt Thomas Siebert, sei damit aber nicht verbunden.

Denn das Robert-Koch-Institut erhalte praktisch keine Daten, sondern vergebe lediglich kryptographische Schlüssel zur Unterzeichnung der Impfnachweise. Um es überspitzt zu formulieren: wenn eine Apotheke einen Impfnachweis für Donald Duck anfordert, dann dürfte sie einen solchen Nachweis auch erhalten.

Betrüger benötigen im Prinzip nur einen gefälschten Impfpass. Blanko-Impfpässe gibt es ohne große Probleme im Internet zu kaufen. Ebenso wie Stempel. Und die angebliche Unterschrift eines Arztes aus einer anderen Stadt oder auch einem anderen Land kann in der Praxis kaum überprüft werden. Beim Eintragen solcher Angaben sind der Fantasie keine Grenzen gesetzt.

Insofern konstatiert Thomas Siebert nüchtern: "Ein gefälschter Impfpass führt nahezu sicher auch zu einem ordentlich signierten digitalen Impfnachweis.” Allerdings ist das Fälschen von Unterlagen zur COVID19-Impfung nach dem Infektionsschutzgesetz seit dem 1. Juni strafbar. Wer ertappt wird, kann bis zu zwei Jahren im Gefängnis landen.

Einladung für Kriminelle

Die Bochumer IT-Sicherheitsexperten warnen zudem vor Schadprogrammen, die auf das Abgreifen von Zugangsdaten spezialisiert sind. Schadprogramme, die seit Jahren zum Standardrepertoire von Cyberkriminellen gehören.

So können sich Betrüger, die sich die Anmeldedaten einer Apotheke widerrechtlich angeeignet haben, dieses Portal nutzen, um nach Belieben Impfnachweise zu erstellen. Hinzu komme, so Tim Berghoff, das Problem, dass sich Impfnachweise im Nachhinein nicht widerrufen lassen. Das liege auch an der Art und Weise, wie diese Impfzertifikate elektronisch zertifiziert sind.

Für Tim Berghoff liegt die Vermutung nah, dass das Bundesministerium für Gesundheit großen Druck ausgeübt habe. "Denn jetzt kurz vor den Sommerferien wollte man natürlich eine entsprechende Lösung präsentieren, um den Bürgerinnen und Bürgern wieder ein Stück Normalität zu ermöglichen. Das ist an und für sich keine schlechte Sache. Allerdings ging das in diesem Fall ganz klar zu Lasten der Sicherheit."