Digitaler ImpfnachweisReichlich Lücken im System

[12.05.2022] Der digitale Impfnachweis wurde in Deutschland mit allzu heißer Nadel gestrickt – und zeigt daher in puncto Sicherheit und Zuverlässigkeit erschreckend viele Mängel. Die Sicherheitslücken nachträglich zu stopfen, ist schwierig bis unmöglich.
Mit heißer Nadel gestrickt: der digitale Impfnachweis.

Mit heißer Nadel gestrickt: der digitale Impfnachweis.

(Bildquelle: janvier/stock.adobe.com)

Eigentlich kümmert sich Thomas Siebert bei der G DATA CyberDefense AG um die Entwicklung neuer Schutztechnologien für Computernetzwerke in Unternehmen und Behörden. Am Thema Corona und damit am digitalen Impfnachweis kam aber auch er nicht vorbei. Hier fielen ihm immer wieder einige lose Enden auf. Die erste Ungereimtheit zeigte sich im privaten Umfeld. Ein Bekannter hatte sich direkt nach der zweiten Impfung seinen QR-Code mit dem digitalen Impfnachweis in der Apotheke besorgt und eingescannt. Zu seiner und Sieberts Überraschung zeigte jede App, dass er vollständig geimpft sei. Dabei sollte der Impfstatus erst zwei Wochen nach der Impfung auf „vollständig geimpft“ umschalten. Ein genauerer Blick auf die Daten zeigte: Aus Versehen stand beim Datum der Zweitimpfung der Tag der Erstimpfung. Und die lag ja bereits deutlich mehr als zwei Wochen zurück.
Ein harmlos anmutender Fehler, der jedem passieren kann. Wer täglich so viele Impfnachweise erstellt, kann schon mal in der Zeile verrutschen. Aber hätte das System so etwas nicht automatisch anmahnen müssen, um eine Korrektur zu ermöglichen? Die Neugier war geweckt. Wenn ein harmloses Versehen bereits dazu führen kann, dass ein Mensch vorzeitig als geimpft gilt – was ist dann erst mit krimineller Energie möglich?

Mit heißer Nadel gestrickt

Und so begann eine Suche, die wenig Ermutigendes zutage fördern sollte. Ausgangsbasis war die Spezifikation der EU, die die technische Umsetzung vorgab. Nach einem umfassenden Blick in die Spezifikationen und die tatsächliche Umsetzung stand fest: Es mangelt dabei an allen Ecken und Enden. Vieles, was die Sicherheit und Zuverlässigkeit hätte erhöhen können, ist entweder ganz ausgeblieben oder wurde nur halbherzig umgesetzt. Vieles deutet darauf hin, dass der digitale Impfnachweis in Deutschland mit heißer Nadel gestrickt wurde, wohl nicht zuletzt durch politischen Druck.
Da ist zum einen die Ausstellung der Impfnachweise und die Art und Weise, wie diese digital signiert sind. In Deutschland werden alle Impfnachweise in letzter Konsequenz vom Robert Koch-Institut (RKI) ausgestellt. Für die Ausgabe und Signierung sind unter anderem die Apotheken zuständig. Der Deutsche Apothekenverband bietet allen angeschlossenen Apotheken die Möglichkeit, sich in einem Web-Portal anzumelden, dort die Daten der Person einzugeben, die einen Impfausweis vorlegt, und den digitalen Impfnachweis herunterzuladen. Auch hier zeigten sich schnell gravierende Versäumnisse. So sind die entsprechenden Portale nur mit einer Kombination aus Benutzernamen und Passwort gesichert, wobei jede Apotheke einen einzigen Zugang erhält.

