Digitaler ImpfnachweisReichlich Lücken im System

[12.05.2022] Der digitale Impfnachweis wurde in Deutschland mit allzu heißer Nadel gestrickt – und zeigt daher in puncto Sicherheit und Zuverlässigkeit erschreckend viele Mängel. Die Sicherheitslücken nachträglich zu stopfen, ist schwierig bis unmöglich.
Mit heißer Nadel gestrickt: der digitale Impfnachweis.

Mit heißer Nadel gestrickt: der digitale Impfnachweis.

(Bildquelle: janvier/stock.adobe.com)

Eigentlich kümmert sich Thomas Siebert bei der G DATA CyberDefense AG um die Entwicklung neuer Schutztechnologien für Computernetzwerke in Unternehmen und Behörden. Am Thema Corona und damit am digitalen Impfnachweis kam aber auch er nicht vorbei. Hier fielen ihm immer wieder einige lose Enden auf. Die erste Ungereimtheit zeigte sich im privaten Umfeld. Ein Bekannter hatte sich direkt nach der zweiten Impfung seinen QR-Code mit dem digitalen Impfnachweis in der Apotheke besorgt und eingescannt. Zu seiner und Sieberts Überraschung zeigte jede App, dass er vollständig geimpft sei. Dabei sollte der Impfstatus erst zwei Wochen nach der Impfung auf „vollständig geimpft“ umschalten. Ein genauerer Blick auf die Daten zeigte: Aus Versehen stand beim Datum der Zweitimpfung der Tag der Erstimpfung. Und die lag ja bereits deutlich mehr als zwei Wochen zurück.
Ein harmlos anmutender Fehler, der jedem passieren kann. Wer täglich so viele Impfnachweise erstellt, kann schon mal in der Zeile verrutschen. Aber hätte das System so etwas nicht automatisch anmahnen müssen, um eine Korrektur zu ermöglichen? Die Neugier war geweckt. Wenn ein harmloses Versehen bereits dazu führen kann, dass ein Mensch vorzeitig als geimpft gilt – was ist dann erst mit krimineller Energie möglich?

Mit heißer Nadel gestrickt

Und so begann eine Suche, die wenig Ermutigendes zutage fördern sollte. Ausgangsbasis war die Spezifikation der EU, die die technische Umsetzung vorgab. Nach einem umfassenden Blick in die Spezifikationen und die tatsächliche Umsetzung stand fest: Es mangelt dabei an allen Ecken und Enden. Vieles, was die Sicherheit und Zuverlässigkeit hätte erhöhen können, ist entweder ganz ausgeblieben oder wurde nur halbherzig umgesetzt. Vieles deutet darauf hin, dass der digitale Impfnachweis in Deutschland mit heißer Nadel gestrickt wurde, wohl nicht zuletzt durch politischen Druck.
Da ist zum einen die Ausstellung der Impfnachweise und die Art und Weise, wie diese digital signiert sind. In Deutschland werden alle Impfnachweise in letzter Konsequenz vom Robert Koch-Institut (RKI) ausgestellt. Für die Ausgabe und Signierung sind unter anderem die Apotheken zuständig. Der Deutsche Apothekenverband bietet allen angeschlossenen Apotheken die Möglichkeit, sich in einem Web-Portal anzumelden, dort die Daten der Person einzugeben, die einen Impfausweis vorlegt, und den digitalen Impfnachweis herunterzuladen. Auch hier zeigten sich schnell gravierende Versäumnisse. So sind die entsprechenden Portale nur mit einer Kombination aus Benutzernamen und Passwort gesichert, wobei jede Apotheke einen einzigen Zugang erhält.

