Impfpass-App & Co. im Vergleich
Credit: Getty Images

Statt den unhandlichen, gelben Impfpass ständig dabei zu müssen, haben Geimpfte seit kurzem die Möglichkeit, ihre Immunisierung per Smartphone-App nachzuweisen – etwa bei Reisen, in Restaurants, beim Frisör oder im Museum. Das Versprechen: Einfach App starten, QR-Code präsentieren – fertig. Doch welche Impfpass-App bietet auch einen guten Datenschutz?

Impfpass-App: Test von drei Angeboten

Aktuell sind schon über 31,5 Millionen Menschen in Deutschland vollständig geimpft und können den digitalen Impfnachweis beantragen. Das notwendige Zertifikat bekommen sie in Apotheken, Arztpraxen und Impfzentren sowie die erforderlichen Kontroll-Apps gratis in den gängigen App-Stores. Aber wie sicher die Daten in einer solchen Impfpass-App? Und wie sinnvoll ist der digitale Impfpass überhaupt? IMTEST hat AV-Test, ein renommiertes Labor für Sicherheitsdienstleistungen, beauftragt dem nachzugehen. Dafür haben die Experten diese drei Apps geprüft: Der Corona-Warn-App (CWA), CovPass (beide vom RKI) und der luca-App von Culture4Life.

Digitaler Impfpass per App

Nach der zweiten Impfung erhält jeder vom impfenden Haus- oder Facharzt oder über das jeweilige Impfzentrum ein Impfzertifikat. Darauf befindet sich ein sogenannter QR-Code. Die quadratischen Strichcodes sind ideal, um schnell und unkompliziert eine kleine Menge Daten zu übertragen. Konkret handelt es sich in diesem Fall um alle Daten, die bei der Erstellung des Impfzertifikats erfasst wurden:

  • Impfstatus
  • Datum und Dosis der Impfungen
  • Nachname und Vorname
  • Geburtsdatum

Die QR-Codes lassen sich aktuell mit lediglich drei Apps einscannen. Anschließend kann der so erzeugte digitalen Impfpass dann in den Apps aufbewahrt werden.

Die Sicherheitsexperten von AV-TEST nahmen alle drei Angebote genau unter die Lupe. Dabei wurden die ein- und ausgehenden Verbindungen zu und von den Apps analysiert und auf potenzielle Schwachstellen untersucht. Zudem überprüfte das Labor die App-Quellcodes und die Datenschutzerklärungen.

Berechtigte Kritik an luca-App

Bereits seit ihrer Veröffentlichung ist die luca-App dauerhaft unter Beschuss. Dabei steht allerdings weniger die App selbst im Zentrum der Kritik, sondern der zugrundeliegende Gesamtansatz. So lassen sich beispielsweise bei der Registrierung vollständig frei erfundene Daten oder Namen, Adressen und Telefonnummern von anderen Personen angeben. Das ist für die in vielen Bundesländern vorgeschriebene Datenerfassung bei Restaurantbesuchen und Co. natürlich wenig zielführend.

Dazu kommt, dass die persönlichen Daten nicht auf dem Smartphone selbst, sondern auf den Servern des Betreibers gespeichert werden. Wie sicher sie dort sind, weiß nur der deutsche Anbieter Culture4Life selbst. Theoretisch wäre es möglich, dass das Unternehmen die Daten auswertet oder verkauft.

Auf der Luca-App sind Fakenamen möglich
Bei der Registrierung in der Luca-App kann man falsche Daten eingeben. Credit: IMTEST

Undurchsichtige Datenschutzerklärung

Obendrein ist die luca-App in der Lage die Standortinformationen vom Smartphone zu erfassen, beispielsweise zum automatischen Auschecken beim Verlassen einer Veranstaltung. Wie lange diese Standortdaten gespeichert werden, erwähnt der Betreiber in der Datenschutzerklärung allerdings nicht. AV-Test bemängelt daher dieses Konzept zur Datenspeicherung. Sowohl als generelle Applikation wie auch als Impfpass-App überzeugt luca daher nicht.

luca App Datenschutzerklärung
Die Datenschutzerklärung der luca-App sowie die Datenspeicherung sind undurchsichtig. Credit: IMTEST

CWA punktet mit Anonymität

Die durch den deutschen Softwarekonzern SAP und die Deutsche Telekom AG entwickelte Corona-Warn-App kommt ohne Registrierung aus und sammelt oder versendet damit keine direkt persönlichen Informationen wie Name, Adresse oder Telefonnummer. Die Nutzung ist somit vollständig anonym und ohne Registrierung möglich. Darüber hinaus bietet die App gemäß den AV-TEST-Analysen einen hohen Sicherheitsstandard. Die Kommunikation über das Internet erfolgt zum Beispiel stets sicher und nach aktuellem Stand der Technik verschlüsselt. Auch die auf dem Smartphone gespeicherten Daten sind gut geschützt.

