DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Bug bei Covid-Zertifikats-App macht Missbrauch möglich

Abgelaufene Covid-Zertifikate können bei unsachgemässer Überprüfung auch über das Gültigkeitsdatum hinaus genutzt werden. Was das für Restaurants, Fitnesscenter und Clubs bedeutet.
Cet article est également disponible en français. Lisez-le maintenant!
20.10.2021, 15:3021.10.2021, 19:38

Die meisten, die ihr Covid-Zertifikat bereits irgendwo in einem Restaurant oder im Nachtclub vorweisen mussten, kennen es: Es gibt jene Türsteherinnen, die das Covid-Zertifikat korrekt prüfen: Sie scannen den QR-Code vom Handy des Gastes und sehen dann eine grüne oder rote Farbe: gültig oder ungültig.

Es gibt aber auch Kellner, die es lieber schnell mögen: Statt den QR-Code zu scannen, drücken sie auf dem Handy des Gastes den Überprüfungsbutton: Die App zeigt dann dieselben Farben an: Grün für «gültig», rot für «ungültig».

Bei dieser zweiten, unsachgemässen Kontrolle des Covid-Zertifikats existiert eine gravierende Sicherheitslücke: Wer ein abgelaufenes Test- oder Genesenenzertifikat hatte, konnte es lange über das Ablaufdatum hinaus gültig erscheinen lassen.

Dafür musste lediglich das Datum auf dem Smartphone geändert werden. Galt das abgelaufene Covid-Zertifikat zur gefälschten Datumseinstellung des Smartphones als gültig, wurde es auch als gültig nach der Überprüfung durch die App angezeigt.

Ich möchte nicht alles lesen …
Das Covid-Zertifikat ist nach wie vor und nach aktuellstem Kenntnisstand eine sichere Möglichkeit, um einen negativen Covid-Test, eine Impfung oder eine Immunisierung nachzuweisen. Die Gültigkeit des Zertifikats soll nach offizieller Richtlinie von Restaurants, Nachtclubs und Co. wie folgt überprüft werden: Mit einem Scan durch die «Covid Certificate Check»-App. Die zurzeit mancherorts praktizierte Überprüfung auf dem Handy des Gastes ist missbrauchsanfällig.

Die «Covid Cert»-App verglich zwar die eindeutige Zertifikatskennung mit einer Liste des Bundes: Dort drauf waren aber nur Zertifikate, die aufgrund eines Tippfehlers oder missbräuchlicher Ausstellung als «zurückgezogen» markiert wurden. Ein abgelaufenes Zertifikat gilt hingegen nicht als «zurückgezogen», womit es in der Aufbewahrungs-App «Covid Cert» nur anhand des Gültigkeitsdatums überprüft wird.

Der Bug liess sich in beide Richtungen «missbrauchen»: Am 19. Oktober wurde dieses Zertifikat wieder gültig.
Der Bug liess sich in beide Richtungen «missbrauchen»: Am 19. Oktober wurde dieses Zertifikat wieder gültig.Bild: watson
Dieses Zertifikat, das am 20. Oktober ungültig wird, konnte schon einen Tag früher als «invalid» getestet werden.
Dieses Zertifikat, das am 20. Oktober ungültig wird, konnte schon einen Tag früher als «invalid» getestet werden.Bild: watson

Schnelle Zertifikatsprüfung ermöglichte Missbrauch

Aufgrund des technischen Aufbaus der Zertifikatsprüfung ist es nicht möglich herauszufinden, wie viele Personen diese Sicherheitslücke missbraucht haben. watson weiss jedoch, dass sich einzelne Covid-Massnahmen-skeptische Personen mit dem Wissen über die Sicherheitslücke gerühmt haben.

