Lade Inhalte...
  • NEWSLETTER
  • ABO / EPAPER
  • Lade Login-Box ...
    Anmeldung
    Bitte E-Mail-Adresse eingeben
    Bitte geben Sie Ihre E-Mail-Adresse oder Ihren nachrichten.at Benutzernamen ein.

gemerkt
merken
teilen

QR-Code leicht zu fälschen: Sicherheitsmängel bei Grünem Pass

Von nachrichten.at/apa/rom, 19. Juli 2021, 10:57 Uhr
(Symbolbild) Bild: HELMUT FOHRINGER (APA/HELMUT FOHRINGER)

WIEN. Drei Studenten der Fachhochschule Hagenberg haben Sicherheitsmängel bei der App des Bundesrechenzentrums (BRZ) zur Speicherung des Grünen Passes festgestellt.

Demnach haben die Studenten herausgefunden, dass sich der QR-Code relativ leicht fälschen lasse. Das bestätigt Jakob Stadlhuber, Student der FH Hagenberg, im Gespräch mit den OÖNachrichten. Grundsätzlich sei es gut, dass es so eine App gebe, aber das Problem sei offensichtlich. Das Gesundheitsministerium kündigt eine Behebung mit dem nächsten Update an.

Auf der App können Getestete, Geimpfte und Genesene ihre Zertifikate speichern. Dafür muss man den QR-Code einscannen, der auf dem offiziellen Dokument über die Webseite gesundheit.gv.at heruntergeladen wird. Die App zeigt dann entweder den QR-Code an, damit er bei Kontrollen gescannt werden kann. Alternativ listet sie die enthaltenen Informationen auf, etwa wann man mit welchem Vakzin geimpft wurde.

Richtigkeit des Zertifikats wird nicht überprüft

Die Studenten haben nun bei der Entwicklung einer ähnlichen App festgestellt, dass zu keinem Zeitpunkt geprüft werde, ob der QR-Code der offiziellen Anwendung tatsächlich gültig ist. Aus dem Bundesrechenzentrum heißt es auf OÖN-Anfrage, man wisse über die Diskussion Bescheid. Es liege jedoch nicht in der Verantwortung des BRZ, ob der Grüne Pass auch kontrolliert werde. Die Überprüfung des Codes erfolge erst durch den Scan mit der zweiten App, Green Check, vor Ort durch das Personal in Restaurants, beim Friseur oder auf Reisen. 

In der Theorie finde diese Überprüfung im Alltag allerdings nicht immer statt, und es würden nur die angezeigten Informationen durchgelesen. Damit werde nicht überprüft, ob jemand tatsächlich auch sein eigenes Impfzertifikat verwendet, theoretisch wäre es damit auch möglich, dass Ungeimpfte eine Impfung vortäuschen.

In Deutschland validiert etwa die App des Robert-Koch-Instituts direkt beim Hinzufügen des Zertifikats, ob der QR-Code überhaupt gültig ist. Falls nicht, kann es gar nicht in der App gespeichert werden. Auch die Schweizer App prüft die Gültigkeit unmittelbar.

Video:

Demnächst Update verfügbar

Die österreichische App basiert auf dieser Open Source Anwendung, die das Schweizer Bundesamt für Informatik und Telekommunikation (BIT) entwickelt hat. Daher ist die Prüf-Funktion im verwendeten Quellcode zumindest vorgesehen. Nach den Recherchen der Studierenden der FH Hagenberg ist an dieser Stelle bei der österreichischen App nur eine To-Do-Liste hinterlegt. So lasse sich relativ leicht ein QR-Code fälschen, der zwar von der App als EU-konform gelesen wird, aber beliebige Informationen enthält.

