In Deutschland gilt fast überall 2G, sodass man sich mit seinem Impfpass oder digitalen Impfzertifikat ausweisen muss. Bei Letzterem wird ein QR-Code zur Identifizierung des Impfstatus verwendet, der mit einer anderen App überprüft wird. Genau da besteht ein Risiko.
Impfzertifikate können per Corona-Warn-App gestohlen werden
Eigentlich ist das System mit den digitalen Impfzertifikaten ganz einfach. Man wird geimpft, bekommt einen QR-Code und speichert diesen in der Corona-Warn-App ab. Damit kann man sich dann in einem Lokal oder beim Friseur ausweisen, wo man seinen 2G-Status nachweisen muss. Ein Kölner Barbesitzer hat laut Angaben des WDR aber ein echtes Sicherheitsrisiko entdeckt. Ohne es zu wollen, hat er nämlich von 180 Gästen die Impfzertifikate kopiert und in seiner Corona-Warn-App gespeichert.
Der Fehler bestand darin, dass der Barbesitzer die digitalen Impfzertifikate mit der Corona-Warn-App kontrolliert hat, statt mit der CovPass-Check-App. Statt durch einen Scan des QR-Codes den Impfstatus zu checken, hat er die Impfzertifikate der Gäste bei sich abgespeichert. Plötzlich hatte er 180 gültige Impfzertifikate in seinem Smartphone. Der Gastronom hat die Impfzertifikate natürlich direkt gelöscht, das Sicherheitsrisiko bleibt aber bestehen.
Der Diebstahl eines Impfzertifikats wird so kinderleicht. Jemand könnte die QR-Codes einfach mit der Corona-Warn-App scannen und vorgeben, diese zu kontrollieren. Dabei speichert er sie auf seinem Smartphone und kann die QR-Codes dann natürlich wieder aufrufen. Was danach damit passiert, wüsste niemand. Die QR-Codes könnten verkauft und missbraucht werden. Nicht immer wird ein Lichtbildausweis beim Check verlangt.
An diese Regeln solltet ihr euch aktuell halten:
Was sollte man vor einer Kontrolle des Impfzertifikats machen?
Wer sicher gehen will, sollte vor dem Scannen des QR-Codes mit einem anderen Smartphone nachfragen, welche App genau zum Check des Impfstatus genutzt wird. Es darf auf keinen Fall die Corona-Warn-App, sondern es muss die CovPass-Check-App sein. Das ist zwar ein weiterer Aufwand, doch das ist aktuell der einzige Weg, um sicher zu gehen, dass der QR-Code nicht geklaut wird.