KURZ-WEBINAR: Wie (un)sicher sind Apps wirklich?" startet in

Tag(e)

:

Stunde(n)

:

Minute(n)

:

Sekunde(n)

Digitaler Impfnachweis: Wie sicher sind Nutzerdaten?

30 Jun., 2021

CovPass und Corona-Warn-App im Datenschutz-Test

Wer gegen das Corona-Virus SARS-CoV-2 geimpft ist, kann seit dem 14. Juni 2021 kostenfrei einen digitalen Impfnachweis erhalten. Dieser bietet Geimpften die Möglichkeit, ihren Impfstatus bequem nachzuweisen, ohne das gelbe Impfheft mit sich zu tragen. Die digitalen Impfnachweise enthalten neben Informationen zum Impfzeitpunkt und Impfstoff den vollständigen Namen und das Geburtsdatum der Geimpften. Der Impfnachweis wird in Form eines ausgedruckten QR-Codes an dem Ort bereitgestellt, an dem die Impfung verabreicht wurde. Anschließend können die Geimpften den ausgestellten QR-Code mit der CovPass- oder der Corona-Warn-App scannen und als digitalen Impfpass nutzen.

Mit der Einführung des digitalen Impfnachweises atmeten viele Bürger:innen zunächst erleichtert auf. Doch jetzt tauchen die ersten Befürchtungen auf: Wie sicher sind die Daten der Nutzer:innen in den Impfzertifikat-Apps?

mediaTest digital hat den Test gemacht und die beiden Impfpass-Apps CovPass und Corona-Warn-App datenschutztechnisch unter die Lupe genommen.

COVPASS APP

iOS 1.3.0 | Android 0.160.7

CVSS SCORE

6.0 (medium)

U

ANALYSE-ERGEBNIS

  • Kein Einsatz externer Tracker und Analysetools
  • Keine Übertragung persönlicher Informationen an Dritte
  • Datenübertragung ausschließlich an App-Betreiber
  • Zugriff: Kamera

CovPass-App

Die CovPass-App des Robert-Koch-Instituts ist für Android (v 0.160.7) und iOS (v 1.3.0) in den gängigen App Stores kostenlos verfügbar. Mit ihr können geimpfte Bürger:innen bei Bedarf ihren digitalen Impfnachweis vorzeigen. Die Sicherheitsexperten von mediaTest digital konnten erfreulicherweise feststellen, dass die App keine Tracker oder Analyse-Tools zur Untersuchung des Nutzerverhaltens verwendet. Eine Übertragung von Nutzerdaten an Dritte konnten die Prüfer ebenfalls nicht ermitteln – die App baut ausschließlich Verbindungen zum App-Anbieter auf. Eine Man in the Middle-Attacke war erfolgreich, die Anwendung nimmt jedoch ausreichende Gegenmaßnahmen vor. Es besteht somit keine Gefahr des Datenmissbrauchs.

Die Nutzer:innen sollten jedoch vorsichtig mit ihrem QR-Code umgehen und ihn für sich behalten, da jede:r sich die CovPassCheck-App downloaden und diese nutzen kann. Scannt ein:e User:in ein beliebiges Impfzertifikat (QR-Code) mit dieser App, zeigt diese Informationen wie den Vor- und Nachnamen, das Geburtsdatum sowie den Impfstoff und -status der Person hinter dem QR-Code an. Es handelt sich dabei aber nicht um einen Fehler in der App, sondern vielmehr des dahinter stehenden Systems.

