Digitaler Impfnachweis: Massive Schwächen bei der Sicherheit

25.06.2021
G DATA Blog

Statt des gelben Impfpasses soll der digitale Impfnachweis auf dem Smartphone als Nachweis für eine Impfung dienen. Es gibt jedoch einige eklatante Schwachstellen hinter den Kulissen, die das gesamte Konzept hinfällig machen könnten und die einige mehr als unbequeme Fragen aufwerfen.

Wir haben einmal einen genaueren Blick auf den digitalen Impfnachweis geworfen und auf die Art, wie dieser erstellt und verwaltet wird. Was dabei zutage trat, hatten wir so nicht erwartet.   

„Zutritt nur für Geimpfte, Getestete oder Genesene Personen“ ist in vielen Gaststätten und Veranstaltungsorten momentan noch die Norm. Wer seine Impfung(en) bereits erhalten hat, muss nur in die nächste Apotheke gehen, seinen Impfausweis vorzeigen und bekommt das Impfnachweis in Form eines QR-Codes. Was auf dem Papier gut klingt, hat in der Praxis einige riesengroße Haken.  

Das Ausstellungsverfahren

Die Ausstellung der digitalen Impfnachweise findet insbesondere durch Arztpraxen und Apotheken statt. Nicht nur selbst vorgenommene Impfungen, sondern auch Impfungen anderer Impfstellen – selbst aus dem Ausland – sollen und werden unbeschränkt zertifiziert, solange es sich um einen hier zugelassenen Impfstoff handelt. 

Der Prozess läuft dabei am Beispiel von Apotheken wie folgt ab: Die Apotheken erhalten Zugangsdaten durch den Deutschen Apothekerverband, mit denen sie sich auf einem speziellen Portal des Apothekerverbands registrieren können. Für die Erstellung eines digitalen Impfnachweises muss ein Apotheker oder eine Apothekerin einige Daten aufnehmen: den Namen der geimpften Person, das Geburtsdatum, das Datum der Impfung, den Impfstoff sowie die Zahl der Impfungen. 

Darauf basierend wird ein digitaler Impfnachweis erstellt (Beispiel auf der Webseite der Stadt Nürnberg) und digital signiert. Neben der digitalen Signatur entsprechen die in Textform zu findenden Informationen auch den Informationen im QR-Code. Auch die CovPass-App oder die Corona-Warn-App machen praktisch nichts weiter, als den QR-Code anzuzeigen. 

Blanko-Unterschrift

Die Corona-Warn-App des Robert Koch-Instituts ist dabei die auffälligste signifikante Schwachstelle im Prozess. Ein Blick in den Quellcode (Öffentlich auf Github einsehbar) zeigt: Es wurde schlicht und ergreifend darauf verzichtet, die digitale Unterschrift überhaupt zu überprüfen. Wir waren so in der Lage,  die Corona-Pandemie ins 19. Jahrhundert vorzuverlegen und einen gefälschten digitalen Impfnachweis für den bereits 1843 geborenen und lange verstobenen Robert Koch zu erstellen. Die Impfung hätte demnach ebenfalls noch zu Robert Kochs Lebzeiten im Jahr 1890 stattgefunden. Diesen Impfnachweis akzeptiert die Corona-Warn-App klaglos. Die Impfung zählt laut der CWA-App natürlich auch als vollständig. Das erfordert ja nur eine Mindestwartezeit von zwei Wochen nach der letzten Impfung. Mit unserem Impfzertifikat ist die Wartefrist aber schon seit gut 130 Jahren vorbei.

Dieser Impfnachweis ist natürlich offenkundig als falsch zu erkennen. Allerdings lassen sich mit untenstehendem Programmcode auch Impfnachweise für heute lebende Personen erzeugen. Diese Impfnachweise enthalten, genau wie der von uns für Robert Koch ausgestellte, zwar keine echte digitale Signatur. Die Corona-Warn-App akzeptiert sie zurzeit aber trotzdem.

