{"id":255136,"date":"2021-06-26T00:05:00","date_gmt":"2021-06-25T22:05:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255136"},"modified":"2021-06-24T16:09:33","modified_gmt":"2021-06-24T14:09:33","slug":"digitaler-impfpass-sicherheit-verbessern-keinen-qr-code-im-internet-posten-immuny-app","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/06\/26\/digitaler-impfpass-sicherheit-verbessern-keinen-qr-code-im-internet-posten-immuny-app\/","title":{"rendered":"Digitaler Impfpass: Sicherheit verbessern, keinen QR-Code im Internet posten, Immuny-App"},"content":{"rendered":"

\"SicherheitSeit einigen Tagen steht ja der digitale Impfpass zum Nachweis eines COVID-19-Impfschutzes in Deutschland zur Verf\u00fcgung. Zum Start gingen Nachrichten \u00fcber vermeintliche Sicherheitsl\u00fccken durch die Medien. Kann man da was gegen tun? Und dann gibt es noch den Ratschlag von Sicherheitsexperten, die QR-Codes, die man bei einer Impfung im Impfzentrum erh\u00e4lt, nicht einfach mal so im Internet zu posten. Denn sonst droht Missbrauch. Und es gibt eine weitere App Immuny zum Impfnachweis.<\/p>\n

<\/p>\n

Stolzer Impfling, gleich mal im Netz posten<\/h2>\n

\"\"Mir sind sie ja \u00f6fters untergekommen, die Fotos von Leuten, die ein oder zwei Mal geimpft wurden und gleich ein Selfie auf Facebook, Twitter und Co. posten mussten. Mir sind auch Fotos der betreffenden COVID-19-Impfnachweise aus dem gelben Impfbuch unter die Augen gekommen. Immerhin waren die Leute so schlau, die Chargennummern der Impfdosen zu schw\u00e4rzen. <\/p>\n

In diesem Artikel<\/a> des Redaktionsnetzwerks Deutschland, RND; weist ein Sicherheitsexperte darauf hin, dass man die QR-Codes, die f\u00fcr die digitalen Impfzertifikate ausgestellt bekommt, nicht als Screenshot oder Foto im Internet posten solle. Denn jeder, der diese QR-Codes in die Finger bekommt, k\u00f6nnte diese dann in einer Check-App einscannen. So h\u00e4tte er einen Nachweis der Impfung, auch wenn die Daten nicht zur jeweiligen Person passen. <\/p>\n

\n

Das war dann auch die \"Sicherheitsl\u00fccke\", die von Medien am ersten Tag des Impfstarts gemeldet wurde. Dort stellte sich heraus, dass man die QR-Codes der Impfzertifikate gleich mehrfach in verschiedenen Apps einlesen k\u00f6nne. So what? Das ist by design, denn es kann ja sein, dass gleich mehrere Smartphones von einer Person genutzt werden, oder das Ger\u00e4t wird gewechselt und geht verloren. Dann muss der Geimpfte ja die noch vorhandenen Zertifikate in Papierform erneut scannen k\u00f6nnen. <\/p>\n<\/blockquote>\n

Die Impf-Apps rumpeln …<\/h2>\n

Ich selbst bin ja bez\u00fcglich Impfnachweisen ein \"armer Tropf\", zwei Impfungen in den Oberarm gerammt bekommen, zwei Eintr\u00e4ge im gelben Impfbuch, und alles war gegessen. Meine Frau erhielt vom Impfzentrum noch jeweils ein DIN A4-Blatt mit einem QR-Code der Impfdaten als Nachweis. Ich habe es nicht getestet, aber der Nachbar meinte, dass er diese QR-Codes nicht in die Impf-Check-App importieren konnte. <\/p>\n

Da wir in der Familie durchgeimpft sind, haben wir in einer Apotheke die digitalen Impfnachweise in Papierform erstellen lassen. Als es dann an die \u00dcbernahme in Apps ging, gab es durchaus \u00dcberraschungen. Meiner Frau und meiner Tochter habe ich die CovPass-App des RKI<\/a> auf die Smartphones installiert. Bei der \u00dcbernahme der QR-Codes aus den Impfzertifikaten musste ich mehrere Ans\u00e4tze versuchen und den Scan mehrfach wiederholen, bis sich was tat. Am Ende waren die Zertifikate eingescannt und in der App kann man den Impfstatus ablesen. Dort werden dann Name des Geimpften sowie die Impfdosen, sowie die G\u00fcltigkeit f\u00fcr ein Jahr, samt eines QR-Codes angezeigt. Aber kein \"gr\u00fcner Balken\" f\u00fcr eine erfolgreiche Impfung, wie in der Werbung suggeriert. <\/p>\n

\"<\/a><\/p>\n

Ich selbst hatte die Corona-Warn-App des RKI auf dem Smartphone installiert, die auch ein Kontakt-Tagebuch sowie die Erfassung von PCR-Tests und der Impf-Zertifikate unterst\u00fctzt. Der Scan der QR-Codes der Impfzertifikate klappte wie am Schn\u00fcrchen, drauf gehalten, schon war das Zertifikat importiert. Dort kann man die Impfdaten samt QR-Code ebenfalls einsehen. <\/p>\n

