Der digitale Impfpass ist nicht fälschungssicher. Laut Medienberichten kann ein fremder Impfstatus ohne größeres technisches Wissen und relativ einfach von anderen Nutzern übernommen werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigte das Problem am Mittwoch gegenüber der Nachrichtenseite „Business Insider“. Eine Lösung für das Problem sei aktuell nicht in Sicht.
Teilweise oder vollständig Geimpfte können sich nach Vorlage des gelben Impfpasses bei Ärzten, Impfzentren oder Apotheken ein Impfzertifikat mit einem QR-Code erstellen lassen. Der Code kann dann in die Corona-Warn-App oder in den neuen digitalen Impfpass „CovPass“ eingetragen werden.
Nach Eingabe erstellen die Apps einen weiteren QR-Code, mit denen eine Impfung nachgewiesen werden kann, ohne den analogen Impfpass vorweisen zu müssen. Hier jedoch können Betrüger ansetzen und sich einen falschen Impfstatus anzeigen lassen.
Die Apps lesen demnach die Informationen aus dem Impfzertifikat aus und zeigen sie im Klartext an. „Da die Wallet-Apps die Identität der App-Nutzerinnen und -Nutzer nicht kennen, können sie nicht überprüfen, ob die jeweilige Identität mit dem Impfling übereinstimmt“, warnt ein BSI-Sprecher gegenüber der Nachrichtenseite. Somit sei es möglich, Impfzertifikate anderer Personen in die Apps zu laden.
Die digitalen Lösungen seien deshalb nur in Verbindung mit dem Personalausweis gültig. Wenn der Impfstatus überprüft werde, solle daher immer nach einem Ausweis gefragt werden.
Ursprünglich hatten die EU und auch die Bundesregierung über einen Kopierschutz nachgedacht. Aus Datenschutzgründen habe man sich aber dagegen entschieden. Zudem sei das System so auch für Technik-Laien zugänglich. Der für eine fälschungssichere Lösung erforderliche Mehraufwand hätte außerdem eine zeitnahe Einführung vor den Sommerferien verhindert, weshalb bewusst auf eine Implementierung verzichtet worden wäre.