Klarstellung: Dabei handelt es sich nicht um die bereits bekannte Problematik, dass sich durch Umstellen der Systemuhr auf einem Gerät die Anzeige des Impfnachweises manipulieren lässt. Das geschilderte Phänomen zeigt, dass die Corona-Warn-App weder die digitale Unterschrift noch den Inhalt des Nachweises (Name, Impfdatum, Impfstoff, etc) verifiziert! Mit dem hier geschilderten Angriff lassen sich beliebige Impfnachweise mit komplett erdachtem Inhalt erstellen, die von der Corona-Warn-App nicht beanstandet werden.

Das Konzept des digitalen Impfnachweises sieht vor, dass jeder, der einen Nachweis prüft (Polizei, Ordnungsämter, Gastronomiebetriebe, Veranstalter, …) mit der CovPassCheck-App verifiziert, ob der QR-Code mitsamt der Signatur auch tatsächlich korrekt ist. Spätestens hier würde die Fälschung auffliegen: Die CovPassCheck-App ist von der genannten Schwachstelle nicht betroffen. In der Praxis dürfte dieser Schritt aber oft entfallen, wenn jemand in der vermeintlich vertrauenswürdigen offiziellen App des Robert Koch-Instituts ein scheinbar gültiges Zertifikat zeigen kann. 
An dieser Stelle muss auch deutlich gesagt werden, dass diese Schwachstelle die sonstigen Funktionen der Corona-Warn-App zur Kontaktverfolgung und Risikoberwertung nicht betrifft.

(Update 28.6.: Zusätzliches Update zum existierenden Bugreport beim RKI, zur Verbreitung der CovPassCheck-App und zur Verifikation in anderen Ländern am Ende des Artikels)

Schwächen bei der Ausstellung

Die Probleme im Prozess fangen aber schon viel früher an. Eine wie auch immer geartete Plausibilitätsprüfung bei der Ausstellung findet nicht statt. Dies illustriert ein uns vorliegender Fall, bei dem bei der Erstellung des digitalen Nachweises durch eine Apotheke ein falsches Datum für den zweiten Impftermin eingegeben wurde – nämlich das der Erstimpfung. Versehentlich war nochmal dasselbe Datum in der Eingabemaske gelandet. Statt einer Fehlermeldung spuckte der Rechner jedoch den fertigen Impfnachweis aus.

Entgegen früherer Meldungen (etwa bei der Tagesschau) wird auch die Chargennummer nicht erfasst (siehe Screenshot des RKI). Das zeigt eine erste Kuriosität: Vielfach wurde öffentlich vor Social-Media-Posts des eigenen Impfpasses mitsamt den verwendeten Chargennummern gewarnt, weil diese Fälschern helfen könnten, echt erscheinende Impfpässe zu erstellen. Wenn diese im digitalen Impfnachweis fehlen, ist die Möglichkeit der Aufdeckung einer Fälschung umgekehrt offensichtlich geringer.
Auch der Impfarzt bzw. die Impfstelle ist im digitalen Nachweis nicht vermerkt. Als Aussteller des Impfnachweises wird immer das Robert Koch-Institut angegeben, nicht etwa die Apotheke oder Arztpraxis, die den Impfnachweis tatsächlich ausgegeben hat.

Einen einmal erstellten Nachweis als illegitim ausgestellt zu erkennen, ist rückwirkend praktisch kaum noch möglich, da die dafür relevanten Daten nicht im digitalen Impfnachweis stehen.

Während der Erstellung werden diese Daten aber auch nicht geprüft. Zumindest nicht vom Robert Koch-Institut. Dieser taucht auf dem Impfnachweis zwar offiziell als Aussteller auf, womit die Bevölkerung erwarten dürfte, dass damit irgendein Qualitätsstandard verbunden ist. Praktisch erhält das RKI aber gar keine Daten, sondern vergibt lediglich kryptographische Schlüssel zur Unterzeichnung der Impfnachweise. Das RKI kann also gar nichts prüfen. Damit bleiben noch zwei Instanzen, die theoretisch etwas prüfen könnten: Die Apotheken bzw. Arztpraxen, die das Zertifikat ausgeben. Oder aber diejenigen, die die digitalen Impfnachweise technisch gesehen erstellen und signieren. Im Falle von Apotheken also das zentrale Portal des Deutschen Apothekerverbands. Die Prüfungsmöglichkeiten wären ohnehin begrenzt, weil Chargennummer und Impfstelle bzw. Impfarzt ja gar nicht erst erfasst werden.
Das oben genannte Beispiel illustriert aber: Zentral wird gar nichts überprüft. Wenn eine Apotheke einen Impfnachweis für Micky Maus anfordert, wird sie einen solchen Impfnachweis erhalten.