Das BRZ verwies darauf, dass es strafbar sei, das Dokument zu fälschen. Das Gesundheitsministerium kündigte auf OÖN-Anfrage an, dass das Problem demnächst mit einem Update behoben werden soll. Es sei jedoch von Anfang an so vorgesehen gewesen, dass die Überprüfung des QR-Codes mit einer zweiten App "zu verschränken" sei. Künftig soll das mit einer App funktionieren, Wann das Update konkret auf den Markt kommen soll, steht aber noch nicht fest. Bisher wurde die App des Gesundheitsministeriums mehr als eine Million Mal auf Smartphones in Österreich installiert.

mehr aus Chronik

Kran stürzte bei Villach von A10 und fing Feuer: Lenker (55) tot

Freiwilliger Grundwehrdienst: 257 Frauen meldeten sich im ersten Jahr

"Zerstörter Lebensraum ": 17.000 Hasen sterben jährlich im Straßenverkehr

Schwerer Unfall in Liezen: Mädchen (8) in Lebensgefahr

Lädt

info Mit dem Klick auf das Icon fügen Sie das Schlagwort zu Ihren Themen hinzu.

info Mit dem Klick auf das Icon öffnen Sie Ihre "meine Themen" Seite. Sie haben von 15 Schlagworten gespeichert und müssten Schlagworte entfernen.

info Mit dem Klick auf das Icon entfernen Sie das Schlagwort aus Ihren Themen.

Fügen Sie das Thema zu Ihren Themen hinzu.

41  Kommentare
41  Kommentare
Neueste zuerst Älteste zuerst Beste Bewertung
StefanieSuper (5.126 Kommentare)
am 20.07.2021 07:51

Die Frage, die sich hier stellt, ist wer war der Auftraggeber und der Auftragnehmer. Bei diesen Aufträgen handelt es sich meist um Millionenaufträge, die von der Regierung an ihnen gut gesonnenen Unternehmen gehen. Interessant wäre auch, wie die Qualitätskontrolle erfolgt ist. Das ist doch nur möglich, weil wir in der Regierung viele Halbgebildete - Studienabbrecher - etc. sitzen haben, die immer darauf achten müssen, dass sie auch für alle Fälle ein Sicherheitsnetz haben. Bei Produkten für die Konsumenten, müssen viele Tests bestanden werden, bevor es auf die Bevölkerung losgelassen wird. Wenn Studenten - mit viel Grips aber noch wenig Praxis - diese Nachlässigkeit aufdecken können, dann weiß man, dass man für dieses Produkt viel zu viel bezahlt hat. So sieht unsere "Sicherheit" aus!

lädt ...
melden
antworten
Flachmann (7.126 Kommentare)
am 19.07.2021 16:01

Wenn man sich die Auftraggeber so anschaut, kann man eigentlich nicht mehr erwarten!

lädt ...
melden
antworten
blauer13 (1.431 Kommentare)
am 19.07.2021 15:29

Den fälschungsanfälligen Grünen Pass am Handy braucht man nicht.
Seit voriger Woche werden die Impfzertifikate mit CR-Code vom Ministerium per Post zugesendet.

lädt ...
melden
antworten
europa04 (21.652 Kommentare)
am 19.07.2021 15:13

Wozu den "digitalen Pass" aufs Handy?
Es reicht die Papierform und die ist Fälschungssicher!

Das EU Digital COVID Certificate am Gemeindeamt ausdrucken lassen und wenn nötig zu Hause kopieren und schon hat man jederzeit sein Zertifikat überall griffbereit dabei.
Das Original sicher zu Hause verwahren!

Eine Kopie immer im Auto!
Eine Kopie zum Reisepass!
Eine Kopie zum Fortgehen einstecken!

lädt ...
melden
antworten
jopc (7.371 Kommentare)
am 19.07.2021 14:51

Haut's euch doch endlich am Bauch mit der dämlichen Impferei.
Die Daten aus Israel beweisen die Nichtwirksamkeit.
Nicht aufquietschen wegen jouwatch, die Daten stammen aus Israel.
Aber ein paar Forumsdodeln quietschen ja auf wenn's nicht in zickezacke erscheint.
https://www.journalistenwatch.com/2021/07/19/daten-israel-effektivitaet/

Zusätzlich ein paar Zuckerl aus dem Impfparadies der Regierung.
Anfrage ans GM ob diese Impfungen wegen Wechselwirkungen mit bestimmten anderen Medikamentenwirkstoffen GETESTET wurden.
Ausweichende Antwort, wenden Sie sich an den Hausarzt.
Anfrage bei BionTech, wir dürfen darüber nur Auskunft in Deutschland geben.
Anfrage bei Pfizer:
Es wurden KEINE Studien zur Erfassung von Wechselwirkungen durchgeführt.

