Jetzt mit aktivem Zertifikat-Rückruf
Nach „echtem“ Hitler-Impfzertifikat: Corona-Warn-App reagiert
Ende Oktober tauchte im Netz der QR-Code eines Impfzertifikates auf, das für die Person „Adolf Hitler“, geboren am 01.01.1900 ausgestellt wurde. Eigentlich nicht der Rede wert, hätte der QR-Code nicht eine gültige Signatur getragen. Diese führte dazu, dass das Impfzertifikat von Anwendungen wie der Corona-Warn-App, der CovPass-App und der CovPass-Check-App als gültig, echt und valide eingestuft wurde.
Wird von CovPass Check abgenickt: Hitlers Impfzertifikat
Europäische Zertifikate kompromittiert
Statt Hitler hätte hier auch Micky Maus oder Pippi Langstrumpf stehen können, am offensichtlichen Problem hätten die etwa geschmackvolleren Namen nichts geändert: Erste Zertifikate ausstellender Behörden und Gesundheitsämter innerhalb Europas waren kompromittiert.
Ob nun durch schlecht geschützte Web-Portale, korrupte Mitarbeiter oder von zwielichtige Motiven getriebener Aussteller freigegeben, fest stand: Auch ungeimpften Personen standen nun erste Möglichkeiten zur Verfügung an valide Impfzertifikate zu kommen.
Ein Problem auf das die Bundesregierung jetzt mit der Integration eines Zertifikat-Rückrufes in die offizielle Corona-Warn-App reagiert hat. Diese ist ab sofort in der Lage gefälschte Impf-Zertifikate als ungültig anzuzeigen und invalidiert entsprechend alle mit der gleichen Signatur unterschriebenen Zertifikate einer Ausgabestelle. In Deutschland handelt es sich dabei bekanntlich vorwiegend um Apotheken.
Alle signierten Imfpnachweise betroffen
Wird ein Zertifikat invalidiert, hat dies allerdings zur Folge, dass alle mit diesem Zertifikat ausgestellten Imfpnachweise ungültig werden. Im Fall eines schwarzen Schafes unter den deutschen Apotheken, müssten sich dann alle Anwender, die ein Zertifikat von der selben Apotheke bekommen haben, um einen neue Imfpnachweis bemühen.
Die aktuelle Version der Corona-Warn-App (unter iOS die Ausgabe 2.13.2) informiert euch per Push-Nachricht, wenn eure Zertifikate von einer Invalidierung betroffen sein sollten und erneuert werden müssen.
Das für Hitlers Impfnachweis zuständige Zertifikat wurde übrigens noch nicht invalidiert. Der Nachweis wird weiterhin als gültig bezeichnet.
Stellt euch vor, ihr seid im Ausland und euer Zertifikat wird einfach ungültig.
An das hab ich auch gerade gedacht
Deshalb macht es Sinn, im Zweifel den Impfnachweis in Papier, d. h. das Impfbuch o.ä. dabei zu haben. … Willkommen im 21. Jh.! :-/
Im Urlaub sollte man soweiso Sicherheitshalber wichtige Unterlagen dabei haben.
Wir nehmen Kopien unserer Persos mit, werden im Koffer aufbewart, falls Koffer verloren geht oder Geldbeutel geklaut :)
Dann weiß der Dieb ja wenigstens, wem der Koffer gehört und wer er Dankeschreiben schicken kann für wertvollen Inhalt. Oder anders formuliert: Die Persokopien sind dann mit weg.
Der QR-Code auf dem schriftlichen Impfzertifikat ist jedoch exakt identisch zur App, somit würde dieser auch als invalide angezeigt werden. Und der Impfpass wird nicht immer akzeptiert.
Also auf meinen Gelben Impfass steht was mit „Internationale Bescheinigung über Impfungen“. Eher sollte dieser andere Fetzenpapier nicht anerkennt werden.
Ich habe in den vergangenen Wochen mehrfach die Erfahrung gemacht, dass der gelbe Impfass nicht akzeptiert wurde. Zur Begründung wurde genannt, dass aktuell zu viele Fälschungen im Umlauf wären. Akzeptiert wurde nur der digitale Impfnachweis, welcher dann in Verbindung mit dem Personalausweis auch gegengecheckt wurde.