Per gefälschtem Impfpass zum „echten“ digitalem Nachweis

Man muss sich somit darauf verlassen, dass die ausstellenden Arztpraxen und Apotheken eine Plausibilitätsprüfung vornehmen. Dies ist aber in der Praxis nach uns vorliegenden Informationen nicht der Fall. 

Ein gefälschter Impfpass führt nahezu sicher auch zu einem ordentlich signierten digitalen Impfnachweis. Die Fälschung eines Impfpasses ist trivial. 

Blanko-Impfpässe gibt es im Internet legal zu kaufen. Stempel ebenso. Eine Unterschrift eines Arztes aus einer anderen Stadt, oder gar einem anderen Land, kann natürlich kaum geprüft werden. Man kann sie sich also schlicht und ergreifend ausdenken. 

Einen echt aussehenden Chargenaufkleber kann man sich leicht selbst erstellen. Eine Vorlage von Biontech findet sich offen im Internet. Ein Hersteller von Allzweck-Etiketten zum Selbstdrucken wirbt dazu passend: „Das Etikett im Format 25x10 mm kann als Impfpass-Etikett für den Impfstoff COMIRNATY® von Biontech verwendet werden.“ Allerdings können Fälscher sich diesen Aufwand eigentlich auch sparen: Häufig werden auch bei echten Corona-Impfungen keine Chargenaufkleber aufgebracht, sondern die Charge von Hand eingetragen. Laut uns vorliegenden Informationen ist das sogar bei der überwiegenden Mehrheit der Impfpässe der Fall. 
Auch wenn seit einigen Wochen (mehr oder weniger) fälschungssichere Etiketten angekündigt sind, wird sich das Problem nicht lösen. Einerseits sind die bestehenden Impfungen mit älteren Etiketten deshalb nicht ungültig. Außerdem wird das Verfahren konterkariert, solange die Nutzung nicht vorgeschrieben ist und Ärzte die Chargennummer weiterhin häufig händisch eintragen. 

Wie kommt man nun als Fälscher an eine passende Chargennummer? Theoretisch kann man sich an den immer noch vorhandenen Social-Media-Posts mit echten Chargennummern bedienen. Praktisch kann sich ein Fälscher den Aufwand aber auch sparen. Nach uns vorliegenden Informationen aus Apothekenkreisen gibt es keine Vorschrift oder auch nur denkbare Möglichkeit einer Plausibilitätsprüfung der Chargennummer. Da diese nicht im digitalen Impfnachweis vermerkt sind, muss auch keine Sorge vor einer künftigen Prüfung bestehen. 

Was viele übrigens nicht wissen:
Seit dem 1. Juni 2021 ist das Fälschen von Impfunterlagen zur COVID19-Impfung nach § 74(2) und § 75a des Infektionsschutzgesetzes strafbar. Es drohen bei Verstoß bis zu zwei Jahre Gefängnis.

Missbrauchspotenzial bei Apotheken und Arztpraxen

Es ist aber auch ein ganz anderes Szenario möglich, nämlich dass in Apotheken und Arztpraxen bewusst falsche Impfnachweise ausgestellt werden, etwa aus finanziellen Motiven, aus ideologischer Nähe zu Impfgegnern oder aus persönlicher Gefälligkeit.  

Eine nachträgliche Aufdeckung anhand einer späteren Prüfung eines digitalen Impfnachweises ist im Gegensatz zum traditionellen gelben Impfpass nicht zu erwarten. Wie beschrieben sind die Merkmale, die eine Aufdeckung einer Fälschung bei genauerer Prüfung möglich machen, im digitalen Impfnachweis nicht mehr enthalten. Als offizieller Aussteller erscheint immer der Robert Koch-Institut. Weil nach unseren Informationen außerdem keinerlei Dokumentationspflicht besteht, könnte die ausgebende Arztpraxis oder Apotheke ein schuldhaftes Verhalten auch immer abstreiten. Es hätten ja gefälschte gelbe Impfpässe vorliegen können, so dass der illegitime digitale Impfnachweis nicht bewusst ausgestellt wurde. Da übrigens zumindest im Fall von Apotheken nicht einzelne Zugänge für jeden Mitarbeiter, sondern ein Sammelzugang für die ganze Apotheke ausgestellt wird, ist die Verantwortung eines einzelnen Mitarbeiters nahezu unmöglich nachzuweisen. 