Durch diese gravierende Sicherheitslücke konnte eine Betrügerin oder ein Betrüger ein Restaurant, einen Nachtclub oder das Fitnesscenter täuschen, sofern die Türsteherin oder der Kellner zur «schnellen», aber unsachgemässen Methode griff. Bemerken konnte man die Täuschung nur, wenn man sich als Prüferin oder Prüfer das Handy des Gastes genau anschaute: Die «Covid Cert»-App zeigte das Ablaufdatum klein an.

Grün heisst gültig – das Datum unten rechts verrät aber, dass es schon abgelaufen ist.
Grün heisst gültig – das Datum unten rechts verrät aber, dass es schon abgelaufen ist.Bild: watson

Das Bundesamt für Gesundheit (BAG) bewarb zu keinem Zeitpunkt diese «schnelle» Prüfmethode. Die Behörde verwies von Anfang an auf die zweite App namens «Covid Certificate Check», mit der Prüferinnen und Prüfer einen vorgewiesenen QR-Code kontrollieren können. Die Kontroll-Vorgaben beschränkten sich jedoch auf den Abgleich von Vor- und Nachname sowie Geburtsdatum gemäss Identitätskarte oder Pass.

Ein genauer Blick auf das Gültigkeitsdatum war gemäss letztem Stand der BAG-Webseite nicht vorgesehen. Was wohl einige Prüferinnen und Prüfer dazu verleitete, die Zertifikatsprüfung ein­fach­heits­hal­ber mit dem Handy des Gastes vorzunehmen.

Diese «schnelle» und unsachgemässe Prüfung wurde auch in Kenntnis der Behörden so praktiziert. So wurde auf der Entwicklungsplattform zum Schweizer Covid-Zertifikat vor wenigen Tagen darüber diskutiert, dass einzelne Lokalitäten nicht zum «Scan», sondern zur «Selbstprüfung» auf dem Handy des Gastes griffen.

Bund verweist auf offizielle App

watson bot dem zuständigen Bundesamt für Gesundheit (BAG) Zeit zur Beseitigung des Missbrauchspotentials, um Betrügerinnen und Betrügern nicht zur Ausnutzung zu verleiten. Das Bundesamt kommunizierte bislang nicht, bis wann die Manipulationsmöglichkeit behoben wird.

Das BAG teilt auf Anfrage lediglich mit, dass alle Kontrollstellen – also Restaurantbetreiber, Kellner, Türsteherinnen und Co. – die Kontroll-Apps für die Überprüfung von Zertifikaten nutzen müssen. Gemeint sei insbesondere «COVID Certificate Check», die offizielle App des Bundes. «Damit sind Manipulationen nicht möglich. Dies wird auch in der Verordnung Covid-Zertifikate nochmals ausdrücklich vermerkt werden», so die kurze Stellungnahme.

Damit hat das BIT durchaus recht – nur zeigt die Erfahrung der letzten Tage, dass eben nicht alle Kontrollstellen das Zertifikat richtig kontrollieren. Zur Frage, ob der Bund wegen des Missbrauchspotentials deutlicher auf die korrekte Zertifikatsprüfung mittels Scan hinweisen soll, antwortet das Bundesamt für Gesundheit lediglich: «Das BAG hat sowohl die Verbände als auch die Kantone darauf hingewiesen, dass es unzulässig ist, dass Prüfer den Refresh-Butten auf fremden Handys betätigen. Die einzige zulässige Prüfmethode ist die Verwendung der Prüf-App durch die Prüferin oder den Prüfer.»

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Kennst du die 40 meistverbreiteten männlichen Namen in der Schweiz?

Wer kennt sich mit Vornamen aus? Das Bundesamt für Statistik zählt von jedem in der Schweiz vergebenen Vornamen die Anzahl. Die aktuellste Liste stammt vom 12. Dezember 2020 und umfasst alle Namen, die mindestens dreimal in der Schweiz vorkommen. Wir wollen von dir heute wissen, ob du die meistverbreiteten männlichen Vornamen in der Schweiz kennst.

Zur Story