Fragen zur Fälschungssicherheit Warum der digitale Impfnachweis beliebig oft kopierbar ist
QR-Code von »Maximilian Mustermann«: Wer überprüft den Ausweis?
Foto: Christoph Dernbach / dpaBraucht der digitale Impfnachweis, den sich am Montag bereits mehr als hunderttausend Bürgerinnen und Bürger in Apotheken haben ausstellen lassen, womöglich einen Kopierschutz? Wie verschiedene Versuche zeigen, lässt sich der QR-Code der Impfzertifikate mehrfach einscannen. Das ist einerseits sinnvoll, weil Geimpfte ihren Nachweis beispielsweise auf privaten und auf Arbeitshandys abspeichern wollen oder irgendwann ein neues Smartphone bekommen. Andererseits sind Betrugsversuche deshalb technisch gesehen einfach, für manche möglicherweise verlockend einfach.
Wer will, kann den in den Apotheken ausgedruckten QR-Code gleich in drei verschiedene Apps einscannen: die Corona-Warn-App, die CovPass-App oder die Luca-App. Damit sind die QR-Codes aber nicht verbraucht. Weitere Nutzer können sie ebenfalls auf ihre Handys spielen, zumindest mit der Corona-Warn-App oder der CovPass-App geht das umstandslos. Alternativ reicht es, das Foto eines QR-Codes zu scannen, wenn es beispielsweise im Internet veröffentlicht wurde – absichtlich oder unabsichtlich. Selbst leicht verfremdete oder verwischte Screenshots werden von den Apps mitunter als gültig akzeptiert.
Im Bundesgesundheitsministerium ist das durchaus bekannt. »Der QR-Code kann neu eingescannt werden«, bestätigte ein Sprecher dem SPIEGEL. »Dabei ist aber zu beachten, dass bei der Prüfung des Impfnachweises – wie in der analogen Welt auch – auch ein Lichtbildausweis vorzulegen ist.«
Die Fälschungssicherheit bezieht sich auf ein anderes Szenario
Entwickler würden sagen: »It’s not a bug, it’s a feature«. Die Kopierbarkeit ist gewollt. Die Fälschungssicherheit des digitalen Impfnachweises deckt ein anderes Szenario ab: Nur ein von berechtigter Stelle – Impfzentrum, Apotheke, Arztpraxis – ausgestellter digitaler Impfnachweis ist elektronisch signiert, das wird bei einer Kontrolle in jedem Fall überprüft. Ein selbst gemachter Impfnachweis würde sofort auffallen. Ein kopierter digitaler Impfnachweis ist immer noch signiert und damit an sich gültig. Dass die vorzeigende Person nicht die im kopierten Impfnachweis vermerkte ist, fällt aber nur im Idealfall auf: bei der gleichzeitigen Ausweiskontrolle.
Wie realistisch die Vorstellung ist, dass die jeder Gastwirt und jede Veranstalterin am Einlass durchführt oder durchführen lässt, ist zumindest fraglich . Nur in wenigen Fällen, wie etwa am Flughafen, wird niemand darum herumkommen. Die Versuchung, im Alltag mit einem kopierten QR-Code eine vollständige Impfung vorzugaukeln, um umstandslos am gesellschaftlichen Leben teilnehmen zu können, könnte daher für manche groß sein.
Wer erwischt wird, muss mit Strafe rechnen: Das Ministerium verweist auf das Zweite Gesetz zur Änderung des Infektionsschutzgesetzes . In dem heißt es in Paragraf 75a: »Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer wissentlich« eine nicht richtige Dokumentation oder Bescheinigung über eine Impfung oder Testung »zur Täuschung im Rechtsverkehr gebraucht«. Doch welcher Gastwirt würde schon eine Person festhalten und anzeigen, wenn er sie mit einem kopierten Impfnachweis, aber ohne Ausweis erwischt?
Wie problematisch die mutmaßliche Schwachstelle in dem System wirklich ist, bleibt Spekulation. Täuschungsversuche dürften eher die Ausnahme als die Regel sein. Die wenigsten Impfnachweis-Inhaber werden ihren QR-Code absichtlich anderen zur Verfügung stellen. Natürlich sollte man den eigenen QR-Code auch nicht als Foto in sozialen Medien verbreiten, nur weil man sich so darüber freut. In den kommenden Wochen und Monaten wird zudem die Zahl der Durchgeimpften und damit tatsächlich Anspruchsberechtigten ohnehin immer weiter steigen. Gleichzeitig werden damit auch die Betrüger, die es dann noch geben mag, für die Allgemeinheit weniger gefährlich im Sinne des Infektionsschutzes.