Weil die Apotheken und Arztpraxen für die Erstellung jedes einzelnen – auch zu Unrecht ausgestellten – Impfnachweises vergütet werden ist außerdem fraglich, inwieweit hier ein unbedingter Wille zur Aufklärung solcher Vorfälle bestehen würde. 

An dieser Stelle sei klar gesagt: Niemand sollte die Apotheken und Arztpraxen unter Generalverdacht stellen. Das Problem liegt in den Verfahren. Auf die Apotheken und Arztpraxen wird bei der Impfpassprüfung eine nicht erfüllbare Verantwortung übertragen. Außerdem ist zu befürchten, dass wegen der schwachen Authentifikation Zugangsdaten abfließen, was hinterher zu falschen Verdächtigungen führen kann. 

Authentifizierung mangelhaft

Doch damit nicht genug: auch die Absicherung des Web-Portals, welches Apotheken zur Erstellung der Impfnachweise nutzen, ist verbesserungsfähig. Hier genügt eine einfache Kombination aus Benutzernamen und Passwort. Eigentlich sollte in diesem Bereich eine Mehrfaktor-Authentifizierung jedes einzelnen Vorgangs der Standard sein, so wie es etwa selbst beim Online-Banking für Privatpersonen seit Jahren mit Transaktionsnummern (TAN) praktiziert wird. Das ist hier leider nicht der Fall. Wer es also schafft, das Passwort einer Apotheke abzugreifen, kann nach Belieben Impfnachweise ausstellen. Und Schadsoftware, die Benutzerdaten jeglicher Art ausspioniert (z.B. Keylogger oder Formgrabber), gehört seit Jahren zum Standard-Repertoire von Kriminellen. 

Zusammen mit den oben beschriebenen Problemen ist es fraglich, ob die unberechtigte Ausstellung von Impfnachweisen in diesem Szenario jemals auffallen würde. 

Gleichzeitig könnte sich bei dieser schwachen Authentifizierung jede verdächtige Apotheke oder Arztpraxis, bzw. ein Mitarbeiter in dieser, als Schutzbehauptung darauf berufen, dass wohl ein Malware-Angriff stattgefunden hat oder die Zugangsdaten anderweitig verloren gegangen seien. 

Widerruf unmöglich

Nach den gerade beschriebenen Szenarien ist augenfällig, dass zumindest eine Reaktionsmöglichkeit existieren sollte, um illegitim erstellte digitale Impfnachweise zurückrufen zu können. 

Die letzte Fassung der EU-Richtlinien über Impfnachweise bezeichnet den Rückruf von Nachweisen allerdings als „Zusatzfeature“, an dem noch gearbeitet werden müsse. 

Technisch liegt bei der hier verwendeten sogenannten „Public-Key-Infrastructure“ nahe, illegal verwendete bzw. kompromittierte Schlüssel zur Unterzeichnung digitaler Impfnachweise zurückzurufen. Zumindest im Fall von Apotheken kommt das allerdings kaum infrage, da nach den uns bekannten Zertifikaten alle Apotheken einen einzigen zentralen Schlüssel verwenden (Schlüssel-ID 5e455666a51e7857). Die Signatur wird letztlich über das Portal des Deutschen Apothekerverbands mit dessen Schlüssel ausgestellt, nicht durch die ausgebende Apotheke (oder gar den einzelnen Mitarbeiter). 

