Veröffentlicht inRatgeber

Impfpass für den Urlaub: Welche App ist sicher?

IMTEST hat untersucht, welche Apps wirklich sicher sind.

Eine deutscher Reisepass und ein Impfpass
© Pexel / viarami

Urlaub, Reise – Reiseimpfung! Statt den unhandlichen, gelben Impfpass ständig mit sich tragen zu müssen, haben Geimpfte auch die Möglichkeit, ihre Immunisierung per Smartphone-App nachzuweisen. Das Versprechen: Einfach App starten, QR-Code präsentieren – fertig. So weit so einfach. Bleibt nur noch die Frage: Welche Impfpass-App darf es denn sein? Insbesondere auch: Welche bietet den besten Datenschutz?



Impfpass für den Urlaub: Das sollten Sie wissen

Spätestens seit Corona weiß Deutschland: Ein Impfpass, der kann schon wichtig sein. Und das nicht nur während einer Pandemie. Gerade bei Fernreisen ist es mitunter zwingend notwendig, bestimmte Schutzimpfungen nachzuweisen, um ins Restaurant, in Nationalparks oder überhaupt ins Land zu dürfen.

Die einfachste Variante, den Impfpass mit sich zu führen, ist wohl eine Impfpass-App. Aber wie sicher sind die Daten in einer solchen App? Und wie sinnvoll ist der digitale Impfpass überhaupt? IMTEST hat AV-Test, ein renommiertes Labor für Sicherheitsdienstleistungen, beauftragt, dem nachzugehen. Dafür haben die Experten diese drei Apps geprüft: Die Corona-Warn-App (CWA), CovPass (beide vom RKI) und die luca-App von Culture4Life.



Einiges hat sich seit der Pandemie geändert: Luca wurde vielfach aufgrund mangelnden Datenschutzes kritisiert und hat sich aus dem “Corona-Geschäft” zurückgezogen. Die App ist nach wie vor existent, soll jedoch zur “digitalen Gestaltung deines gesellschaftlichen Lebens” beitragen, indem man dort Reservierungen in Restaurants vornehmen und auch über die App dort bezahlen kann.

Was ist mit den anderen beiden Apps – der CovPass-App und der Corona-Warn-App passiert? Diese gibt es nach wie vor, doch ihre Funktion hat sich grundlegend verändert, beziehungsweise wird diese sich in den kommenden Monaten verändern. Denn die Kontaktverfolgung, eine der Hauptfunktionen der getesteten Apps, ist aufgrund niedriger Inzidenzen obsolet geworden und wurde in eine Art Ruhemodus versetzt. Lediglich für die Speicherung des digitalen Impfstatus kann die App noch genutzt werden.

So funktioniert der digitale Impfpass per App

Wie funktioniert denn nun eigentlich ein digitaler Impfpass? Wer geimpft wurde und keinen QR- oder Barcode zum direkten Einscannen für die App bekommen hat, fragt am besten noch direkt in der Praxis danach. Auch in einigen Apotheken ist es möglich, sich mit Hilfe eines analogen Impfnachweises (gelbes Heftchen) den Code ausstellen zu lassen.

Anschließend wird der Code eingescannt und die Daten zu Impfung, Dosis und Datum automatisch in die App übertragen. Die Sicherheitsexperten von AV-TEST haben diesen Prozess genau unter die Lupe genommen. Dabei wurden die ein- und ausgehenden Verbindungen zu und von den Apps analysiert und auf potenzielle Schwachstellen untersucht. Zudem überprüfte das Labor die App-Quellcodes und die Datenschutzerklärungen.



Berechtigte Kritik an luca-App

Bereits seit ihrer Veröffentlichung ist die luca-App dauerhaft unter Beschuss. Dabei steht allerdings weniger die App selbst im Zentrum der Kritik, sondern der zugrundeliegende Gesamtansatz. So lassen sich beispielsweise bei der Registrierung vollständig frei erfundene Daten oder Namen, Adressen und Telefonnummern von anderen Personen angeben.

Dazu kommt, dass die persönlichen Daten nicht auf dem Smartphone selbst, sondern auf den Servern des Betreibers gespeichert werden. Wie sicher sie dort sind, weiß nur der deutsche Anbieter Culture4Life selbst. Theoretisch wäre es möglich, dass das Unternehmen die Daten auswertet oder verkauft.

Screenshot der Luca App.
Bei der Registrierung in der Luca-App kann man falsche Daten eingeben. © Luca

Undurchsichtige Datenschutzerklärung

Obendrein ist die luca-App in der Lage die Standortinformationen vom Smartphone zu erfassen. Wie lange diese Standortdaten gespeichert werden, erwähnt der Betreiber in der Datenschutzerklärung allerdings nicht. AV-Test bemängelt daher dieses Konzept zur Datenspeicherung. Sowohl als generelle Applikation wie auch als Impfpass-App überzeugt luca daher nicht.

Screenshot der Luca-App.
Die Datenschutzerklärung der Luca-App sowie die Datenspeicherung sind undurchsichtig. © Luca

Corona-Warn-App punktet mit Anonymität

Die durch den deutschen Softwarekonzern SAP und die Deutsche Telekom AG entwickelte Corona-Warn-App (CWA) kommt ohne Registrierung aus und sammelt oder versendet damit keine direkt persönlichen Informationen wie Name, Adresse oder Telefonnummer. Die Nutzung ist somit vollständig anonym und ohne Registrierung möglich. Darüber hinaus bietet die App gemäß den AV-TEST-Analysen einen hohen Sicherheitsstandard. Die Kommunikation über das Internet erfolgt zum Beispiel stets sicher und nach aktuellem Stand der Technik verschlüsselt. Auch die auf dem Smartphone gespeicherten Daten sind gut geschützt.