Macht wohl ein Unterschied ob das Heftchen Neu ist und nur die Corona Impfungen eingetragen sind oder ob das gelbe Heftchen voll mit allen möglichen Impfungen ist und dann auch entsprechend alt.
Siehe Berlin, leider kein Scherz: https://www.berliner-woche.de/mitte/c-politik/senat-schreibt-digitalen-impfnachweis-vor_a323624
Physischer Impfpass ist noch immer gültig (Papierversion)
Wird doch auch gefälscht und für 400€ verkauft.
Ne 150€
Leider für weitaus weniger. Eher so 150-200€ laut einer WDR (?) Doku.
Es soll mittlerweile jede 5 Impfpass eine Fälschung sein. Das erklärt auch warum ein paar Impfer im Krankenhaus liegen. Lol
Stand bei uns in der Zeitung, dass die in Hessen Fälscher hochgenommen haben und gegen die Käufer ermitteln.
Da war die Rede von 400 €.
Egal wie viel man zahlt, Impfung ist kostenlos;-)
Wie so oft, sollte man gerade bei solchen wichtigen Sachen BackUps dabei haben. Gelber Imfpass oder einfach von einer anderen Stelle ein weiteres Zertifikat ausstellen lassen.
Ich habe z.b. digitale Impfzertifikate von meinem impfenden Arzt und habe mir nochmal bei einer Apotheke diese ausstellen lassen. Das beide ungültig werden? Sehr unwahrscheinlich.
Wenn ich den gelben Impfpass immer für den Notfall dabei haben muss, kann man das mit der Digitalisierung gleich abbrechen und lassen. Wozu hab ich’s dann digital auf dem iPhone? Weil es cool ist? Nein, weil es praktisch ist, dass ich den gelben Lappen eben nicht dabei haben muss.
@Jasko_Tabasko
Wenn du eine reine digitale Lösung möchtest, dann nimm eben die Lösung mit Impfnachweisen aus zwei verschiedenen Quellen.
Mal abgesehen das mein gelber Impfpass grün ist..
Aber zum Thema, Ob beide Zertifikate ungültig werden hängt natürlich davon ab von welchem Stammzertifikat sie gezeichnet sind..
Stellt sich natürlich wie viele Stammzertifikat gibt es denn eigentlich?
Keine blöde Idee, danke!
Sorry, meinte einen Post weiter oben.
Danke für diesen Post! Daran hätte ich jetzt als Folge gar nicht gedacht!
Sorry. Das Kommentar sollte unter einen anderen Beitrag.
Warum sollte das bei einem gültigen Zertifikat, das vielleicht auf zwei Geräten (meine Frau und mir) aktiviert ist, passieren?
@Habakuck
Weil evtl ein Mitarbeiter der Ausgebenden Stelle betrogen hat und deswegen alle, auch die eigentlich korrekten, Impfzertifikate zurückgezogen werden.
Das würde mir hier in Singapur gerade das Genick brechen – es werden explizit nur die europäischen Impfnachweise mir QR-Code akzeptiert! Im Falle von Thailand übrigens auch – der gelbe Wisch ist denen komplett egal. Da denken einige Beamte in Deutschland mal wieder leider nicht mit …
Beamte denken so gut wie nie mit.
Das ist das Problem.
Ich hoffe dann wird auch gleich informiert welche Apotheke das war und der Laden mal etwas genauer untersucht ;-)
Die ausgeflogene Apotheke sollte zudem komplett aus dem Zertifikaterstellen entfernt werden. Sonst lernen die es nicht …
*aufgeflogene
Wievieke Millionen hat die noch mal gekostet? ^^
Projekte / Umsetzungen aber auch Piloten kosten immer Geld. Z.B. auch Führende TECH-Unternehmen geben Millionen aus, um dann das Projekt gegen die Wand laufen zu lassen.
Ich finde ja gar nichts zu tun schlimmer als etwas zu tun, wo man Fehler macht.
