Nach Terminen in Impfzentren - Doctolib-Nutzer in Berlin erhalten automatisch digitales Impfzertifikat

Do 17.06.21 | 11:10 Uhr
  23
Symbolbild: Ein Mann hält ein Handy mit der geöffneten Doctolib-App in der Hand (Bild: dpa/Hans Lucas)
Bild: dpa/Hans Lucas

Hunderttausende Berliner bekommen demnächst ihr digitales Impfzertifikat frei Haus geliefert: Wer sich über den Buchungsdienst Doctolib in Impfzentren hat impfen lassen, kann sich das Dokument herunterladen. Experten weisen aber auch auf Gefahren hin.

Das europaweit gültige digitale Impfzertifikat kann ab sofort in jedem persönlichen Doctolib-Patientenkonto abgerufen werden, insofern man sich darüber Termine in den Berliner Impfzentren gebucht hat. Darauf weist die Senatsverwaltung für Gesundheit hin.

Die Datei werde seit Mittwochabend im Dokumentenbereich des Patientenkontos abgelegt, wie es in der Mitteilung vom Mittwoch heißt. Abrufbar sei sie zunächst für alle Personen, die bereits ihre Zweitimpfung in einem der sechs Berliner Impfzentren bekommen haben. Da es zunächst um insgesamt etwa 250.000 Impfzertifikate gehe, könne es dauern, bis alle ihr Impfzertifikat erhalten haben, betont die Behörde. Betroffene würden über den Erhalt des Zertifikats per Mail informiert.

Schon bald auch Ausgabestellen in den Impfzentren

Für Berliner Bürger ohne Doctolib-Patientenkonto gibt es laut Gesundheitsverwaltung zwei Wege zum Impfzertifikat: In einer teilnehmenden nahegelegenen Apotheke, zu finden unter [mein-apothekenmanager.de], wird bei Vorlage eines Personaldokuments und der Impfbescheinigung bzw. des Impfpasses das Zertifikat erstellt. Zudem werde es in wenigen Tagen Ausgabestellen für digitale Impfzertifikate in den Berliner Impfzentren geben.

Die Senatsverwaltung betont erneut, dass auch der gelbe Impfpass als Nachweis beispielsweise für Reisen genügt. Die digitalen Zertifikate sind lediglich als praktische Ergänzung gedacht, um nicht permanent den Impfpass mit sich führen zu müssen.

BSI: QR-Code könnte von anderen Menschen genutzt werden

Derweil gibt es beim neuen digitalen Impfausweis offenbar eine große Sicherheitslücke. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) lässt sich der Impfstatus von anderen Menschen problemlos klauen, wie die Online-Nachrichtenseite "Business Insider“ am Donnerstag berichtet.

Demnach ist es möglich, dass der entsprechende QR-Code theoretisch von beliebig vielen Menschen genutzt werden kann: "Wird der QR-Code eines Impfzertifikates von der Corona-Warn-App oder der CovPass-App - einer sogenannten Wallet-App - eingelesen, werden die Informationen aus dem Impfzertifikat ausgelesen und im Klartext angezeigt. Da die Wallet-Apps die Identität der App-Nutzerinnen und -Nutzer nicht kennen, können sie nicht überprüfen, ob die jeweilige Identität mit dem Impfling übereinstimmt. Somit ist es möglich, Impfzertifikate anderer Personen in seine Wallet-App zu laden", zitiert "Business Insider" einen BSI-Sprecher.

Genau deshalb müsse neben dem digitalen Impfausweis unbedingt auch immer ein Personalausweis oder Reisepass vorgezeigt werden, fordern die IT-Sicherheitsexperten.

Sendung: rbb88.8, 17. Juni 2021, 11 Uhr

Was Sie jetzt wissen müssen

23 Kommentare

Wir schließen die Kommentarfunktion, wenn die Zahl der Kommentare so groß ist, dass sie nicht mehr zeitnah moderiert werden können. Weiter schließen wir die Kommentarfunktion, wenn die Kommentare sich nicht mehr auf das Thema beziehen oder eine Vielzahl der Kommentare die Regeln unserer Kommentarrichtlinien verletzt. Bei älteren Beiträgen wird die Kommentarfunktion automatisch geschlossen.

  1. 23.
    Antwort auf [Cmk] vom 17.06.2021 um 19:27

    Wie gesagt bei den kontaktlisten war es auch so …. Der Wirt hätte ja sagen können ich würde gern den Ausweis sehen…. ich hab von keinem gehört wo das passiert ist.
    Aber es kann ja diesmal alles ganz anders sein… nach der langen Schließung sucht man sich seine Kunden bestimmt aus :D

  3. 21.
    Antwort auf [velo07 ] vom 18.06.2021 um 08:47

    Nach meinem zweiten Impftermin lösche ich meinten Account bei Doctolib und ändere vorher alles, was zu ändern ist, da ja eh viele Daten bestehen bleiben.

