Zertifikatssammlung

Wie Markus Winninghoff bereits im Techniktagebuch dokumentiert hat, müssen Arbeitgeber*innen seit gestern den 3G-Status ihrer Mitarbeiter*innen kontrollieren und dokumentieren. In unserem Betrieb soll dazu für Geimpfte auch das Datum der Zweitimpfung erfasst werden, obwohl derzeit eine zeitliche Begrenzung des Impfstatus noch nicht rechtlich geregelt ist (technisch haben die Impfzertifikate eine Gültigkeit von einem Jahr).

Das Problem: Die vorbildlich datensparsame CovPassCheck-App zeigt nach dem Scan eines QR-Codes nur einen Namen, ein Geburtsdatum und die Gültigkeit des Zertifikats zum Zeitpunkte des Scans an. Wir müssten also alle Beschäftigte zusätzlich nach dem Impfdatum fragen. Die Lösung ist eine missbräuchliche Verwendung der Importfunktion der CovPass- und der Corona-Warn-App: Linus Neumann hatte im Logbuch Netzpolitik von befreundeten Gastronom*innen berichtet, die die beiden genannten Apps (statt der CovPassCheck-App) zur Zugangskontrolle verwendet und dadurch ungewollt die Impfzertifikate aller Gäste importiert hatten. Diese Interface-Schwäche mache ich mir zu Nutze, denn für importierte Zertifikate wird auch das Datum der Impfung (und der verwendete Impfstoff) angezeigt.

(Dieser Beitrag erschien auch im Techniktagebuch.)

Update: Einige Wochen später skandalisieren Kölner Stadt-Anzeiger und WDR (Kölner Barbesitzer deckt Sicherheitslücke der Corona-Warn-App auf) die Portabilität von Impfzertifikaten, rudern einige Stunden später zurück (Kölner Barbesitzer weist auf mangelhafte Kontrollen der Impfnachweise hin) und erläutern stellvertretend für die Kommunen die Pflicht zur Identitätsprüfung.