Eine Fehlerkultur passt aber leider nicht zur momentan sehr in die Mode gekommen Empörungskultur. Kein Wunder wenn dann erst mal nichts gemacht wird. Das ist dann aber auch wieder nicht recht.
Das hat nichts mit der App zu tun, sondern der ausgebenden Stelle des Zertifikates! Wenn die ihre Signatur nicht richtig schützen oder wie im Artikel schon geschrieben, korrupte Mitarbeiter oder oder den Schlüssel zugänglich machen/ verlieren/ missbrauchen, dann kann potentiell jeder sich ein eigenes Impf-Zertifikat erstellen. So auch im Fall des Hitler-Zertifikats.
Einzig die Funktionalität, Zertifikate als ungültig anzuzeigen, wenn diese als ungültig markiert wurden, hatte der CWA noch gefehlt gehabt. Aber das hatte vermutlich mal wieder politische Hintergründe (Kosten, Inkompetenz, …), das dies noch nicht gleich mit eingebaut wurde.
Außerdem wird die CWA immer und immer weiter entwickelt, sodass natürlich nicht alles sofort integriert ist bzw. an alles gedacht wurde. Das wird immer ein fortlaufender Prozess sein, der natürlich auch immer wieder Kosten wird.
Über die über 20 Millionen, die die Länder für die völlig verkorkste Luca-App rausgehauen hat, beschweren komischerweise die wenigsten! Zumindest so mein Gefühl.
Zum einen hat dies wenig bis gar nichts mit der App zu tun, dazu ist nicht die CWA die offizielle deutsche App für die digitalen Imfpnachweise, sondern CovPass.
Die „Lücke“, die z.b. das Impfzertifikat von A H ermöglicht hat, war meines Wissens nicht in Deutschland.
Eh doch, auch die CWA ist offiziell die Anzeige App für die Impfnachweise. CovPass ist lediglich eine Alternative mit verringertem Funktionsumfang. Als Nachweis sind beide gleichwertig.
@marius müller westerwelle
Die CovPass App ist die offizielle, auch der EU gemeldete, App für die Impfzertifikate von Deutschland.
Es gab z.b. auch ein Land in der EU, dass daher nur die CovPass App akzeptiert hat, was eigentlich völliger Unsinn ist, aber ist bzw war so.
Die CWA hat dies als zusätzlichen Service eben auch eingebaut bekommen und wird, da eben eine „staatliche“ App, neben der CovPass auch empfohlen.
Ich versteeh sowieso nicht, warum es diesen QUatsch mit der Covpasss App gibt. Das gehört in die CWA und fertig.
Wobei es eh egal ist, welche App den QR Code anzeigt. Das Zertifikat ist halt der QR Code.
@DerDirk
Weil eben viele keine CWA auf dem Smartphone wollen, kann ich persönlich nicht nachvollziehen, aber dies ist leider die Realität.
Aber genau DAS Problem wäre damit gelöst.
Ihr wollt eine digitales Impfzertifikat, geht nur mit dem CWA.
BASTA!
Es gibt nicht so etwas, die offizielle Vorzeige-App. Wie der QR-Code präsentiert wird, ist völlig egal. Man kann genau so gut einen Screen Shot oder ganz altmodisch Papier verwenden. Entscheidend ist, dass für die Kontrolle eine offizielle App verwendet wird.
Das haben auch die ganzen Display-Scroll-Kontrolleure nicht verstanden.
Ich würde die Apotheke dann wg. Betrug Anzeigen. Sonst kommen die evtl. davon.
Zumindestens betrifft es dann alle Zertifikate die dort ausgestellt wurden. Eine Funktion nur bestimmt zurückzurufen wäre ja auch etwas….
Siehe Bestrafungssystem in China
Denk mal nach, wie soll das geprüft werden, außer beim Erstellen eines neuen Zertifikats??
Pharmazeut*innen, die Impfzertifikate fälschen müssen ihre Approbation verlieren und strafrechtlich verfolgt werden. Sie haben u.U. Tote zu verantworten.