Mehr Impfnachweise als Impfungen

Insgesamt gibt es 42 Millionen mehr Impfnachweise als es überhaupt Impfungen gab – teilweise wurden Zertifikate mehrfach ausgestellt, weil das Impfzentrum erst im Nachhinein ein solches generiert hat, die Geimpften sich aber bereits vorher in der Apotheke ihren Nachweis abgeholt haben. Möglicherweise wurden Zertifikate auch mehrfach ausgestellt, weil einem Apotheker ein Fehler bei der Dateneingabe unterlaufen ist. Zudem sind hunderttausende Impfnachweise in Deutschland mit derselben digitalen Unterschrift signiert, etwa der des Apothekerverbands. Im Missbrauchsfall wäre es praktisch unmöglich, die ausgestellten Zertifikate durch ein Widerrufen der digitalen Unterschrift nachträglich ungültig zu machen. Denn damit müssten auch alle legitim ausgestellten Impfnachweise neu ausgestellt werden. Theoretisch hätte jeder und jede Mitarbeitende in einer Apotheke eine eigene Signatur bekommen müssen, um den Impfnachweis digital zu „stempeln“. Das wäre technisch ohne weiteres möglich, allerdings mit Mehraufwand verbunden.
Darüber hinaus sind einige wichtige Daten im digitalen Impfnachweis gar nicht hinterlegt, die im gelben Impfbuch enthalten sind. Dazu gehören beispielsweise der Ort der Impfung oder die Chargenbezeichnung des verimpften Wirkstoffs. Apotheken haben keine technische Möglichkeit, die Echtheit der Daten zu verifizieren. Sie müssen also zunächst davon ausgehen, dass die vorgelegten Impfpässe echt sind. So überrascht es nicht, dass Menschen Wege suchten, einen Impfnachweis auch ohne Impfung zu erhalten. Schnell tauchten im Internet Web-Seiten auf, auf denen Betrüger gefälschte gelbe Impfpässe zum Kauf anboten, die „garantiert anerkannt würden“. Selbst digitale Impfnachweise wurden gehandelt. Bittere Ironie: In einigen dieser kriminellen Webshops war auch ein TV-Interview mit Thomas Siebert zum Thema verlinkt, mit dem Hinweis „Seht ihr – unsere Nachweise funktionieren wirklich!“

Auch die Corona-Apps lassen zu wünschen übrig

Auch die Systeme – vor allem die Apps – und die Prozesse, welche die Bürger nutzen sollen, lassen zu wünschen übrig. Die ansonsten zurecht vielgelobte Corona-Warn-App (CWA) bot die Möglichkeit, den digitalen Impfnachweis einzuscannen, um ihn bei Bedarf vorzuzeigen. Das funktionierte auch – allerdings erkannte die App anfangs keine gefälschten Impfzertifikate. Auch die CovPass-App erkannte ein erfundenes Zertifikat als gültig an. Aus rein technischer Sicht ergibt das sogar Sinn, denn der Prozess sieht vor, dass zum Scannen und Validieren die CovPassCheck-App zum Einsatz kommt und dass die angezeigten Daten mit einem vorgelegten Ausweis abgeglichen werden. Allerdings war die CovPassCheck-App gerade am Anfang kaum verbreitet. Eine korrekte Prüfung hatte daher lange Seltenheitswert.
Hinzu kommt, dass es keine großen Programmierkenntnisse erfordert, um sich zu Hause einen digitalen Impfnachweis selbst zu basteln. Vielmehr geht dies innerhalb von Sekunden, wie es auch Siebert vor laufender Kamera demonstrierte. Die Umsetzung des digitalen Impfnachweises stellt so praktisch eine offene Einladung zum Missbrauch dar und Siebert ließ keinen Zweifel daran, dass es diesen im großen Maßstab geben werde. Diese Voraussage sollte sich mehr als bewahrheiten. So schätzte vor Kurzem der Präsident der Apothekerkammer Baden-Württemberg, Martin Braun, dass sich die Anzahl der im Umlauf befindlichen gefälschten Nachweise im sechsstelligen Bereich bewegen dürfte.
Mittlerweile wurde technisch zwar die Möglichkeit zum Blockieren einzelner Impfnachweise geschaffen, sodass diese dann nicht mehr als gültig anerkannt werden. Praktisch wird diese Möglichkeit in Deutschland aber kaum genutzt. Die Corona-Warn-App etwa blockiert nur die Impfnachweise einer einzigen Münchner Apotheke, die beim Erstellen von Fälschungen erwischt wurde. Andere Länder haben vergleichbare Möglichkeiten zum Blocken falscher Impfnachweise geschaffen, ein internationaler Abgleich der Listen findet aber nicht statt. Ein falscher Impfnachweis, der in einem Land als ungültig markiert ist, könnte in einem anderen Land also nach wie vor den begehrten grünen Haken tragen.