Impfpass-App CWA mit kleinen Schwächen

Fragwürdig bei der CWA als Impfpass-App ist allerdings die Abhängigkeit der Android-App von bestimmten Google-Services, deren volle Funktionalität und Implementierung Googles Geheimnis bleibt. Zudem verzichtet die Corona-Warn-App laut dem Sicherheitsunternehmen GDATA auf die Überprüfung der Signaturen für den digitalen Impfnachweis. So kann prinzipiell jeder einen auf den ersten Blick echt aussehenden Nachweis fälschen.

Außerdem ergibt sich bei der CWA von Haus aus eine größere Angriffsfläche, da sie mehrere Funktionen bietet wie die Grundfunktion der Kontaktzurückverfolgung, der Check-In für Geschäfte und Restaurants und das Teilen positiver Schnelltest-Ergebnisse. Zu guter Letzt gehen zwar beide RKI-Apps pfleglich mit den Nutzerdaten um, trotzdem ist Datenklau möglich: Wer bei der Kontrolle etwa den QR-Codes abfotografiert, kann die darin enthalten Namen wie Name und Geburtsdatum später in aller Ruhe auswerten

Screenshot der Corona-Warn-App.
Neben der Grundfunktion der App können Nutzer ihre Tests registrieren. Mehr Funktionen bedeuten auch mehr Angriffsfläche.
Screenshot der Corona-Warn-App.
Über die CWA können Nutzer sich auch an Orten oder Events registrieren.
Screenshot der Corona-Warn-App.
Die Funktion des Kontakt-Tagebuchs soll ebenfalls dazu beitragen, Infektionsketten schnell nachzuverfolgen.
Screenshot der Corona-Warn-App.
Hier kann man sich einen digitalen Impfpass erstellen.

CovPass-App rundum sicher

Bei der ebenfalls vom RKI veröffentlichten CovPass-Applikation handelt es sich im Grunde um eine abgespeckte Variante der Corona-Warn-App. Da sie sich allein auf die Impfzertifikat-Funktionalität beschränkt, ist sie eine reine Impfpass-App. Aus Sicherheits- und Datenschutzsicht ist das positiv, schließlich ergeben sich dadurch weniger Sende- und Datenerfassungs-Möglichkeiten. Darüber hinaus ist die CovPass-App nicht von Google Diensten abhängig. Wer also allein seinen Impfpass digital sichern will, lädt am besten die CovPass-App. Wie Sie Ihren Impfnachweis ganz einfach in die CovPass-App übertragen, erklären wir an dieser Stelle.

Screenshot der CovPass-App.
Die CovPass-App führt einfach durch den Vorgang.
Screenshot der CovPass-App.
Wie bei den anderen Apps, scannt man einfach den QR-Code vom Impfzertifikat ein.
Screenshot der CovPass-App.
Da dies die einzige Funktion ist, bedeutet das mehr Sicherheit für die Impfpass-App durch weniger Angriffspunkte.
Screenshot der CovPass-App.
Und fertig: das Impfzertifikat als QR-Code.

Impfpass-App eigentlich ganz praktisch

Mit der CovPass- und der Corona-Warn-App hat Deutschland das europäische Zertifikat umgesetzt und ist an den sogenannten europäischen Gateway-Server angeschlossen. Der digitale Impfpass lässt sich daher grenzüberschreitend nutzen. Um aber auf Nummer sicher zu gehen mit einer Impfpass-App nicht abgewiesen zu werden, sollte bei Reisen vorsichtshalber das gelbe Impfbuch in Papierform mitgenommen werden. Der Personalausweis oder ein Reisepass zur Identifikation müssen sowieso mitgeführt werden.

Fazit

Die Impfpass-App vom RKI bietet hohe Sicherheitsstandards. Ebenso wie die Corona-Warn-App. Allerdings lassen sich sowohl bei der CovPass- als auch bei der Corona-Warn-App Nutzerdaten aus abfotografierten QR-Codes auslesen. Unbefugte sollten daher keinen Blick darauf erhalten. Zur Speicherung des digitalen Impfpasses eignet sich die luca-App nicht – das Datenschutzkonzept lässt zu viele Fragen offen. Da sie ohnehin nicht mehr länger als digitaler Impfpass genutzt wird, besteht dahingehend auch kein Risiko mehr. Die anderen beiden Apps können jedoch getrost als digitaler Impfpass für den Urlaub gedownloadet werden.

Nils Matthiesen

Testet als freier Mitarbeiter für IMTEST schwerpunktmäßig IT-Produkte, wie Notebooks und Computerzubehör. Auch Wearables, wie Sportuhren und Ohrhörer gehören in sein Test-Repertoire. Seit mehr als 20 Jahren arbeitet Nils Matthiesen als Technik-Journalist: Anfangs als fester Redakteur beim Computerverlag Data Becker (u.a. PC Praxis), später als selbständiger Journalist für Verlage wie Axel Springer (Computerbild), Spiegel und Handelsblatt. Neben Technik nimmt vor allem Sport viel Raum im Leben des Familienvaters ein. Sie erreichen ihn via E-Mail.