Menü Icont-online - Nachrichten für Deutschland
HomeDigitalCorona-Krise

Aldi-Schnelltest: Digitale Corona-Bescheinigung ist ein Desaster


Schlagzeilen
AlleAlle anzeigen

Symbolbild für einen TextBaerbock sitzt an Flughafen festSymbolbild für einen TextAus für deutschen Discounter im NordenSymbolbild für ein VideoDrohne verfolgt Panzer – fatale FolgenSymbolbild für einen TextPopstar trauert um ihren Sohn Symbolbild für einen TextRoger Federer in Wimbledon abgewiesenSymbolbild für einen TextTheater gibt Schauspielerinnen HausverbotSymbolbild für einen TextBerühmte Seekühe vom Aussterben bedrohtSymbolbild für einen TextDönerladen: Frau wirft Dackel über ThekeSymbolbild für einen TextEurojackpot am Freitag: Die GewinnzahlenSymbolbild für einen TextZDF-Moderator Ruprecht Eser ist totSymbolbild für einen TextLegendäres Gasthaus folgt auf SchuhbeckSymbolbild für einen Watson TeaserLeni Klum: Fotos von wilder PartynachtSymbolbild für einen TextAnzeige: Jahres-LOS kaufen und Einzel-LOS gratis dazu sichern
Anzeige
Loading...
Loading...
Loading...

Corona-Test-Bescheinigung ist ein Desaster

Von t-online, jnm

Aktualisiert am 15.03.2021Lesedauer: 3 Min.
Anleitung im Video: t-online erklärt Schritt für Schritt, wie die Corona-Schnelltests in der Praxis angewandt werden. (Quelle: t-online)
Facebook LogoTwitter LogoPinterest LogoWhatsApp Logo

Beim Corona-Schnelltest von Aldi soll ein negatives Ergebnis per Zertifikat etwa für Veranstaltungen nachweisbar sein. Ein IT-Magazin hat nun gezeigt, dass das System voller Lücken steckt und für Missbrauch anfällig ist

Ein negativer Corona-Test als Eintrittskarte zu Konzerten, Kinobesuchen oder Kneipenabenden? So etwas dürfte dem Unternehmen Aesku Group vorgeschwebt haben, als es für seinen bei Aldi erhältlichen Schnelltest Aesku Rapid ein digitales Test-Zertifikat entwickelte. In der Theorie klingt das gut und einfach:


Coronavirus: An diesen Orten lauert das größte Risiko

In der Bahn, im Restaurant und auch zu Hause – wo sich Menschen auf engem Raum befinden, kann sich das Coronavirus leicht ausbreiten. Unsere Fotoshow zeigt, welche Situationen besonders riskant sind.
Bahn: Öffentliche Verkehrsmittel wie Busse oder Bahnen sind ebenfalls mögliche Infektionsquellen. Hier treffen viele Menschen auf engem Raum aufeinander. Schutzmaßnahmen wie Abstand halten und das Tragen einer Gesichtsmaske können das Ansteckungsrisiko minimieren – sofern sich alle daran halten.
+7

Wer den Schnelltest durchgeführt und ein negatives Ergebnis erhalten hat, scannt mit seinem Smartphone einfach einen QR-Code auf der Unterseite der Testverpackung. Zur sicheren Identifikation muss dann noch die Personalausweis- oder Führerscheinnummer eingegeben werden und anschließend erhält man eine PDF-Datei mit dem Negativ-Zertifikat des Herstellers. Darauf abgebildet ist ebenfalls ein QR-Code.

Wird er dann am Zielort mit einem Smartphone eingescannt, sieht die prüfende Person sofort, dass hier ein Negativ-Test vorgelegen haben soll und ob das Zertifikat nicht älter als 24 Stunden ist. Anhand der Führerschein- oder Personalausweisnummer soll dann direkt auch noch nachprüfbar sein, ob hier auch die richtige Person ihr Testergebnis vorlegt.

Theorie klingt gut, Praxis strotzt vor Fehlern

In der Theorie klingt das tatsächlich gut – das IT-Magazin "c't" hat sich das Verfahren allerdings genauer angeschaut und kommt zu einem vernichtenden Urteil.

