SYSTEM

Fakten zum Impfnachweis beim Check-in mit luca

By Dezember 8, 2021Mai 4th, 2022No Comments

08 Dez 2021

Die luca Locations App kann Betreiber:innen anzeigen, ob App-Nutzer:innen geimpft sind. Diese Anzeige ersetzt nicht die gesonderte Prüfung des eigentlichen Impfnachweises – die sich bequem ebenfalls per Betreiber App “luca Locations App” erledigen lässt.

 

Nutzer:innen der luca App können freiwillig die Information über ihren Impfstatus in den zum Check-in genutzten QR-Code aufnehmen lassen. Die Anonymität der Nutzer:innen bleibt hierbei gewahrt, da dieser QR-Code nach wie vor keinen Rückschluss auf die Identität der Person zulässt. Beim Importieren des Impfzertifikats prüft die luca App, ob es sich um einen gültigen Nachweis handelt. Plumpe Fälschungen weist die App im Rahmen des technisch Möglichen zurück (auf mögliche Betrugsvarianten, die auf gültige digitale Zertifikate von Apotheken zurückgehen, soll hier nicht eingegangen werden).

Wir haben diese Funktion integriert, um Betreiber:innen den Einlass von Besucher:innen zu vereinfachen: Betreiber:innen können so Check-ins durch Nutzer:innen verhindern, die die jeweils geltenden Einlassvoraussetzungen nicht erfüllen.

Diese Sichtprüfung durch Betreiber:innen erstreckt sich nur auf die freiwillig von Nutzer:innen gemachte Angabe über den Impfstatus. Die Echtheit des (digitalen) Impfzertifikats lässt sich so nicht prüfen. Impfverweigerer:innen könnten also einen bösartig manipulierten QR-Code präsentieren, der ihnen vermeintlich den gewünschten Impfstatus attestiert.

Dieses Szenario ist nicht auf die luca App beschränkt. Betrüger:innen können genauso die Bildschirminhalte der Corona Warn App oder CovPass imitieren und mit manipulierten QR-Codes befüllen.

Missbrauch verhindern durch zweiten Schritt

Solche gefälschten QR-Codes fliegen in dem Moment auf, in dem Betreiber:innen in einem zweiten Schritt den QR-Code des Impfzertifikats mit der luca Locations App scannen (oder wahlweise mit der CovPassCheck-App) und den im QR-Code angezeigten Namen mit einem Ausweisdokument abgleichen.

Wir appellieren daher an alle Betreiber:innen, diesen zweiten Schritt ebenfalls zu gehen – auch wenn es den Check-in verlangsamt.

Warum validiert luca den Impfstatus nicht beim Check-in?

Wie erwähnt, prüft die luca App beim erstmaligen Import eines Impfzertifikats dessen Gültigkeit. Um das Zertifikat auch während des Check-in-Vorgangs automatisch zu verifizieren, müsste die luca App das Impfdokument zusammen mit den übrigen im QR-Code hinterlegten Angaben zum Scanner schicken.

Hierdurch würde jedoch eine Verknüpfung von Identität – der Name der geimpften Person ist ja im Zertifikat hinterlegt – und Check-in möglich. Wir haben das kryptographische Konzept des luca-Systems so gebaut, dass genau diese Verknüpfung unmöglich ist und weder Betreiber:innen, noch luca die Identitäten der Nutzer:innen einem Check-in zuordnen können.

Wir prüfen derzeit, ob es eine technische Lösung für die automatische Verifizierung des Impfdokuments während des Check-ins gibt, die unseren Prinzipien der Datensparsamkeit genügt.

Die Kontaktnachverfolgung mit luca ist zurzeit ausgesetzt. Die luca-Infrastruktur bleibt erhalten, sodass Gesundheitsämter bei Bedarf jederzeit wieder über luca Kontaktdaten abrufen können. luca bietet Nutzer:innen neue Funktionen, die dir weiterhin helfen, deinen Alltag angenehmer zu gestalten. Mehr dazu findest du hier.