  4. 20.

    Doctolib.fr hat mir gestern per Mail die Impfterminbestätigung von 4 Personen in Frankreich geschickt. Ob die wohl meine Terminbestätigung gekriegt haben?

  5. 19.
    Antwort auf [Daniel W.] vom 17.06.2021 um 15:01

    Dann melden Sie bitte diese Apotheke beim Gesundheitsamt/ Ordnungsamt. Die Apotheken sind dazu verpflichtet, dass eingehend zu prüfen und werden dazu entsprechend ausgestattet— rechtlich und finanziell.

  6. 18.
    Antwort auf [Marcel] vom 17.06.2021 um 11:19

    Genau so! Das ist keine „Sicherheitslücke“ sondern exakt so gewollt.
    Nicht anders war und ist es, bei einem Testzertifkat und auch der Kontaktdatenerfassung im Restaurant o.ä. (oder eben beim gelben Impfheft). Wer als Nutzer*In da betrügt (also ein fremdes Zertifikat etc. vorzeigt/ falsche Daten angibt) oder als Betreiber*In nicht richtig kontrolliert, macht sich strafbar.
    Klar, kann man das mit datenschutzfeindlichen Lösingen rigoroser handhaben aber das ist nicht empfehlenswert.
    Andererseits: bei der CoronaWarnApp sind viele steil gegangen — die allgemeinen Bedenken/ „Vorsicht“ bei Luca hingegen sind viel geringer… beides leider unbegründet. :/

  7. 17.
    Antwort auf [mann] vom 17.06.2021 um 18:58

    Wozu denn das …. hat bei den Kontaktlisten irgendein Gastwirt einen Ausweis verlangt ?
    Das gleiche passiert auch jetzt bei dem Impfpass.

  8. 16.
    Antwort auf [Cmk] vom 17.06.2021 um 19:27

    Bitte Namen des Lokals, damit ich weiß, um welche Adresse ich nen Bogen mache. Sie sollen bewirten und keinen Ordnungshüter spielen. Vielen Dank.

  10. 14.
    Antwort auf [AndreasX] vom 17.06.2021 um 18:10

    Als Gastwirt kann ich nach dem Ausweis verlangen.
    Der Gast ist nicht gezwungen mir den zu zeigen, ich kann ihm dann aber die Bewirtung verweigern.
    Das werd ich ja nicht ohne Grund machen, sondern wenn etwas merkwürdig ist, also keine Willkür.

  12. 12.

    Mannomann. Digitalwüste Deutschland. Das war doch sowas von klar das man den QR Code vom Brief so oft scannen kann bis der Arzt kommt. Es wäre ja auch zu abstrakt gewesen da eine Sperre ein zu bauen wie zum Beispiel das nur max zwei Aktivierungen möglich sind mit einem QR Code, dann muss man einen neuen beantragen / generieren lassen.
    Den Banken hat die EU da auch enorme Auflagen gegeben und es mussten Lösungen wie Zwei Faktor aktivierungen her. Viele Banken koppeln die Freischaltung des Onlinebankings am Handy auf ein Gerät. Beim Gerätewechsel muss man eine neue Aktivierung beantragen.
    Ich kann da einfach nur den Kopf schütteln. Genauso wie über die Fälschungen beim gelben Impfpass. Da hätte ein Siegelaufkleber gereicht der sicherstellt, das da keiner Schund treibt.

  13. 11.

    Leute mit überstandener Covid19 Erkrankung und dazugehöriger einmaliger Impfung erhalten den QR Code nur bei Vorlage einer Bescheinigung mit Bestätigung der Covid19 Erkrankung, positiv testung inkl impfbuch in der Apotheke

  14. 10.

    Leute mit überstandener Covid19 Erkrankung und dazugehöriger einmaliger Impfung erhalten den QR Code nur bei Vorlage einer Bescheinigung mit Bestätigung der Covid19 Erkrankung, positiv testung inkl impfbuch in der Apotheke

  15. 9.
    Antwort auf [Mew] vom 17.06.2021 um 16:04

    Ein ganz kleiner Unterschied.
    1. ist das Verbot Alkohol an Jugendliche ein Bundesgesetzt und keine zeitlich begrenzte Verordnung.
    2. glaube gibt wenige Supermärkte, die beim Betreten fragen ob man Alkohol kaufen will und den Ausweis schon beim Betreten kontrollieren und einem zu jungem das Betreten untersagen
    3. wenn man keinen Ausweis dabei hat, und dazu ist man nicht verpflichtet, ist es auch schwer diesem der Polizei zu zeigen