Sehe ich auch so. Hier wird wissentlich an jeder ethischen Grundlage vorbei gearbeitet. Warum sollte man denen überhaupt den Zugang zu Medikamenten ermöglichen? Wer sowas tut verkauft auch Medikamente unterm Tresen
Das mit den Toten haben wir dank unseres Lebensstil doch fast alle.
Em ok ich verstehe was ihr meint. Aber haben Zigarettenhersteller nicht auch Tote zu verantworten? Sollen dann alle die Zigaretten verkaufen oder herstellen auch strafrechtlich verfolgt werden? Meiner Meinung nach ja. Denn durch diese Droge sterben mehr als 10.000 Menschen pro Tag an folgen von Krebs (nur in Deutschland). Klar kann man das auch durch anderes bekommen, aber ihr versteht was ich damit sagen will. Die Realität sieht leider etwas anders aus.
@Moerl Dumme Vergleiche kommen meistens von Dummen Menschen :)
@marius müller westerwelle
gebissene Hunde bellen? Danke dir für deine lieben Worte <3
@Moerl Nein absolut nicht. Ich rauche nicht und habe auch keine gefälschten Zertifikate aufm Handy. Manchmal ist es einfach nur ein Feedback ohne persönliche Betroffenheit.
Du laberst nur dünn rum marius.
So ganz dumm ist der Vergleich gar nicht, wenn man mal etwas länger nachdenkt.
Doch selbst bei längerem Nachdenken ist der Vergleich dumm. Abgesehen davon, dass es stumpfes whataboutism ist, wird hier von betrügerischen Tätigkeiten die klar am eigentlichen Produkt vorbei arbeiten eine Brücke zu Zigaretten geschlagen welche in den meisten Läden (auch hier wird es bestimmt welche geben die billige linglings aus Osteuropa verkaufen, bzw. an Minderjährige verkauft werden) entsprechend den Richtlinien ausgehändigt werden. Dieser Vergleich passt halt vorne und hinten nicht und soll eigentlich nur das Verhalten relativieren was hier von manchen Apotheken an den Tag gelegt wird.
Ich sagte ja „länger nachdenken“….
Sag mal, ist Dein Name Dr. Marlboro.
Oha. Mehr aqls 10.000 Menschen sterben pro tag an Krebs in Deutschland? Also monatlich mehr als 300.000 im Monat – und annähernd 4 Millionen im Jahr? Bei 80. Mio Einwohnern wären das jährlich fast 5% – das erscheint mir doch etwas zu hoch.
:D :D :D
Wer stirbt denn?
Hast ja recht, aber dann muss bewiesen werden, dass diese Apotheke schuld ist am Tod des Menschen X. Schwierig.
‚Das für Hitlers Impfnachweis zuständige Zertifikat wurde übrigens noch nicht invalidiert. ‚
Hätte nicht gedacht dass ich diesen Satz mal lesen würde
Hitlers Impfzertifikat hier oben wurde in Frankreich ausgestellt.
Gibt es den keine CRL die abgefragt wird?
Das signing Zertifikat der Apotheke zu widerrufen ist ja wirklich zu viel, aber das ganze System muss doch die Möglichkeit haben, einzelne zu widerrufen, so wie das bei Webserver Zertifikaten auch möglich ist.
Eigentlich sollte ein Abgleich der chargen Nummern bei der Eingabe erfolgen. Ist diese nicht vom Hersteller für den europäischen Raum eingetragen, bzw. schon vergeben, sollte ein Ausstellen gar nicht mehr möglich sein. Ich kann mir nicht vorstellen, dass es nicht möglich ist das umzusetzen. Gerade bei Medikamenten ist der dokumentationsaufwand in Europa ja echt enorm
Geht auch mit der CovPass App
Das wird trotzdem nicht klappen wie gewünscht. Besonders für die ganzen Grenzgebiete (Ich habe tagtäglich mit französischen, schweizerischen, italienischen, albanischen, etc. Impfpässen zu tun.)
Abgesehen davon benutzen viele die Scanner App gar nicht (meiner Meinung nach zurecht), da sie auch gültige ausländische Zertifikate als ungültig erklärt (Kunden hatten gültige Flugtickets dabei).
