Impfzertifikat für CovPass Diesen QR-Code sollten Sie lieber nicht verbreiten
News folgenDer digitale Impfpass ist da. Und wie immer gilt: Vorsicht mit sensiblen Gesundheitsdaten. Den digitalen Ersatz für das gelbe Impfheft online zu verbreiten, kann eventuell Betrügern helfen.
Beim digitalen Impfpass gilt, was auch beim gelben Heftchen gilt: Nicht einfach überall herumzeigen – und nicht über Social Media teilen oder Screenshots verschicken. Der Grund: Der QR-Code lässt sich ohne großen Aufwand in die Corona-Warn-App oder CovPass-App auf andere Telefone importieren. Dritte könnten so in den Besitz von gültigen Impfzertifikaten kommen.
Das sagt beispielsweise Holger Bleich vom Fachmagazin "c't". Auch auf Twitter gibt es bereits Nutzer, die darauf aufmerksam machen. Experten geben allerdings Entwarnung: So weist Sicherheitsexperte Manuel Atug vom Chaos Computer Club (CCC) darauf hin, dass das System sowieso nur in Verbindung mit dem Personalausweis von Nutzern funktioniere:
Wir benötigen Ihre Einwilligung, um den von unserer Redaktion eingebundenen X-Inhalt anzuzeigen. Sie können diesen (und damit auch alle weiteren X-Inhalte auf t-online.de) mit einem Klick anzeigen lassen und auch wieder deaktivieren.
Kontrollen können unvollständig sein
Um den digitalen Impfstatus eines Nutzers zu prüfen, können Händler, Gaststättenbetreiber oder Veranstalter mithilfe der App CovPassCheck den entsprechenden QR-Code des Nutzers in der CovPass-App oder der Corona-Warn-App scannen. Die CovPass-Check-App erkennt man am weißen App-Symbol mit blauem Schild – im Gegensatz zur CovPass-App mit blauem Symbol und weißem Schild. Mehr zum System lesen Sie hier.
Auch Bleich von "c't'" weist darauf hin, dass Kopien und Fälschungen beim Abgleich mit der Check-App und einem Lichtbildausweis auffallen. Wie wichtig das an einzelnen Stellen mit der Kontrolle genommen werde, sei aber die Frage. Auch Nutzer auf Twitter warnen vor laschen Kontrollen.
Der Rat von Bleich lautet: Das Zertifikat eher für offizielle Anlässe wie Reisen oder im Grenzverkehr nutzen. Im Alltag hilft manchmal skeptisches Nachfragen: "Wenn am Biergarten jemand den Impfstatus checkt, würde ich mir zeigen lassen, dass das auch wirklich die Check-App ist", sagt Bleich.
QR-Code enthält persönliche Daten
Dennoch sollten Sie auch aus anderen Gründen vermeiden, den QR-Code Ihres digitalen Impfzertifikats im Internet zu teilen. Denn mithilfe der frei verfügbaren App CovPassCheck kann jeder diesen Code scannen und an persönliche Daten kommen: Prüfer können neben dem Impfstatus auch den Vor- und Nachnamen sowie das Geburtsdatum einsehen.
Das klingt zwar nach wenigen Informationen, doch solche persönlichen Daten können reichen, um an weitere Infos von Nutzern zu gelangen – beispielsweise die Adresse – und damit Identitätsdiebstahl zu begehen.
Das Bundesamt für Sicherheit in der Informationstechnik rät auf seiner Website, das Geburtsdatum "nach Möglichkeit zu verschweigen". Und Christian Lueg, Sicherheitsexperte bei Eset sagt: "Ein Vor- und Nachname, sowie ein Geburtsdatum öffnet Kriminellen Tür und Tor zum Identitätsdiebstahl. Diese Informationen genügen bereits, um die Kreditwürdigkeit ihres Opfers zu prüfen und diese für Warenkreditbetrug zu missbrauchen. Internetnutzer sollten sparsam mit ihren Daten umgehen und immer genau überlegen was sie wo preisgeben möchten."