Mehr Impfnachweise als Impfungen

Insgesamt gibt es 42 Millionen mehr Impfnachweise als es überhaupt Impfungen gab – teilweise wurden Zertifikate mehrfach ausgestellt, weil das Impfzentrum erst im Nachhinein ein solches generiert hat, die Geimpften sich aber bereits vorher in der Apotheke ihren Nachweis abgeholt haben. Möglicherweise wurden Zertifikate auch mehrfach ausgestellt, weil einem Apotheker ein Fehler bei der Dateneingabe unterlaufen ist. Zudem sind hunderttausende Impfnachweise in Deutschland mit derselben digitalen Unterschrift signiert, etwa der des Apothekerverbands. Im Missbrauchsfall wäre es praktisch unmöglich, die ausgestellten Zertifikate durch ein Widerrufen der digitalen Unterschrift nachträglich ungültig zu machen. Denn damit müssten auch alle legitim ausgestellten Impfnachweise neu ausgestellt werden. Theoretisch hätte jeder und jede Mitarbeitende in einer Apotheke eine eigene Signatur bekommen müssen, um den Impfnachweis digital zu „stempeln“. Das wäre technisch ohne weiteres möglich, allerdings mit Mehraufwand verbunden.
Darüber hinaus sind einige wichtige Daten im digitalen Impfnachweis gar nicht hinterlegt, die im gelben Impfbuch enthalten sind. Dazu gehören beispielsweise der Ort der Impfung oder die Chargenbezeichnung des verimpften Wirkstoffs. Apotheken haben keine technische Möglichkeit, die Echtheit der Daten zu verifizieren. Sie müssen also zunächst davon ausgehen, dass die vorgelegten Impfpässe echt sind. So überrascht es nicht, dass Menschen Wege suchten, einen Impfnachweis auch ohne Impfung zu erhalten. Schnell tauchten im Internet Web-Seiten auf, auf denen Betrüger gefälschte gelbe Impfpässe zum Kauf anboten, die „garantiert anerkannt würden“. Selbst digitale Impfnachweise wurden gehandelt. Bittere Ironie: In einigen dieser kriminellen Webshops war auch ein TV-Interview mit Thomas Siebert zum Thema verlinkt, mit dem Hinweis „Seht ihr – unsere Nachweise funktionieren wirklich!“

Auch die Corona-Apps lassen zu wünschen übrig

Auch die Systeme – vor allem die Apps – und die Prozesse, welche die Bürger nutzen sollen, lassen zu wünschen übrig. Die ansonsten zurecht vielgelobte Corona-Warn-App (CWA) bot die Möglichkeit, den digitalen Impfnachweis einzuscannen, um ihn bei Bedarf vorzuzeigen. Das funktionierte auch – allerdings erkannte die App anfangs keine gefälschten Impfzertifikate. Auch die CovPass-App erkannte ein erfundenes Zertifikat als gültig an. Aus rein technischer Sicht ergibt das sogar Sinn, denn der Prozess sieht vor, dass zum Scannen und Validieren die CovPassCheck-App zum Einsatz kommt und dass die angezeigten Daten mit einem vorgelegten Ausweis abgeglichen werden. Allerdings war die CovPassCheck-App gerade am Anfang kaum verbreitet. Eine korrekte Prüfung hatte daher lange Seltenheitswert.
Hinzu kommt, dass es keine großen Programmierkenntnisse erfordert, um sich zu Hause einen digitalen Impfnachweis selbst zu basteln. Vielmehr geht dies innerhalb von Sekunden, wie es auch Siebert vor laufender Kamera demonstrierte. Die Umsetzung des digitalen Impfnachweises stellt so praktisch eine offene Einladung zum Missbrauch dar und Siebert ließ keinen Zweifel daran, dass es diesen im großen Maßstab geben werde. Diese Voraussage sollte sich mehr als bewahrheiten. So schätzte vor Kurzem der Präsident der Apothekerkammer Baden-Württemberg, Martin Braun, dass sich die Anzahl der im Umlauf befindlichen gefälschten Nachweise im sechsstelligen Bereich bewegen dürfte.
Mittlerweile wurde technisch zwar die Möglichkeit zum Blockieren einzelner Impfnachweise geschaffen, sodass diese dann nicht mehr als gültig anerkannt werden. Praktisch wird diese Möglichkeit in Deutschland aber kaum genutzt. Die Corona-Warn-App etwa blockiert nur die Impfnachweise einer einzigen Münchner Apotheke, die beim Erstellen von Fälschungen erwischt wurde. Andere Länder haben vergleichbare Möglichkeiten zum Blocken falscher Impfnachweise geschaffen, ein internationaler Abgleich der Listen findet aber nicht statt. Ein falscher Impfnachweis, der in einem Land als ungültig markiert ist, könnte in einem anderen Land also nach wie vor den begehrten grünen Haken tragen.