Nachträglich Sicherheit einbauen? Schwierig bis unmöglich

Zurück bleibt die ernüchternde Erkenntnis, dass es schwer bis unmöglich ist, nachträglich Sicherheit in ein bestehendes System einzubauen. Das resultiert nur in einer unsäglichen Flickschusterei, bei der bloß Lücken gestopft werden, die es bei besserer Planung gar nicht erst gegeben hätte. Ein so kritisches System mit heißer Nadel zu stricken, schadet nicht nur der Sicherheit als Ganzes. Es ist auch enorm schädlich für das Vertrauen von Menschen in ein System, das sie eigentlich schützen sollte. Konsequenz: Zwischenzeitlich weigerten sich einige Händler und Restaurants, den gelben Impfpass als Nachweis einer Impfung anzuerkennen – weil der ja gefälscht sein könnte.

Tim Berghoff ist Security Evangelist bei der G DATA CyberDefense AG, Bochum.




Weitere Meldungen und Beiträge aus dem Bereich: IT-Sicherheit

Bayern: Zero Trust im Behördennetz

[12.04.2024] Einen Fahrplan für die sukzessive Einführung einer Zero-Trust-Architektur im Bayerischen Behördennetz hat das Landesamt für Sicherheit in der Informationstechnik (LSI) gemeinsam mit dem Fraunhofer-Institut AISEC aufgestellt. mehr...

Porträtfoto des bayerischen Finanz- und Heimatministers Albert Füracker.

Cyber-Sicherheit: Dezentrale IT-Sicherheit als Schlüssel

[08.04.2024] Die deutschen Bundesländer sollen im Kampf gegen Cyber-Bedrohungen stärker zusammenarbeiten. Die dezentrale Struktur und die schnelle Kommunikation seien entscheidend für den Schutz Kritischer Infrastrukturen und staatlicher IT-Systeme, so Bayerns Finanz- und Heimatminister Albert Füracker. mehr...

Das Bild zeigt ein stilisiertes Vorhängeschloss mit Code-Zeilen im Hintergrund.

BSI: Schwachstellen im Exchange Server

[29.03.2024] Eine Untersuchung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt, dass in Deutschland mindestens 17.000 Microsoft Exchange Server durch kritische Sicherheitslücken gefährdet sind. Das BSI ruft zur sofortigen Aktualisierung und sicheren Konfiguration der Systeme auf. mehr...

Das Bild zeigt Dr. Christian Schumer, CEO & Senior Vice President Sales von Materna Virtual Solution.
interview

Interview: Ultramobiles Arbeiten mit BSI-Siegel

[27.03.2024] Mit dem indigo-Konzept von Apple können auch Behörden iPhones und iPads sicher nutzen. Materna Virtual Solution unterstützt seine Kunden dabei mit einem eigenen Kompetenz-Center und speziell entwickelten Lösungen. move-online sprach darüber mit Christian Schumer, CEO & Senior Vice President Sales von Materna Virtual Solution. mehr...

BSI: Neuer Mindeststandard für Browser

[21.03.2024] Das BSI hat den Mindeststandard für Webbrowser aktualisiert, die in der Bundesverwaltung, aber auch in Ländern und Kommunen zum Einsatz kommen. In seiner aktuellen Fassung berücksichtigt der Mindeststandard nun auch Anforderungen für Browser, die mobil eingesetzt werden. mehr...

Das Bild zeigt einen Bildschrim mit geöffnetem Security-Programm.

Cybersecurity Report: Bedrohung auf Rekordniveau

[14.03.2024] Der aktuelle Cybersecurity Report von Trend Micro zeigt, dass Angriffe auf IT-Systeme immer raffinierter werden. Deutschland gehört zu den am stärksten betroffenen Ländern, insbesondere im Bereich Ransomware. Im Fokus der Angreifer stehen staatliche Einrichtungen und Kritische Infrastrukturen. mehr...

Nahaufnahme vom Dach eines roten Fahrzeuges mit einem Feuerwehr-Schild.

BSI/DFV: Mehr IT-Sicherheit für Feuerwehren

[08.03.2024] Um die Informationssicherheit bei Feuerwehren und in Leitstellen besser zu schützen, wollen der Deutsche Feuerwehrverband und das BSI ihre Zusammenarbeit intensivieren. Das BSI hat Checklisten veröffentlicht, die Feuerwehren den Weg in eine Basisabsicherung bahnen sollen. mehr...

