VG-Wort Pixel

"Vollständiger Impfschutz" Impfpass-App lässt sich manipulieren – das sagt das Gesundheitsministerium dazu

Auch in der Corona-Warn-App lassen sich nun Impfzertifikate hinterlegen
Auch in der Corona-Warn-App lassen sich nun Impfzertifikate hinterlegen
© hsyncoban / Getty Images
Mit einfachsten Mitteln lässt sich die Impfpass-App CovPass dazu bewegen, einen vollständigen Impfschutz anzuzeigen. Eine gute Idee ist das aber aus gleich mehreren Gründen nicht.

Wer bislang eine Impfung nachweisen wollte, tat das meist beim Arzt. Und kramte dann den gelben Impfpass aus den Tiefen der Dokumenten-Schublade heraus. Weil das mit der Corona-Impfung und den damit verbundenen zusätzlichen Freiheiten aber wenig kompatibel ist, wurde diese Woche die von den EU-Staaten beschlossene digitale Lösung eingeführt. Wenige Tage nach dem Start zeigt sich: Die deutsche App lässt sich mit wenig Aufwand dazu bringen, einen vollständigen Impfstatus anzuzeigen. Zumindest, wenn nicht ordentlich geprüft wird.

Der Impf-Status wird in der App gleich unter dem großen QR-Code angezeigt, der zum Prüfen des digitalen Zertifikats genutzt wird. "Vollständiger Impfschutz ab..." heißt es dort gefolgt von einem Datum. Ist dieses erreicht, fällt das Datum weg - und die App attestiert nur noch einen vollständigen Impfschutz. Verlassen sollte man sich darauf nicht: Die Anzeige lässt sich mit einem einfachen Trick manipulieren.

Ertrickste Schutz-Anzeige

Dazu muss man bloss die Datumsanzeige von der mit dem Internet synchronisierten Voreinstellung auf eine manuelle Anzeige umstellen. Liegt das neu eingestellte Datum nach dem angezeigten Termin, zeigt die App nach einem Neustart den "Vollständigen Impfschutz" an. Obwohl die Frist von zwei Wochen nach dem letzten Impftermin noch gar nicht abgelaufen ist.

Dem Gesundheitsministerium ist das bekannt. "Eine Veränderung des Systemdatums im Smartphone führt gegebenenfalls zu einer falschen Angabe der Gültigkeit des Impfstatus in der CovPass-App beziehungsweise Corona-Warn-App", bestätigte ein Sprecher auf Anfrage des stern. "Dies hat aber keinerlei Auswirkungen auf die Prüfung durch die CovPass Check-App", erläutert die Antwort auch gleich, warum das aus Sicht der Behörden kein großes Problem darstellt. "Die Information über den Impfstatus in der CovPass-App beziehungsweise Corona-Warn-App ist nur eine Komfortfunktion für den Benutzer."

Prüfung nicht betroffen

Die eigentliche Prüfung des Impfstatus' erfolgt nämlich nicht durch die manipulierbare Angabe. Sie lässt sich nur mit der speziell entwickelten App CovPass-Check auslesen. "Diese App liest die Daten aus dem QR-Code aus, die durch ein digitales Siegel vor Veränderungen geschützt sind", erklärt der Sprecher. Der Code leitet die App dann an eine speziell für den Nutzer angefertigte Zertifikatsdatei, die den Impfstatus, die Termine und den genutzten Impfstoff enthält. "Die CovPass-Check-App zeigt nur dann einen gültigen Impfstatus an, wenn die zweite Impfung auch tatsächlich zwei Wochen zurückliegt. Da sie dafür die im QR-Code hinterlegten Impfdaten nutzt, lässt sich die Check-App nicht mit einer Veränderung des Datums auf dem Smartphone des Geimpften austricksen."

Missverständnisse um den Impfstatus über die manipulierte Anzeige erwartet man bei dem Ministerium nicht. Denn: "Die Gültigkeit des Impfnachweises muss immer mit der CovPass-Check-App überprüft werden." Ein kurzer Blick auf den Impfstatus reicht schlicht nicht aus, um zu prüfen, ob das Gegenüber tatsächlich bereits geimpft ist und etwa auf einen aktuellen Corona-Test bei einem Friseurbesuch verzichten kann. Die Hürde bei der Prüfung ist dabei sehr niedrig: Die App CovPass Check gibt es als freien Download im Apple App Store und Googles Playstore, jeder kann sie einfach auf dem privaten Smartphone installieren und die Echtheit von Impf-Zertifikaten selbst prüfen.

Nicht nachmachen

Darauf zu hoffen, dass das Gegenüber die Prüfung nicht ernst nimmt und auf eine manipulierte Anzeige hereinfällt, ist nach Angaben des Ministeriums übrigens keine gute Idee. "Im Übrigen sei angemerkt, dass es strafbewehrt ist, wenn jemand wissentlich einen falschen Impfnachweis nutzt", heißt es in der Antwort. Das Strafmaß liegt bei bis zu zwei Jahren Gefängnis, Gesundheitsminister Jens Spahn hatte bereits klargemacht, dass man hart gegen die Fälschung von Impfausweisen vorgehen will. "Fälschungen sind kein Kavaliersdelikt", sagte er den Zeitungen der "Funke"-Gruppe.

Die Frage, warum die App überhaupt bei Ablaufen der Frist das Datum aus der Anzeige streicht, ließ das Ministerium unbeantwortet. Auch ob die Anzeige geändert werden soll, beantwortete man nur indirekt. "Grundsätzlich gilt: Sobald technische Probleme bekannt werden, werden diese umgehend gelöst", heißt es auf diese Frage. Ob die verwirrende Anzeige als Fehler betrachtet wird, wird sich also bald zeigen.

Quelle: Apotheke Adhoc

Lesen Sie auch:

Wie sicher ist die Corona-Warn-App? Das sagen TÜV, Chaos Computer Club und Co.

Angst vor Überwachung: Darum will die Corona-Warn-App bei Android Zugriff auf den Standort


Mehr zum Thema


Wissenscommunity


Newsticker