Der digitale Impfnachweis hat einige eklatante Schwachstellen, warnt jetzt das IT-Security-Unternehmen G Data. Bei der Umsetzung der Sicherheit gibt es demnach mehrere schwerwiegende Versäumnisse. Wer es darauf anlege, könne Impfnachweise erstellen, ohne eine Impfung bekommen zu haben.
Die Liste der von G Data gefundenen Schwachstellen ist lang. So überprüft die Corona-Warn-App die Signaturen der digitalen Impfnachweise nicht. Dadurch kann jeder einen auf den ersten Blick echt aussehenden Nachweis erstellen. Zudem werden relevante Daten aus dem gelben Impfpass, beispielsweise die Chargennummer des Impfstoffs, bei der Erstellung weder überprüft noch in die digitalen Impfnachweise übernommen. Das macht eine spätere Prüfung unmöglich.
Darüber hinaus sind die Zugänge der Apotheken zur Erstellung der Impfnachweise unsicher und einmal ausgestellte Impfnachweise lassen sich im Missbrauchsfall nicht widerrufen. Dabei mangelt es den Security-Experten zufolge nicht an den technischen Grundlagen, sondern an der Umsetzung.
Schnelle Lösung auf Kosten der Sicherheit
„Es entsteht der Eindruck, dass die Einführung des digitalen Impfnachweises vor allem ein Schnellschuss war“, sagt Thomas Siebert, Head of Protection Technologies bei G Data CyberDefense. Eine schnelle Lösung vor Beginn der Ferienzeit präsentieren zu können, sei offenbar wichtiger gewesen als eine von Anfang an sichere Lösung.
Portal nicht ausreichend gesichert
Apotheken, Arztpraxen und Impfzentren erstellen die Impfnachweise mithilfe einer Webseite. Der Zugang für dieses Portal ist lediglich mit einem Benutzernamen und einem Passwort gesichert. Eine Mehrfaktor-Authentifizierung gibt es nicht. Ein Fehler, denn auf das Abgreifen von Zugangsdaten spezialisierte Schadprogramme gehören schon seit Jahren zum Standard-Repertoire von Cyberkriminellen. Die Folge: Betrüger, die sich zum Beispiel die Anmeldedaten einer Apotheke widerrechtlich aneignen, können das Portal danach theoretisch dazu missbrauchen, Impfnachweise zu fälschen.
Prüfung fehlt
Impfnachweise lassen sich auch in der Corona-Warn-App (CWA) des Robert Koch-Instituts einbinden, um sie per Smartphone vorzeigen zu können. Ob die elektronische Signatur des eingescannten Nachweises auch gültig ist, überprüft die Applikation allerdings nicht, kritisiert das Sicherheitsunternehmen. Mit ein paar Zeilen Programmcode sei es möglich, sich einen QR-Code mit einem Fantasie-Impfnachweis zu erstellen. Dieser werde von der Corona-Warn-App problemlos akzeptiert und halte einer Sichtprüfung ohne Weiteres stand. Eine tatsächliche Verifizierung des Impfnachweises sei nur mit der CovCheck-App möglich.