Testversuch in Berlin: Wie sicher ist ein Impfcode?

In Berlin wurde erstmalig bei einer Sportveranstaltung ein QR-Code erfolgreich getestet. Ende des Monats sollte EU-weit der digitale CovPass kommen und das Reisen erleichtern. Doch dies wird sich bis zum Hochsommer hinziehen – und bis dahin sind noch viele Datenschutzhürden zu meistern.

Beim Einlass in Berlin wurden die 1.000 Fans mit dem neu entwickelten BärCode auf dem Handy nach Getesteten, Geimpften und Genesenen ausgelesen und überprüft. Die Fans der Basketballer von Alba Berlin waren getestet, die der Gegner aus Ulm auch. Entwickler Prof. Roland Eils sagte der Bild am Sonntag:

"Das Ziel war es, die verschiedenen Arten von Test-Nachweisen und Impf-Bestätigungen einfach und datensparsam zusammenzuführen. Wichtig war uns, dass das System fälschungssicher ist."

In Berlin klappte das, was bislang elektronisch noch nicht fehlerfrei klappte. Der BärCode ist keine umständliche App, sondern eine PDF-Datei, die man im Testzentrum oder bei der Impfstelle bekommt. Sie arbeitet auch mit der Luca-App. So wollten die Organisatoren zeigen, dass trotz der geschätzten rund 30 Prozent gefälschten Testnachweise in der Hauptstadt die BärCode-Besitzer sicher sind.

Bundesgesundheitsminister Jens Spahn (CDU) hatte schon bei der Vorstellung der Idee eines EU-weiten digitalen Impfpasses festgestellt, dass das Interesse der Fälscher sowohl am gelben Impfbuch der WHO als auch an dem geplanten digitalen EU-Impfnachweis sehr groß sei. Der Chaos Computer Club (CCC) hatte bereits im Vorfeld gewarnt, dass weder das Chargenetikett der Corona-Impfung noch der Arztstempel oder die Unterschrift im Impfbuch Sicherheitsmerkmale aufweisen würden. Somit seien sie auch leicht zu fälschen. Wird jemand mit einem gefälschten Impfausweis erwischt, drohen bis zu einem Jahr Gefängnis oder eine Geldstrafe, den Fälschern selbst sogar zwei Jahre. 

Besonders schwierig sei das in der Übergangszeit vor der Einführung des digitalen CovPasses. Der Vorsitzende der Gewerkschaft der Polizei (GdP) für die Bundespolizei, Andreas Roßkopf, sagte der dpa:

"Wir können nur das aufdecken, was für uns nachweisbar ist."

In Impfzentren, Arztpraxen und auch in Apotheken müsste dann das Personal über die Echtheit der digitalen Signatur oder des Aufklebers mit QR-Code befinden. Ist diese Hürde erst einmal genommen, ist der nächste Schritt relativ sicher. Ab 14. Juni sollen sich vollständig geimpfte Personen in vielen Apotheken bereits den digitalen Nachweis nachträglich ausstellen lassen können. Den digitalen Nachweis bekommt man auch direkt in Praxen oder Impfzentren und kann ihn per Smartphone nutzen. Das wird in Deutschland aber voraussichtlich noch bis Mitte August dauern.

Im EU-Zertifikat auf der Basis eines QR-Codes greift die sogenannte Public-Key-Infrastruktur (PKI). Nach Angaben der EU-Kommission funktioniere das Prinzip nach dem Schlüssel-Schloss-Prinzip. Wurde der QR-Code – der Schlüssel – manipuliert, zeigt der Scanner eine Fehlermeldung. Einen Code etwa mit einem geliehenen Handy vorzutäuschen, falle bei der Kontrolle, so ein Mitarbeiter von Prof. Roland Elis gegenüber RT DE, sofort auf. Dort würden die Daten aus dem Impfnachweis mit denen im Personalausweis, nämlich dem Namen und dem Geburtsdatum, abgeglichen. Doppelte Kontrolle also. 

Wie viele gefälschte Impfausweise entdeckt werden, hängt vom Abgleich mit den Apotheken-, Arzt- und Impfzentren-Daten ab. Derzeit fehlt es hier noch am gesetzlichen Rahmen. Viel Zeit bleibt nicht mehr, denn eigentlich sollte schon Ende des Monats der deutsche "CovPass" im Einsatz sein. Was aber allein durch die Zuständigkeits-Diskussion bis August dauern dürfte.

Mehr zum Thema - Nordrhein-Westfalens Justizminister fordert härtere Strafen für Impfpass-Fälscher18 Mai 2021 06:15 Uhr