QR-Code fälschbar

Sicherheitsmängel in Grüner-Pass-App entdeckt

(Bild: APA/Helmut Fohringer)

Studierende der FH Hagenberg haben Sicherheitsmängel in der App des Bundesrechenzentrums zur Speicherung des Grünen Passes festgestellt. Sie fanden heraus, dass sich der QR-Code relativ leicht fälschen lässt. Das Gesundheitsministerium kündigte an, den Fehler mit dem nächsten Update zu beheben.

Mit der offiziellen Grüner-Pass-App können Getestete, Geimpfte und Genesene ihre Zertifikate speichern. Dafür muss man den QR-Code einscannen, der auf dem offiziellen Dokument über die Webseite gesundheit.gv.at heruntergeladen wird. Die App zeigt dann entweder den QR-Code an, damit er bei Kontrollen gescannt werden kann, oder listet alternativ die enthaltenen Informationen auf, etwa wann man mit welchem Vakzin geimpft wurde.

Die Studenten stellten nun allerdings fest, dass zu keinem Zeitpunkt geprüft wird, ob der QR-Code auch tatsächlich gültig ist. Ein Sprecher des Bundesrechenzentrums bestätigte gegenüber der „Futurezone“, dass die Richtigkeit des Zertifikats nicht überprüft werde. Dies geschehe erst durch den Scan mit der zweiten App „GreenCheck“ vor Ort durch das Personal in Restaurants, beim Friseur oder auf Reisen.

Ungeimpfte könnten Impfung vortäuschen
Allerdings findet diese Überprüfung im Alltag nicht immer statt und es werden lediglich die angezeigten Informationen durchgelesen. Damit werde dem Bericht nach nicht überprüft, ob jemand tatsächlich auch sein eigenes Impfzertifikat verwende. Theoretisch wäre es somit auch möglich, dass Ungeimpfte eine Impfung vortäuschten.

In Deutschland validiert etwa die App des Robert-Koch-Instituts direkt beim Hinzufügen des Zertifikats, ob der QR-Code überhaupt gültig ist. Falls nicht, kann es gar nicht in der App gespeichert werden. Auch die Schweizer App prüft die Gültigkeit unmittelbar.

Prüf-Funktion in Quellcode vorgesehen
Die österreichische App basiert auf einer Open-Source-Anwendung, die das Schweizer Bundesamt für Informatik und Telekommunikation entwickelt hat. Daher ist die Prüf-Funktion im verwendeten Quellcode zumindest vorgesehen. Nach den Recherchen der Studierenden der FH Hagenberg ist an dieser Stelle bei der österreichischen App aber nur eine To-do-Liste hinterlegt. So lasse sich relativ leicht ein QR-Code fälschen, der zwar von der App als EU-konform gelesen wird, aber beliebige Informationen enthält.

Das Bundesrechenzentrum verwies gegenüber der „Futurezone“ darauf, dass es strafbar sei, das Dokument zu fälschen. Außerdem liege es nicht in der Verantwortung des BZR, ob der Grüne Pass auch kontrolliert werde. Das Gesundheitsministerium kündigte im Ö1-„Morgenjournal“ an, dass der Mangel in einigen Tagen mit dem nächsten Update behoben werden soll.