Nachträglich Sicherheit einbauen? Schwierig bis unmöglich

Zurück bleibt die ernüchternde Erkenntnis, dass es schwer bis unmöglich ist, nachträglich Sicherheit in ein bestehendes System einzubauen. Das resultiert nur in einer unsäglichen Flickschusterei, bei der bloß Lücken gestopft werden, die es bei besserer Planung gar nicht erst gegeben hätte. Ein so kritisches System mit heißer Nadel zu stricken, schadet nicht nur der Sicherheit als Ganzes. Es ist auch enorm schädlich für das Vertrauen von Menschen in ein System, das sie eigentlich schützen sollte. Konsequenz: Zwischenzeitlich weigerten sich einige Händler und Restaurants, den gelben Impfpass als Nachweis einer Impfung anzuerkennen – weil der ja gefälscht sein könnte.

Tim Berghoff ist Security Evangelist bei der G DATA CyberDefense AG, Bochum.




Weitere Meldungen und Beiträge aus dem Bereich: IT-Sicherheit
Schloss mit Schlüsselloch als Symbol für IT-Sicherheit

Baden-Württemberg/Bayern/Hessen: Kooperation für starke IT-Sicherheit

[11.12.2024] Die Cybersicherheitsagentur Baden-Württemberg, das bayerische Landesamt für Sicherheit in der Informationstechnik und Hessens CyberCompetenceCenter bündeln ihre Kräfte. Gemeinsam wollen sie eine schlagkräftige Allianz für mehr IT-Sicherheit bilden. mehr...

In Blautönen gehaltenes 3D-Rendering eines Vorhängeschlosses mit Schlüsselloch, überlagert von einer Schaltplan-Struktur.

Sachsen: Tausende Cyberattacken auf Landesbehörden

[02.12.2024] Der Jahresbericht Informationssicherheit bilanziert den Stand der Cybersicherheit in der sächsischen Verwaltung. Angriffe auf Behörden nehmen demnach zu – so wurde rund die Hälfte der eingehenden Mails blockiert. Maßnahmen wie die NIS2-Umsetzung und eine 24/7-Bereitschaft beim SAX.CERT stärken den Schutz. mehr...

Claudia Plattner (l.), Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), und Bundesinnenministerin Nancy Faeser präsentieren den Bericht zur Lage der IT-Sicherheit in Deutschland.

BSI: Bericht zur Lage der IT-Sicherheit

[12.11.2024] Die Bedrohungslage bliebt angespannt, die Resilienz gegen Cyberangriffe aber ist gestiegen. Das geht aus dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland hervor, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun vorgestellt hat. mehr...

Ministerpräsident Michael Kretschmer und BSI-Präsidentin Claudia Plattner.

BSI: Sachsen testet Telefonie-Lösung für Verschlusssachen

[11.11.2024] Sachsens Ministerpräsident Kretschmer und Landes-CIO Popp informierten sich bei einem Besuch des BSI-Standorts Freital über hochsichere Kommunikationstechnik. Ein Testbetrieb für die Verschlusssachen-Telefonie-Lösung ist im Freistaat geplant. mehr...

Symbolbild: Blauer Hintergrund, davor Binärcode-Zahlenreihen und ein Ring aus gelben Sternen (EU-Flagge)

Niedersachsen: NIS2-Richtlinie umgesetzt

[04.11.2024] Niedersachsen setzt als eines der ersten Bundesländer die NIS2-Richtlinie der EU zur Cybersicherheit in der Verwaltung um. Die neue Verwaltungsvorschrift, die Benennung einer zuständigen Behörde für Cybersicherheit und die Einrichtung eines Notfallteams sollen die IT-Sicherheit in besonders kritischen Bereichen stärken. mehr...

Innenminister Roman Poseck eröffnete den Cybersicherheitsgipfel im Regierungspräsidium Gießen vor mehr als 100 Vertreterinnen und Vertretern südhessischer Kommunen.

Hessen: Höhere Cybersicherheit

[01.11.2024] Mit dem Aktionsprogramm Kommunale Cybersicherheit sollen hessische Kommunen umfassender in der IT-Sicherheit unterstützt und auf künftige Cyberangriffe vorbereitet werden. mehr...

Zwei Männer mittleren Alters sitzen einander zugewandt auf Sesseln, im Hintergrund ein modernes Gemälde.

Thüringen: Datenschutzbericht übergeben

[30.10.2024] Thüringens Ministerpräsident Bodo Ramelow traf sich am Dienstagnachmittag, den 24. September, mit dem Landesbeauftragten für Datenschutz und Informationsfreiheit (TLfDI) des Freistaats Thüringen, Tino Melzer. Im Rahmen des Gesprächs überreichte Melzer seinen Tätigkeitsbericht für das Jahr 2023 an den Ministerpräsidenten. mehr...