    Die Ausübung des Hausrechtes muss aber sachlich gerechtfertigt, darf nicht willkürlich sein.
    Und einen Ausweis zu verlangen obwohl man nicht dazu berechtigt ist, dürfte kein sachlicher Grund sein sondern pure Willkür

  16. 8.
    Antwort auf [AndreasX] vom 17.06.2021 um 13:12

    Fitnessstudio und Gastwirt dürfen den Ausweis schon verlangen. Man muss ihn nur nicht vorzeigen. Man kann stattdessen auch wieder nach Hause gehen. Der Polizei dagegen könnte man den Ausweis nicht verweigern. Ein vergleichbarer Fall: ein Supermarkt darf auch den Ausweis kontrollieren wenn jemand Alkohol kauft. Und wenn man sein Alter nicht nachweisen kann oder will gibt's auch keinen Alkohol.

  17. 7.

    "Genau deshalb müsse neben dem digitalen Impfausweis unbedingt auch immer ein Personalausweis oder Reisepass vorgezeigt werden, fordern die IT-Sicherheitsexperten.
    "
    Ja das war doch aber klar, und das möchte ja wohl auch sein, ist doch nicht anders als mit einem Impfpass. Das hat auch nie jemand behauptet. Das Blatt Papier kann ich auch x mal kopieren. Und die App speichert auch nur den letzten Barcode, also da braucht man keine App für da reich ein Foto des Bardcode welchen man dann vorzeigt, die App ist total überflüssig. Aber der Sinn ist ja auch, dass der Prüfer mit einem Gerät den Code scannt, die Signatur prüft und den Pass... Was war nie anders gedacht!

  18. 6.

    Mhh toll und wozu war ich eben in der Apotheke. Aber gut, dass es nur 2 min gedauert hat, und genau prüfen tut da auch keiner die Unterlagen, also von wegen die schauen da genau hin. Die haben nicht mal das Foto im Pass gecheckt...

  19. 5.
    Antwort auf [AndreasX] vom 17.06.2021 um 13:12

    "Aber nun kommt das aber.... niemand muss in Berlin einen Ausweis mit sich führen "

    stimmt, genauso wenig wie den Impfausweis. Sowohl für Perso als auch Impfausweis gilt, dass man ihn aber bei bestimmten Gelegenheiten vorlegen muss, wenn man eine bestimmte Dienstleistung in Anspruch nehmen muss. So beispielsweise auch, wenn man ein Paket bei einer Abgabestellen abholen möchte. Ohne Perso keine Paketausgabe, ohne Impfausweis und Perso kein Zutritt, wo man nur als Geimpfter reinkommt. Gilt übrigens auch für die Testzertifikate.
    Also alles wie gehabt- egal ob die jeweiligen Dokumente digital oder analog vorliegen- da hat @Marcel völlig recht

  20. 4.
    Antwort auf [Marcel] vom 17.06.2021 um 11:19

    Theoretisch wäre dieser Abgleich mit dem Perso sinnvoll und bei der Einreise in ein anderes Land hat man den auch dabei.
    Aber nun kommt das aber.... niemand muss in Berlin einen Ausweis mit sich führen und weder das Fitnesstudio noch der Gastwirt sind überhaupt berechtigt sich diesen zeigen zu lassen... kennt man ja von den Kontaktlisten.
    In Kürze wird sich das eh nur noch auf Reisen beschränken und ob es im nächsten Jahr überhaupt jemanden interessieren wird bleibt abzuwarten.

  21. 3.

    Was ist mit genesenen und dann 1x geimpften Menschen? Werden wir denn auch eine Möglichkeit des digitalen Nachweises erhalten? Gibt es einen QR Code des Labors, welches dem PCR Test durchgeführt hat, plus einen vom Impfzentrum?

  22. 2.

    Ein ganz ganz großes Dankeschön an das Impfzentrum Frankfurt/Oder!!! Dort hat alles super geklappt, alle sehr freundlich und das Impfzertifikat inclusive auf's Handy hab ich auch. Ihr seid super!!

  23. 1.

    Das ist keine Sicherheitslücke! Selbst wenn die App den Namen vom Besitzer des Handys mit dem Zertifikat abgleicht, könnte ich mein Handy dritten geben. Natürlich muss neben dem Impfzertifikat die Identität der Person die das Zertifikat vorzeigt gesondert geprüft werden - mittels Perso zum Beispiel. Den analogen Impfausweis kann auch jeder dritte nutzen. Auch da muss der Name mit anderen Dokument abgeglichen werden.

Kommentartexte aufklappen

Nächster Artikel