CORONA WARN APP

iOS 2.3.3 | Android 2.3.4

CVSS SCORE

0.0 (low)

U

ANALYSE-ERGEBNIS

  • Kein Einsatz externer Tracker und Analysetools
  • Keine Übertragung von Daten an Dritte
  • Optionale Datenübertragung an den App-Anbieter verschlüsselt
  • Datenverarbeitung durch Apple/Google nicht absehbar

Corona-Warn-App

Die offizielle Corona-Warn-App des Robert-Koch-Instituts begleitet deutsche Bürger:innen bereits seit über einem Jahr durch die Pandemie und steht ihnen für Android (v 2.3.4) und iOS (v 2.3.3) in den App Stores zur Verfügung. Sie informiert Nutzer:innen nicht nur über potenzielle Risikobegegnungen und stellt die Funktion eines Kontakttagebuchs und einer Event-Registrierung bereit. Seit kurzem zeigt sie auch den digitalen Impfnachweis an.

Die Prüfer konnten feststellen, dass die App erfreulicherweise keine Analyse- und Tracking-Tools nutzt. Weiterhin verarbeitet die Anwendung gesammelte Daten wahrscheinlich nur lokal und übermittelt diese nicht an Dritte. Da den Prüfern während des Testlaufs jedoch nicht die volle Funktionsweise der App zur Verfügung stand (kein QR-Code), handelt es sich dabei zunächst nur um eine Vermutung. Auf Wunsch des Users können Daten verschlüsselt an das Gesundheitsamt gesendet werden, um die zuständigen Mitarbeiter:innen im Falle einer Infektion bei der Nachverfolgung der Kontaktkette zu unterstützen.

Es ist nicht absehbar, was mit den gespeicherten Daten passiert, da die jeweiligen Systemhersteller (Apple und Google) die Kernfunktion der Anwendung zur Verfügung stellt.

Erfahren Sie hier, welche Kontakttagebuch-Apps Sie sicher nutzen können.

Das Fazit der Sicherheitsexperten zum digitalen Impfnachweis

Die Datenschützer von mediaTest digital empfehlen die Nutzung der digitalen Impfzertifikate in der CovPass- und der Corona-Warn-App nicht nur aufgrund ihres Nutzens für die Bekämpfung der Pandemie weiter. Auch aus datenschutzrechtlichen Gründen können User:innen sie mit gutem Gewissen nutzen. Bürger:innen sollten ihren ausgehändigten QR-Code jedoch sehr vertraulich behandeln und ihn nicht abfotografieren oder ähnliches, da die Covid-Zertifikate mithilfe der CovPassCheck-App von beliebigen Personen gescannt und ausgelesen werden können.

 

Testergebnisse

Kostenlose Checkliste

5 Tipps zur sicheren App-Auswahl

Nutzen Sie unsere Checkliste, um zukünftig selbst über den Einsatz bestimmter Apps entscheiden zu können. Mit Tipps und Erklärungen untermauert hilft Sie Ihnen zukünftig im Entscheidungs- und App-Freigabe-Prozess.

App-Auswahl Checkliste sicherer Freigabeprozess

Diese Apptests könnten Sie auch interessieren

EM Apps: So steht es um den Datenschutz

EM Apps: So steht es um den Datenschutz

Sicher durch die EM: Worauf Sie bei EM-Apps achten sollten Die EM 2024 steht vor der Tür und die Welt des Fußballs ist voller Vorfreude auf dieses sportliche Ereignis.

Das könnte Sie auch interessieren:

blank

Whitepaper: Wie sicher ist iOS wirklich?

Lange Zeit galt der Mythos, dass Apple-Geräte immer sicher sind. In letzter Zeit scheint Apple seinen Status als uneinnehmbare Festung jedoch zu verlieren. Erfahren Sie in unserem 12-seitigen Whitepaper, wie Sie die Risiken umgehen können.

Apptests, Tipps und ein Gratis-Geschenk!

PRESSEKONTAKT

Carolin Thomalla | PR & Communication

press@appvisory.com
Telefon +49 (0)511 35 39 94 22
Fax +49 (0)511 35 39 94-12

Apptests, Tipps und ein Gratis-Geschenk!

Jetzt zum Newsletter anmelden!

Datenschutzerklärung: Wir versenden keinen Spam. Sie können den Newsletter jederzeit abbestellen.