Das Ganze zeigt schon die unterschiedliche Qualit\u00e4t der Apps, die beim Scan-Vorgang durchaus patzen k\u00f6nnen. G\u00e4nzlich skurril wurde es bei der CovPass-App des RKI, als ich im Rahmen dieses Beitrags nochmals die QR-Codes meiner digitalen Zertifikate einscannen wollte. Das erste Impfzertifikat wurde nach einigem Probieren erkannt und importiert. Beim zweiten Impfzertifikat wollte der Scan erst nicht, und als es endlich klappte, erschien die Nachricht, dass dieses Impfzertifikat ung\u00fcltig sei. Ich habe es mehrfach wiederholt und bekam das gleiche Ergebnis. <\/p>\n

Die Immuny-App als L\u00f6sung<\/h2>\n

Die oben aufgezeigten Probleme, dass der digitale Impfnachweis nur mit einer Identifikation durch Personalausweis m\u00f6glich ist, will ein weiterer Anbieter per Immuny-App umgehen. Dazu schreibt der Anbieter: <\/p>\n

\n

Verwiesen wird auf die geltenden Richtlinien: Es m\u00fcsse bei der Kontrolle des digitalen Impfnachweises, wie bei jedem anderen Zertifikat, immer auch der Ausweis der vorzeigenden Person kontrolliert und mit dem digitalen Impfnachweis abgeglichen werden. <\/p>\n<\/blockquote>\n

\n

Doch wo passiert dies zuverl\u00e4ssig und ohne Augenzwinkern bei der Kontrolle? Sp\u00e4testens, wenn beim Eintritt in das Stadion lange Schlangen entstehen, weil neben den digitalen Impfnachweisen zus\u00e4tzlich auch Papiernachweise, Schnelltests und Genesenenzertifikate gepr\u00fcft werden m\u00fcssen, d\u00fcrfte das mit der Identit\u00e4tspr\u00fcfung schnell zweitrangig werden. <\/p>\n<\/blockquote>\n

\n

So l\u00e4ssig und cool das f\u00fcr den Besucher eines Gro\u00dfevents sein mag, einfach und ohne g\u00fcltige Impfung durchgekommen zu sein, so fatal wirkt sich diese Systemschw\u00e4che auf die Bem\u00fchungen aus, das Pandemiegeschehen unter Kontrolle zu halten, wenn Kontaktdaten falsch sind und nicht nachverfolgt werden k\u00f6nnen. F\u00fcr Gesundheits\u00e4mter ein Horrorszenario.<\/p>\n<\/blockquote>\n

Genau aus diesem Grund haben viele Gesundheits\u00e4mter in NRW nicht auf die App Luca gesetzt, nachdem sich neben anderen Sicherheitsm\u00e4ngeln herausgestellt hat, dass die von Luca gelieferten Daten in vielen F\u00e4llen unbrauchbar waren. Auch hier werden die Nutzer nicht gepr\u00fcft oder einer existierenden und gepr\u00fcften Identit\u00e4t zugeordnet. Der digitale Impfnachweis also als echtes Sicherheitsproblem? <\/p>\n

\u201eEigentlich nicht. Die digitale Strecke muss nur zu Ende gedacht werden\", sagt Istok Kespret, Gesch\u00e4ftsf\u00fchrer bei HMM Deutschland GmbH. Die Moerser Firma geht mit der App \u201eimmuny\" einen anderen Weg. Am Anfang steht immer die Registrierung eines neuen Nutzers mit einer sicheren Identit\u00e4tspr\u00fcfung. <\/p>\n

\u201eDas \u2013 und nur das \u2013 ist der Grund, warum bei der Registrierung private Nutzer den Ausweis kontrollieren lassen m\u00fcssen. Unsere Mitarbeiter sehen sich die eingebenden Daten an und vergleichen sie mit den eingereichten Ausweisdokumenten. Wenn alles passt, wird der Benutzer zugelassen. Damit haben wir einen gepr\u00fcften und authentifizierten Benutzer, mit g\u00fcltigem Namen, Anschrift- und Kontaktdaten. Aus meiner Sicht ist das die absolute Voraussetzung f\u00fcr alles, was danach kommt: digitaler Impfnachweis, Schnelltests, insgesamt alle 3G-Nachweise sowie der Kontaktnachweis\", so Kespret. <\/p>\n

Was bedeutet dies konkret in Bezug auf den neuen digitalen Impfnachweis? \u201eDer authentifizierte Benutzer von immuny fotografiert mit der immuny.App den digitalen Impfnachweis. Diesen hat er direkt bei seinem Arzt, der Impfstelle oder von einer Apotheke bekommen. Der Code wird von unseren Mitarbeitern in sich und gegen die hinterlegten Daten des Benutzers gepr\u00fcft. Wenn alles in Ordnung ist, dann wird der QR-Code des Impfnachweises im Konto des Benutzers in immuny hinterlegt und ist somit immer verf\u00fcgbar. Sicher und gepr\u00fcft. Mit sicherer Identit\u00e4t. Und damit sind alle Sicherheitsbedenken hinf\u00e4llig.\" <\/p>\n

\n

Weitere Informationenunter www.immuny.net<\/a>.  Allerdings habe ich mir das Immuny-System nicht angesehen.<\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"

Seit einigen Tagen steht ja der digitale Impfpass zum Nachweis eines COVID-19-Impfschutzes in Deutschland zur Verf\u00fcgung. Zum Start gingen Nachrichten \u00fcber vermeintliche Sicherheitsl\u00fccken durch die Medien. Kann man da was gegen tun? Und dann gibt es noch den Ratschlag von … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-255136","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255136","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255136"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255136\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255136"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255136"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255136"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}