Logo Nationales Cyber-Abwehrzentrum

Bayern/Nordrhein-Westfalen: Verstärkung für das Cyber-Abwehrzentrum

[27.02.2024] Das Nationale Cyber-Abwehrzentrum erhält nun dauerhaft Verstärkung durch die Länderstaatsanwaltschaften Bayerns und Nordrhein-Westfalens. Die Zusammenarbeit war bereits im Rahmen eines Pilotprojekts erprobt worden, nun wird sie verstetigt. mehr...

Das Bild zeigt die Hauptbühne des Mobile World Congress in Barcelona.

Mobile World Congress: Sicheres Arbeiten mit Apple-Geräten

[26.02.2024] Auf dem Mobile World Congress in Barcelona präsentieren Rohde & Schwarz Cybersecurity und agilimo Consulting die Lösung Indigo in a box. Diese Weltneuheit ermöglicht die einfache Aktivierung von Apple-Geräten für höchste Sicherheitsanforderungen in Behörden. mehr...

BSI: Diskussion zu KI und Cyber-Sicherheit

[26.02.2024] Auf der Münchner Sicherheitskonferenz hat sich BSI-Präsidentin Claudia Plattner mit Sicherheitsexpertinnen und -experten über Gefahren und Chancen von KI für die Cyber-Sicherheit ausgetauscht. mehr...

An einem großen Konferenztisch sitzen 26 europäische Cyber-Sicherheitsdirektoren beim Cyber Security Directors‘ Meeting.

Cyber-Sicherheit: EU-Experten diskutieren Herausforderungen

[23.02.2024] Beim vierten Cyber Security Directors‘ Meeting des Bundesamtes für Sicherheit in der Informationstechnik (BSI) diskutierten 26 europäische Cyber-Sicherheitsdirektoren über die Umsetzung neuer EU-Rechtsakte und gemeinsame Strategien gegen IT-Sicherheitsvorfälle. mehr...

Hände halten ein Mobiltelefon mit der AusweisApp und einen Personalausweis.

BSI: Mögliche Schwachstelle im eID-System?

[20.02.2024] Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ist ein Hinweis auf eine mögliche Schwachstelle im eID-System eingegangen, dem nun nachgegangen wurde. Dabei kam das BSI zu dem Ergebnis, dass die Online-Ausweisfunktion weiterhin eine der sichersten Möglichkeiten des digitalen Identitätsnachweises ist. mehr...

Auf dem Bildschirm eines stilisiert dargestellten hellblauen Laptops wird ein ebenfalls stilisiert dargestelltes E-Learning-Video abgespielt, in dem eine Person etwas erklärt. Hellblau hinterlegte Sprechblasen zeigen ein Vorhängeschloss und einen Schlüssel.

Baden-Württemberg: Lernplattform für Cyber-Sicherheit

[15.02.2024] Mit einer neuen Lernplattform wendet sich die Cyber-Sicherheitsagentur Baden-Württemberg (CSBW) an die Mitarbeiterinnen und Mitarbeiter der Landes- und Kommunalverwaltungen. Sie finden hier kostenlose, vielfältig aufbereitete E-Learning-Angebote rund um das Thema Cyber-Sicherheit. mehr...

Das Bild zeigt NRW-Innenminister Herbert Reul und BSI-Präsidentin Claudia Plattner bei ihrem ersten persönlichen Treffen.

Cyber-Sicherheit: Kräfte bündeln

[09.02.2024] Bei einem Treffen zwischen NRW-Innenminister Herbert Reul und BSI-Präsidentin Claudia Plattner wurde die Bedeutung einer engen Zusammenarbeit für die nationale Cyber-Sicherheit betont. mehr...

Das Bild zeigt das Innere des IT-Lagezentrums mit Personen an Bildschirmen und großen Monitoren an den Wänden.

BSI: Nationales IT-Lagezentrum eingeweiht

[06.02.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein hochmodernes Nationales IT-Lagezentrum in Betrieb genommen und die Initiative „Cybernation Deutschland“ gestartet. Ziel ist es, die Cyber-Sicherheit des Landes zu stärken und Deutschland zum Vorreiter für eine sichere Digitalisierung zu machen. mehr...