Habe mich mal dreißig Minuten mit Impfzertifikaten beschäftigt, und das Ergebnis macht mich ehrlich gesagt fassungslos!
Nachdem ich hier auch schon an anderer Stelle beschrieben habe, dass die Testzertifikate so manchen Schnelltest-Centers schlicht wertlos, weil absolut nicht fälschungssicher sind, wird es bei den den Impfzertifikaten offenbar ähnlich sein.
Offenbar sind die Designer von solchen "Zertifikat"slösungen der Meinung, dass ein QR-Code dem Bürger ein unendlich hohes Maß an Sicherheit und Schutz vor Fälschungen sichert.
Bei dem Testzertifikat, das ich vor Pfingsten erhalte habe, prangt oben rechts ein QR-Code, der einfach nur die achtstellige Buchungsnummer im Testcenter enthält. Ohne Rückprüfung dieser Nummer ist die Echtheit NICHT nachweisbar.
Die Impfzertifikatslösung des Freistaats Thüringen versucht es schon etwas besser: Der QR-Code enthält eine URL. Zur Überprüfung des Zertifikats geht man auf die URL, dort wird einem die Gültigkeit angezeigt. Der Haken: Betrüger bauen die Seite auf einem eigenen Webserver nach und codieren diese URL im QR-Code des Impfzertifikats.
Quelle: https://www.ccc.de/system/uploads/315/original/IfSG_CCC_Marx.pdf (Seite 11)
Es scheint in manchen Kreisen die Meinung vorzuherrschen, dass ein QR-Code nur durch Spezialsoftware hergestellt werden kann. Das macht mich wirklich wirklich fassungslos. Ein QR-Code zusammen mit einer App schafft aber noch lange keine Sicherheit!
Mal ehrlich, wenn ein QR-Code so sicher wäre, hätte man damit schon längst Geldscheine fälschungssicher gemacht. Komisch, macht die Notenbank nicht. Warum wohl?