Was meint ihr wie viele gültige Impfpässe als ungültig erklärt werden würden. Es reicht ja schon einen gefälschten Impfpass bei der Apotheke zu zeigen, um den QR Code zu bekommen.
Dann sind alle QR Codes ungültig, obwohl die Apotheke ehrlich gearbeitet hat.
Aber wenn ich hier die Kommentare so lese, habe ich echt das Gefühl man ist hier bei der Stasi. „Die Apotheke soll geschlossen und untersucht werden“, „Die Apotheke verdient eine Strafe“… aber keinem kommt in den Sinn wie leicht das eigentlich ist und wie schnell das passieren kann?
Mano man. Einige von euch wären bei Hitler sehr beliebt gewesen.
Du sprichst mir aus der Seele ! Danke für Deinen Kommentar.
Daumen hoch. Beim Meckern und Verurteilen ist man immer ganz schnell, braucht man ja auch kein Gehirn für…
Liebes iFun Team, ich finde es persönlich bedenklich, dass ein offensichtlich gefälschtes Impfzertifikat hier von euch öffentlich gemacht wird. Meine Erwartungen wäre, dass der QR Code unleserlich gemacht wird. Indirekt unterstützt ihr eine nicht gewollte Verbreitung/Missbrauch nach meiner Ansicht. Auch wenn bei einer Überprüfung immer ein Ausweis verlangt werden sollte. Ich finde es persönlich nicht gut.
Also bei dem Namen sollte selbst eine Sichtkontrolle ja nicht funktionieren, ansonsten sind die Kontrollen so lasch, dass man jeden 0815 QR Code hätte zeigen können.
Es wird doch viele lasch kontrolliert! Ich könnte auch ein Bild vom QR Code in COVPass zeigen. Ausweis wollte bis jetzt fasst keiner sehen nur im Kino.
wir alle wissen doch das der Ausweis, wenn überhaupt doch sehr selten kontrolliert wird. Auch ich finde das nicht gut. hab ich aber auch schon im ersten Artikel darüber schon kund getan.
Also die Person, die bei AH noch einen Ausweis sehen will, sollte generell noch mal zur Schule geschickt werden. Egal welches Alter, da scheint definitiv was schief gelaufen zu sein… :D
Sag das mal einen Inder. Die denken meist das er verehrt wurde. Da ist das Symbol ein Zeichen für Glück.
@Hetel: Bitte beschäftige dich noch mal mit der Swastika bevor du diesen blödsinn weiter erzählst. (Kleiner tipp, besonders mal auf die Richtung achten)
„religiöses Glückssymbol“
Warum rede ich nun Mist? Das kam alles mal in einer Repotage.
Gleiche Richtung. Hahaha. Check your facts.
Ein QR Code ist ohne Personalausweis Kontrolle sowieso nichts wert.
Dass pro Apotheke nur ein Zertifikat gebildet wird, ist wirklich unglücklich gelöst.
Vielleicht kann ein einzelnes Impf Zertifikat auf die reject Liste gestellt werden, um so nur Teile der Zertifikate einer Apotheke zu widerrufen.
Schön wäre es, wenn zum Signieren der Impfung eine sichere Bestätigung des Ausweises über die AusweisApp2 möglich gewesen wäre.
Technisch ist die Beschreibung nicht ganz korrekt. Letztlich prüft die App lediglich die ID des Impfzertifikats, die wiederum die ID der ausstellenden Apotheke enthält.
Das hat wohl auch damit zu tun, dass sämtliche deutschen Zertifikate mit ein und demselben Schlüssel signiert sind. Die Apotheken besitzen keine eigenen Schlüssel.
Wird der Steuerzahler dann abermals zur Kasse gebeten, weil wegen eines schwarzen Schafs neue Zertifikate ausgestellt werden müssen?
Na und, wenn die ganzen Micky Mäuse jetzt auf einmal im Krankenhaus liegen mit ihrem Fake Zertifikat, selber Schuld.
Mein Mitleid haben sie nicht.
Hallo, habe den QR Code von „Hitler“ gescannt, wird immer noch als gültig erkannt, mit 2.13.2 ,