Ein weiterer Weg wäre die Sperrung anhand des Zertifikatsidentifikators („Unique Vaccination Certificate/Assertion Identifier“, UVCI). Dieser hat in den uns vorliegenden Zertifikaten folgende Form: 

01DE/ISSUER/CERTIFICATEID#CHECKSUM 

Der Issuer, also die ausgebende Stelle, der uns bekannten Zertifikate beginnt dabei mit der Art der ausgebenden Entität (IZ für Impfzentrum, A für Apotheken), gefolgt von einer Identifikationsnummer, mit der sich die konkrete Apotheke oder das konkrete Impfzentrum identifizieren lässt. Allerdings wird dieses Format zumindest für Apotheken erst seit wenigen Tagen verwendet. Zuvor wurde für sämtliche Zertifikate als Issuer „DAVPU“ angegeben, also der Deutsche Apothekerverband. Sollte sich herausstellen, dass in einer Apotheke zuvor flächendeckend falsche Impfzertifikate ausgestellt wurden, könnten diese Zertifikate nicht zurückgerufen werden. Es könnten höchstens alle Zertifikate aller Apotheken bis zu diesem Zeitpunkt zurückgerufen werden – mit entsprechenden Kosten. 
Ein weiterer Fallstrick dieser Methode: Der Zertifikatsidentifikator wird nicht europaweit, sondern von jedem Land einzeln spezifiziert. Eine Sperrung anhand des Zertifikatsidentifikators würde dementsprechend eine eigene Implementierung für jedes Land benötigen. Wenn ein anderes EU-Land die deutschen Sperrmethoden nicht in seiner jeweiligen App implementiert, würde ein in Deutschland gesperrtes Zertifikat in anderen Ländern dementsprechend ggf. als gültig erkannt werden. 

Bisher sind das aber rein theoretische Überlegungen. Die Portale für Apotheker enthalten nach aktuellem Stand keinerlei Funktionalität, um einmal ausgestellte Impfnachweise zurückzurufen. Im Quellcode der CovPass-App haben wir ebenfalls keinen Hinweis darauf gefunden, dass es entsprechende Sperrmöglichkeiten gibt. Und die Corona-Warn-App des RKI nimmt ja wie oben beschrieben ohnehin selbst ungültig signierte Impfnachweise an, womit sämtliche Gedanken zu einer möglichen Sperrung bedeutungslos sind. 

Das bedeutet in der Praxis: Selbst, wenn bekannt würde, dass illegitime Impfnachweise ausgestellt wurden – durch Vorlage gefälschter gelber Impfpässe, durch böswillig agierende Apotheken und Arztpraxen, oder durch deren Verlust ihrer Zugangsdaten, etwa durch Malware: Die digitalen Impfnachweise könnten momentan nicht zurückgerufen werden. 

Fazit: Unausgereift und mit gravierenden Mängeln

Bei der Entwicklung des digitalen Impfnachweises gab es zahlreiche gravierende Versäumnisse. Diese sind nicht dazu angetan, das Vertrauen der Bürger in die von staatlicher Stelle zur Verfügung gestellten Technologien zu stärken. 

Grundsätzlich entsteht der Eindruck, dass die Einführung des digitalen Impfnachweises vor allem ein Schnellschuss war. Es scheint eine größere Rolle gespielt zu haben, die Lösung vor Beginn der Ferienzeit präsentieren zu können, als eine nachhaltig sichere Lösung zu liefern. 

In der Corona-Warn-App werden die digitalen Signaturen der Zertifikate nicht geprüft. Die Authentifizierung für Apotheken zur Erstellung der Impfnachweise erfüllt keine modernen Sicherheitsstandards. Die Echtheit der gelben Impfpässe wird praktisch von niemandem geprüft. Eine nachträgliche Prüfung ist auch kaum noch möglich, weil die dafür relevanten Daten gar nicht Teil des digitalen Impfnachweises sind. Dass das zu gravierenden Folgen führen kann, dürfte angesichts der Berichte über massenhaft ausgestellte falsche Atteste zur Befreiung der Maskenpflicht klar sein. Eine Möglichkeit zum Zurückziehen illegitimer Impfnachweise besteht praktisch nicht. 