Über das erste Problem war bereits in der vergangenen Woche berichtet worden: Denn da der QR-Code, den man zum Erstellen des Zertifikats braucht, außen auf der Packung angebracht ist, genügt es, den Code im Laden einzuscannen, um sich dann ein Zertifikat auszustellen. Einen Test kaufen oder gar auspacken und anwenden muss man dazu nicht.

  • Von Aldi bis Penny: Hier können Sie Corona-Schnelltests kaufen

Anfangs konnten laut "c't" von jedem QR-Code zudem beliebig viele Zertifikate erstellt werden. Damit reichte es auch, etwa den QR-Code in einem der YouTube-Unboxing-Videos vom Bildschirm abzuscannen um entsprechende Zertifikate zu erstellen.

Testzertifikate konnten nach Belieben erzeugt werden

Nach Bekanntwerden des Problems reagierte der Hersteller und beschränkte die Menge der erstellbaren Zertifikate pro QR-Code auf fünf – so viele Tests sind in der Packung auch enthalten. Am Problem ändert das aber nichts: Wenn Käufer Pech haben, können sie selbst keine Zertifikate mehr erstellen, weil Dritte den QR-Code schon im Laden abgescannt hatten, ohne den Test zu kaufen.

Doch auch die vermeintliche Lösung, den QR-Code einfach im Innern der Packung anzubringen, würde nicht helfen, fand die c't heraus. Denn auch der auf dem erzeugten Zertifikats-PDF abgebildete QR-Code sei unsicher: So ist dort die Packungs-ID unverschlüsselt hinterlegt, sodass Dritte daraus weitere, bis dahin unverbrauchte Zertifikate erstellen können. Hier würde schon ein Foto von einem Zertifikats-QR-Code genügen, der gerade am Einlass eines Veranstaltungsorts vorgezeigt wurde.

Noch schlimmer: Die im QR-Code untergebrachte URL, auf der das Handy dann die Echtheit des Zertifikats bei Aesku-Group abfragt, sei anfangs laut c't zudem leicht erratbar gewesen. Hier habe der Server einfach einen Zeitstempel vergeben. Den Redakteuren gelang es, durch einfaches Herumprobieren so an etliche fremde Zertifikate zu gelangen – und darüber hinaus noch an verschiedene persönliche Daten, die Nutzer freiwillig eingetragen hatten.

Hier habe der Hersteller mittlerweile zwar nachgebessert, doch auch so sei das System rechnerisch auf maximal 100.000 Zertifikate pro Tag begrenzt, weshalb Nutzer sich unter Umständen nach erhaltenem negativem Testergebnis nicht einmal ein Zertifikat ausstellen lassen könnten.

"Stümperhaft umgesetzt" und "gescheitert" lautet daher das klare Urteil der c't-Experten. Der ganze Text ist auf heise.de nachzulesen.

Vor gut einer Woche hatte Aldi als erster Discounter den Verkauf von vergleichsweise günstigen Corona-Schnelltests gestartet, die ausdrücklich auch von Laien angewendet werden sollen. Weitere Discounter und Apotheken zogen in den folgenden Tagen nach. Bisher sind insgesamt sieben Schnelltests für Laien zugelassen.

Facebook LogoTwitter LogoPinterest LogoWhatsApp Logo
Verwendete Quellen
  • heise.de: Corona-Selbsttests bei Aldi: Negativ-Zertifikate faktisch wertlos
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...

ShoppingAnzeigen

Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
ALDI

t-online - Nachrichten für Deutschland
t-online folgen
FacebookTwitterInstagramYouTubeSpotify

Das Unternehmen
Ströer Digital PublishingJobs & KarrierePresseWerbenKontaktImpressumDatenschutzhinweiseDatenschutzhinweise (PUR)Jugendschutz



Telekom
Telekom Produkte & Services
KundencenterFreemailSicherheitspaketVertragsverlängerung FestnetzVertragsverlängerung MobilfunkHilfeFrag Magenta


TelekomCo2 Neutrale Website