Screenshot eines pixeligen Bildschirms. Zu sehen ist auf dunklem Grund die hellblaue Schrift "Security", eine Mauszeigerhand zeigt darauf.

Sachsen-Anhalt: Mehr IT-Sicherheit für Kommunen

[29.10.2024] Um die Cybersicherheit in Sachsen-Anhalts Kommunen zu stärken, startete das Land gemeinsam mit dem BSI das Pilotprojekt „SicherKommunal“. Durch das Projekt sollen Städte, Landkreise und Gemeinden gezielt bei der Verbesserung ihrer IT- und Informationssicherheit unterstützt werden. mehr...

Podium auf der Messe it-sa 2024

it-sa: So steht es um die Cybernation Deutschland

[25.10.2024] Zum Stand der Initiative „Cybernation Deutschland“, den BSI-Grundschutz der Zukunft und über die NIS2-Richtlinie informierte die BSI-Präsidentin Claudia Plattner auf der Kongressmesse it-sa in Nürnberg (22. bis 24. Oktober 2024). mehr...

Generisches Symbolbild für IT-Sicherheit: eine geöffnete Hand vor dunklem Hintergrund hält ein gerendertes, hell leuchtendes Vorhängeschloss, im Hintergrund noch Bokeh-ähnliche Strukturen.

Utimaco/genoa: Sichere Telearbeit für VS-NfD-Umgebungen

[23.10.2024] Utimaco und genua haben die genusecure-Suite entwickelt, um den Anforderungen an sicheres mobiles Arbeiten in VS-NfD-Umgebungen gerecht zu werden. Die Lösung kombiniert Festplattenverschlüsselung und VPN-Technologie, zugelassen vom BSI, um Behörden und Unternehmen datenschutzkonforme Telearbeitsplätze zu bieten. mehr...

In Blautönen gehaltenes 3D-Rendering eines Vorhängeschlosses mit Schlüsselloch, überlagert von einer Schaltplan-Struktur.

Bayern: Cyberabwehr gemeinsam stärken

[21.10.2024] Bei einer gemeinsamen Übung haben Bayerns Cybersicherheitsbehörden ihre Reaktionsfähigkeit auf komplexe Cyberangriffe getestet. Im Fokus standen übergreifende Kommunikation und die Entwicklung gemeinsamer Lösungen, um Kritische Infrastrukturen und Verwaltung besser zu schützen. mehr...

Bundesdruckerei: Cybersicherheit für das Quantenzeitalter

[18.10.2024] Die Bundesdruckerei erprobt neue kryptografische Methoden, um die Kommunikation der öffentlichen Verwaltung auch im Quantenzeitalter sicher zu gestalten. Unterstützt vom BSI testet sie eine quantensichere Public-Key-Infrastruktur, die künftig für sichere Identifikation und verschlüsselte Kommunikation sorgen soll. mehr...

Rheinland-Pfalz: Landesverwaltung setzt NIS2 um

[10.10.2024] Bis zum 17. Oktober müssen die EU-Mitgliedstaaten die NIS2-Richtlinie in nationales Recht umsetzen. Mit der Verabschiedung einer Verwaltungsvorschrift hat das Land Rheinland-Pfalz jetzt die entsprechenden rechtlichen Regelungen hierfür getroffen. mehr...

Das Bild zeigt die Titelseite des Cybersicherheitsberichts Bayern 2024.

Bayern: Gemeinsam gegen Cybercrime

[26.09.2024] Die Bedrohungslage im Bereich Cybersicherheit hat sich in Bayern weiter verschärft. Laut dem neuen Cybersicherheitsbericht 2024 des Freistaats werden immer mehr kleine und mittelständische Unternehmen sowie Behörden Opfer von Cyberangriffen. mehr...

Das Bild zeigt die niedersächsische Innenministerin Daniela Behrens.

Niedersachsen: Sicherheit im Cyberspace

[25.09.2024] Eine neue Cybersicherheitsstrategie soll das Land Niedersachsen besser vor digitalen Bedrohungen schützen. Das jetzt von der Landesregierung verabschiedete Konzept umfasst zwölf Handlungsfelder und bindet alle gesellschaftlichen Akteure ein. mehr...