Eigentlich wäre es vor diesem Hintergrund geboten, die genannten Probleme zu beheben und sämtliche bestehenden Impfnachweise zurückzuziehen und neu auszustellen. Wegen der Kosten für den Steuerzahler und aufgrund des politischen Gesichtsverlustes ist aber fraglich, ob das auch passiert. 
Die Frage würde sicherlich neu bewertet werden, wenn großflächige Betrugsfälle bekannt werden, bei denen fälschlich Impfzertifikate ausgestellt wurden – und nicht mehr zurückgezogen werden können. Die aktuelle Umsetzung des Verfahrens wird es aber schwer machen, solche Fälle überhaupt zu erfassen. 

In Summe lässt sich aktuell konstatieren: Die digitalen Impfnachweise haben die Welt nicht sicherer gemacht, sondern unsicherer. 

Update zur fehlenden Signaturverifikation in Corona-Warn-App

Bug bekannt. CovPassCheck kaum verbreitet. Andere Länder verifizieren Signaturen.

Wir wurden darauf aufmerksam gemacht, dass bei den Entwicklern der Corona-Warn-App bereits ein Bugreport für die fehlende Signaturvalidierung vorliegt. Spannend ist der dort genannte Hintergrund der Entscheidung, auf die Signaturvalidierung zu verhindern. Demnach will das Entwicklerteam die Komplexität der App gering und damit so kompatibel wie möglich halten. Eine zusätzliche Sicherheit gebe es ohne zusätzliche Verifikation ohnehin nicht, weil Smartphone-Nutzer ja auch gefälschte Screenshots oder gefälschte Apps erstellen lassen, die falsche Impfnachweise anzeigen. Zudem gebe es in den EU-Spezifikationen auch keine Verpflichtung zur Validierung in den sogenannten Wallet-Apps, die für die Speicherung auf den mobilen Endgeräten der geimpften Bevölkerung verantwortlich sind.

In der Theorie ist diese Argumentation sicherlich nicht ganz falsch. Praktisch wird trotzdem, in den meisten Fällen der Anzeige der offiziellen Corona-Warn-App des RKI vertraut werden. Dass die eigentlich erforderliche Verifikation mit der CovPassCheck-App nur sehr begrenzt stattfindet, zeigt sich schon in den Downloadzahlen. Laut Google Play Store wurde die App zurzeit zwischen 50.000-100.000 mal heruntergeladen. Dem stehen 2.096.000 Mitarbeiter im Gastgewerbe, 259.600 Beschäftigte in der Sicherheitsdienstleistungswirtschaft, 341.400 Polizisten, und unzählige weitere Mitarbeiter in den Kommunen (insbesondere Kommunale Ordnungsdienste / Gemeindevollzugsdienste) gegenüber, sowie die Belegschaften zahlreicher Musikschulen, Saunen, Freizeitparks und anderer relevanter Betriebe.
Zwar ist nicht jeder einzelne davon für die Einhaltung der "3G-Regeln" und damit auch für die Prüfung von digitalen Impfnachweisen mit der CovPassCheck-App verantwortlich. Mehr als 50.000-100.000 Menschen sind es aber sicherlich.

Auch wenn es seitens der Spezifikationen der Europäischen Union keine Verpflichtung zur Verifikation der Signaturen in Wallet-Apps gibt, ist diese auch nicht explizit ausgeschlossen. In den anderen deutschen Apps, der Luca-App und der CovPass-App, findet die Verifikation statt. Wir haben uns ebenfalls im Ausland umgeschaut.
Keine der von uns getesteten offiziellen Apps - aus Frankreich (TousAntiCovid), der Schweiz (Covid Certificate), Dänemark (Coronapas) und Tschechien (čTečka) - akzeptiert den von uns erzeugten Fantasiennachweis.

Es wäre zu wünschen, dass die EU in ihren Richtlinien die Verpflichtung zur Verifikation bereits in den Wallet-Apps festschreibt. Um Awareness für die gebotene Verifikation mit einer geeigneten App wie CovPassCheck zu schaffen, sollte außerdem auf den digitalen Impfnachweisen (ausgedruckt sowie in den Apps) ein Hinweis auf die Notwendigkeit dieser Verifikation erfolgen.
Trotzdem sollten sich die Entwickler der Corona-Warn-App der Realität stellen, und wie bei jeder anderen App schon beim Scan in der Wallet-App eine Verifikation vornehmen.

Thomas Siebert
Head of Protection Technologies