Impfpass-App CWA mit kleinen Schwächen

Fragwürdig bei der CWA als Impfpass-App ist allerdings die Abhängigkeit der Android-App von bestimmten Google-Services, deren volle Funktionalität und Implementierung Googles Geheimnis bleibt. Zudem verzichtet die Corona-Warn-App laut dem Sicherheitsunternehmen GDATA auf die Überprüfung der Signaturen für den digitalen Impfnachweis. So kann prinzipiell jeder einen auf den ersten Blick echt aussehenden Nachweis fälschen.

Außerdem ergibt sich bei der CWA von Haus aus eine größere Angriffsfläche, da sie mehrere Funktionen bietet wie die Grundfunktion der Kontaktzurückverfolgung, der Check-In für Geschäfte und Restaurants und das Teilen positiver Schnelltest-Ergebnisse. Zu guter Letzt gehen zwar beide RKI-Apps pfleglich mit den Nutzerdaten um, trotzdem ist Datenklau möglich: Wer bei der Kontrolle etwa den QR-Codes abfotografiert, kann die darin enthalten Namen wie Name und Geburtsdatum später in aller Ruhe auswerten

Corona-Warn-App Grundfunktion
Neben der Grundfunktion der App, können Nutzer ihre Tests registrieren. Mehr Funktionen bedeutet aber auch mehr Angriffsfläche.
Corona-Warn-App zum Einchecken
Über die CWA können Nutzer sich auch an Orten oder Events registrieren.
Corona-Warn-App Kontakte
Die Funktion des Kontakt-Tagebuchs soll ebenfalls dazu beitragen, Infektionsketten schnell zurück zu verfolgen.
CWA Impfpass hinzufügen
Hier kann man sich einen digitalen Impfpass erstellen.

CovPass-App rundum sicher

Bei der ebenfalls vom RKI veröffentlichten CovPass-Applikation handelt es sich im Grunde um eine abgespeckte Variante der Corona-Warn-App. Da sie sich allein auf die Impfzertifikat-Funktionalität beschränkt, ist sie eine reine Impfpass-App. Aus Sicherheits- und Datenschutzsicht ist das positiv, schließlich ergeben sich dadurch weniger Sende- und Datenerfassungs-Möglichkeiten. Darüber hinaus ist die CovPass-App nicht von Google Diensten abhängig. Wer also allein seinen Impfpass digital sichern will, lädt am besten die CovPass-App. Wie Sie Ihren Impfnachweis ganz einfach in die CovPass-App übertragen, erklären wir an dieser Stelle.

CovPass App Schritt 1
Die CovPass-App führt einfach durch den Vorgang.
CovPass App Schritt 2
Wie bei den anderen Apps scannt man einfach den QR-Code auf dem Impfzertifikat ein.
CovPass Impfpass-App Schritt 3
Da dies die einzige Funktion ist, bedeutet das mehr Sichherheit für die Impfpass-App durch weniger Angriffspunkte.
QR-Code CovPass
Das Impfzertifikat als QR-Code.

Impfpass-App eigentlich ganz praktisch

Mit der CovPass- und der Corona-Warn-App hat Deutschland das europäische Zertifikat umgesetzt und ist bereits an den sogenannten europäischen Gateway-Server angeschlossen. Der digitale Impfpass lässt sich daher grenzüberschreitend nutzen. Um aber auf Nummer sicher zu gehen mit einer Impfpass-App nicht abgewiesen zu werden, sollte bei Reisen vorsichtshalber das gelbe Impfbuch in Papierform mitgenommen werden. Der Personalausweis oder ein Reisepass zur Identifikation müssen sowieso mitgeführt werden.

FAZIT

Die Impfpass-App vom RKI bietet hohe Sicherheitsstandards. Ebenso wie die Corona-Warn-App. Allerdings lassen sich sowohl bei der CovPass- als auch bei der Corona-Warn-App Nutzerdaten aus abfotografierten QR-Codes auslesen. Unbefugte sollten daher keinen Blick darauf erhalten. Zur Speicherung des digitalen Impfpasses eignet sich die luca-App nicht – das Datenschutzkonzept lässt zu viele Fragen offen.