Mit welcher Berechtigung und mit welchem Wissen im Hintergrund wird also die Impfpropagandaschlacht geschlagen?
Mit dem Wissen/Nichtwissen um Wechselwirkungen mit anderen Medikamenten die ja viele Österreicher nehmen müssen?

lädt ...
melden
antworten
jopc (7.371 Kommentare)
am 19.07.2021 15:06

Mit meinigem Wissen jetzt komme ich nicht umhin die Regierung eine skrupellose Verbrecherbande zu nennen, jetzt mal was nur Corona betrifft.

lädt ...
melden
antworten
jopc (7.371 Kommentare)
am 19.07.2021 15:13

Diese skrupellosen Gauner können anfragenden Ärzten oder Apothekern somit nicht mal die Auskunft geben ob es eine Wechselwirkung z. B. Kopfschmerztabletten wie Thomapyrin die ja den gleichen Wirkstoff wie der Blutverdünner ThromboAss enthält geben.
Schlicht und ergreifend weil es diese Studien nicht gibt.

lädt ...
melden
antworten
europa04 (21.652 Kommentare)
am 19.07.2021 16:28

@JOPC: Damit dürfte ja über die Quelle: journalistenwatch.com alles gesagt sein, wie seriös da Corona-Berichte sind!

Journalistenwatch (Eigenbezeichnung auch JouWatch)
Inhaltlich wird sie teilweise als rechtspopulistisch bis rechtsextrem und islamkritisch angesehen.

lädt ...
melden
antworten
gerald160110 (5.609 Kommentare)
am 19.07.2021 19:15

Bis 6 Stunden nach der Impfung sollen grundsätzlich keine Medikamente eingenommen, dazu bedarf es keiner gesonderten Studie und betrifft jede Impfung. Bei starken Kopfschmerzen nach der Impfung ist sowieso ohne Verzögerung das nächste Krankenhaus aufzusuchen und nach 24 Stunden ist der mRNA Impfstoff vollkommen vom Körper abgebaut.

lädt ...
melden
antworten
MySigma (2.471 Kommentare)
am 19.07.2021 15:12

"journalistenwatch.com"... Die Plattform von Herrn Sellner und Herrn Strache? Absolut zuverlässig und seriös! Nett!

lädt ...
melden
antworten
magicroy (2.783 Kommentare)
am 19.07.2021 15:38

Gegenfrage: Wie wollen Sie denn sonst diese Pandemie bekämpfen, wenn nicht mit einer wirksamen Impfung? Oder wollen wir die Intensivmedizin beliebig überlasten, weil es eh egal ist? Kollateralschäden kann man bei keiner Impfung ausschließen, überdies ist bei COVID diesbezüglich nichts bekannt.

lädt ...
melden
antworten
zeroana (1.489 Kommentare)
am 19.07.2021 14:26

Die Sicherheitsprobleme liegen eher darin, überhaupt die Kontrolle persönlicher Gesundheitsdaten außerhalb von Arztpraxen zu verlangen.

lädt ...
melden
antworten
NeujahrsUNgluecksschweinchen (25.946 Kommentare)
am 19.07.2021 14:44

Es könnte so einfach sein: Scannen -> Herr/Frau XY darf rein / nicht rein.
Der Grund (welches G) sollte egal sein.

lädt ...
melden
antworten
betterthantherest (33.772 Kommentare)
am 19.07.2021 13:43

Wie siehts aus mit Genesenen und Grünen Pass?

Ach so - noch immer nicht verfügbar.

Mückstein (Grüne) versagt genauso wie Anschober (Grüne).

lädt ...
melden
antworten
camouflage (1.268 Kommentare)
am 19.07.2021 13:29

Sollen lieber zusehen das der Impfstatus endlich bereinigt und richtig gestellt wird bei den bereits Genesenen und Geimpften. 1/2 Dosis. Zu dem sind sie zu blöd unsere Behörden. Ich war bereits unter den Erkrankten und wurde Geimpft und jetzt soll ich mir noch ein Jaukerl reinziehen, nur weil diese Dümmlinge es nicht schaffen den korrekten Status anzuführen. Nach unzähligen Anrufen, bei diversen unkompetenten Personen, noch nichts geschehen. Diese Totalversager.

lädt ...
melden
antworten
europa04 (21.652 Kommentare)
am 19.07.2021 16:36

@CAMOUFLAGE: Wie soll im Impfzertifikat 2/2 Impfungen eingetragen werden, wenn du nur 1/2 hast? Das wäre ja dann Dokumentenfälschung wenn zwei Impfungen eingetragen sind und du nur eine hast. Genesen ist eben NICHT geimpft.

lädt ...
melden
antworten
Gugelbua (31.812 Kommentare)
am 19.07.2021 13:28

Die Apps sind das Hirn unserer Zeit😁😁😁

lädt ...
melden
antworten
jopc (7.371 Kommentare)
am 19.07.2021 15:01

Irgend so ein Volltrottel in NRW hat ja gemeint, es 'sind ja 150 Meldungen mittels Warn APP rausgegangen.'

lädt ...
melden
antworten
Peter1983 (2.250 Kommentare)
am 19.07.2021 13:21

Wobei ich mich frage wie stur und verbohrt man sein muss den Code zu fälschen, anstatt sich impfen oder zumindest testen zu lassen…

lädt ...
melden
antworten
gerald160110 (5.609 Kommentare)
am 19.07.2021 12:46

Sorry, aber diese Erkenntnis ist seit Wochen bekannt und wurde im ZDF auch bereits vorgeführt, wie man selbst den QR generieren kann. Dazu braucht es keine drei Studenten aus Hagenberg, die irgendetwas nacherzählen, das längst bekannt ist

lädt ...
melden
antworten
glingo (4.945 Kommentare)
am 19.07.2021 13:48

Jeder kann einen QR Code Erzeugen.

darum sollte jeder QR Code gescannt werden stimmen die Daten auf dem Server nicht mit den Daten in der App überein oder gibt es den Datensatz gar nicht ist dieser Gefälscht.

dann gehört ordentliche gestraft nicht ein paar 100euro sondern ein paar Tausend euro

lädt ...
melden
antworten
tofu (6.973 Kommentare)
am 19.07.2021 12:33

„In der Theorie..“ sollte wohl „in der Praxis“ lauten.

Lies was Gscheits

lädt ...
melden
antworten
glingo (4.945 Kommentare)
am 19.07.2021 12:06

Also nur das durchlesen der Daten die da angezeigt werden bringt gar nichts!
und da ist es egal ob ich einen Ausdruck oder das PDF oder die App habe.

Es muss der QR Code gescannt werden und der Name muss mit einem Lichtbild Ausweis abgeglichen werden.

Ich kann ja auch einfach die Namen am PDF ändern und abspeichern oder ausdrucken.

das ist keine Sicherheit Lücke in der APP es könnte verbessert werden aber mehr nicht.

lädt ...
melden
antworten
NeujahrsUNgluecksschweinchen (25.946 Kommentare)
am 19.07.2021 12:22

Ein Poster hatte schon die Idee, dass man aus der Bilderdatenbank (Führerschein, Reisepass, E-Card) dann in der Prüf-App das Foto des Barcodebesitzers anzeigt.
Das würde dann den Abgleich vom Namen mit einem separaten Ausweis ersparen.

Unpraktisch ist außerdem, dass der Barcode vom OÖ Selbsttest nicht mit der Greencheck-App kompatibel ist. Bei der muss man mit einer herkömlichen Barcodeapp dann die URL öffnen, um die Initialen des Einlassbegehrenden zu sehen.

lädt ...
melden
antworten
observer (22.145 Kommentare)
am 19.07.2021 11:49

Wieder mal ein Pfusch, nicht das erste Mal. Auf der Softwareseite der Ministerien scheint es massiven Verbesserungsbedarf zu geben. Sollte man da aber diese Dinge an eine Firma ausgelagert zu haben, dann ist zu überprüfen, ob die die geeignete ist. Offensichtlich sind da andere Staaten besser aufgestellt, vielleicht sollte man mit denen zusammenarbeiten und deren Systeme übernehmen.

lädt ...
melden
antworten
spektator (2.077 Kommentare)
am 19.07.2021 11:43

na ja vielleicht sollte man das gesundheitsminiterium umbenennen
in
"Corona-Pfusch-Ministerium".....
offenbar spart man da nicht nur bei der Juristenkompetenz der Verordnungen seit Kisenbeginn sondern auch bei der IT....

Tolle Studierende in OÖ !!!!

lädt ...
melden
antworten
CptWildDuck (764 Kommentare)
am 19.07.2021 11:41

Das extrem peinliche "Kaufhaus Österreich" ist noch in bester Erinnerung.

Ungerne aber doch muss ich diesmal beim "Grünen Pass" aber dagegen halten.

Wenn der QR Code nicht kontrolliert (und geprüft!) wird sondern nur dem grünen Bild am Handydisplay geglaubt wird, dann kann die App nichts dafür. Genauso könnte man sich ein "Impfzertifikat" auf Papier basteln und vorweisen.
Fangen wir mal zu kontrollieren an und wenn die Fälschung eines prüfbaren QR-Codes tatsächlich einfach ist, reden wir weiter.

lädt ...
melden
antworten
NeujahrsUNgluecksschweinchen (25.946 Kommentare)
am 19.07.2021 11:40

Sauber!
Die für Monatsmitte lang angekündigte Lösung für "genesen und geimpft" ist auch noch immer auf der Warteliste...

lädt ...
melden
antworten
loewenfan (5.471 Kommentare)
am 19.07.2021 11:39

steht doch drunter nur mit Amtlichem Lichtbildausweis gültig,
bei uns habens das zB am Freitag beim Cupspiel kontrolliert

lädt ...
melden
antworten
NeujahrsUNgluecksschweinchen (25.946 Kommentare)
am 19.07.2021 11:50

Sehr löblich, leider dürfte die 3G-Kontrolle insbesondere in der Gastronomie die Ausnahme sein.

lädt ...
melden
antworten
betterthantherest (33.772 Kommentare)
am 19.07.2021 11:26

War wohl das bewährte Team von "Kaufhaus Österreich" am Werk.

lädt ...
melden
antworten
marchei (4.370 Kommentare)
am 19.07.2021 11:18

Der größte Sicherheitsmangel ist, dass ja nicht einmal kontrolliert wird ob die Person, deren Name auf dem Handy dann erscheint, überhaupt die Person ist, welche das Handy in der Hand hält!

lädt ...
melden
antworten
Angie4760 (181 Kommentare)
am 19.07.2021 11:23

Das liegt aber nicht am System dieser App.

lädt ...
melden
antworten
sznabucco (1.864 Kommentare)
am 19.07.2021 11:16

Da sieht man einmal mehr, welche Stümper bei uns am Werk sind.
Dann noch die kindliche Verantwortung, das Fälschen ist strafbar. Kopfschüttel.

lädt ...
melden
antworten
betterthantherest (33.772 Kommentare)
am 19.07.2021 11:18

Türkis-Grüne Bundesregierung.

lädt ...
melden
antworten
Angie4760 (181 Kommentare)
am 19.07.2021 11:27

Ist wie bei anderen Fälschungen auch. Jede Fälschung eines Dokumentes ist strafbar. Das ist weder kindisch, noch lächerlich.

lädt ...
melden
antworten
goldfinger1707 (5.658 Kommentare)
am 19.07.2021 11:15

Wer sich mit der Materie auch nur ein bisdchen befasst weiß, dass eine Fälschung da keine allzu sportliche Aufgabe darstellt...

Aber das Ganze passt sehr zu dieser schmähführenden Chaotentruppe, irrtümlich als Regierung bezeichnet...

lädt ...
melden
antworten
asc19 (2.386 Kommentare)
am 19.07.2021 11:14

Warum lässt die österr. Regierung so eine App nicht einfach von (wissenden) Studenten, wie jene hier aus der FH Hagenberg, entwickeln?....anstatt Millionen an unfähige Firmen zu bezahlen .

lädt ...
melden
antworten
sznabucco (1.864 Kommentare)
am 19.07.2021 11:22

Asc19,

gute Frage. Meine Meinung: ,, Da kämen Gewisse finaziell zu kurz."
Wie gesagt, eine Vermutung.😂😂

lädt ...
melden
antworten
ob-servierer (4.467 Kommentare)
am 19.07.2021 12:34

Die "Gewissen" sind finanziell eh schon bei Kurz....

lädt ...
melden
antworten
betterthantherest (33.772 Kommentare)
am 19.07.2021 11:02

Eine Totgeburt.

lädt ...
melden
antworten
Aktuelle Meldungen