Ein Stückchen Freiheit soll der grüne Pass zurückbringen: Mit ihm soll es künftig möglich sein nachzuweisen, dass man bereits gegen Covid-19 geimpft, frisch getestet oder von einer entsprechenden Erkrankung genesen ist – und zwar unkompliziert. Ein Versprechen, das nach all den Lockdown-Maßnahmen des vergangenen Jahres zweifellos viele herbeisehnen. Details dazu, wie dieser grüne Pass in Österreich überhaupt implementiert wird, suchte man bislang allerdings vergeblich. Nun wurden der NGO Epicenter Works und der "ZiB 2" allerdings Dokumente zugespielt, die die aktuellen Pläne im Detail beschreiben. Und was man dort lesen kann, lässt bei den Datenschützern alle Alarmglocken klingeln – weise das Konzept doch gleich mehrere grobe Sicherheitslücken auf, die die Gesundheitsdaten sämtlicher Sozialversicherten gefährden.

E-Card als schlechte Idee

Ein Kernpunkt der Kritik: Für Einlasskontrollen soll unter anderem die E-Card herangezogen werden. Mithilfe einer eigenen Web App namens "Green Check" können dann die jeweiligen Betreiber – also vom Friseur über den Restaurantbetreiber bis zum Konzertveranstalter – den Covid-Status einer Person abfragen. Konkret werde dabei die Rückseite der Karte abfotografiert und der in der linken unteren Ecke befindliche 20-stellige Code mittels Bilderkennung erfasst. Mithilfe dieser Daten nimmt dann die App bei einem zentralen Server eine Abfrage zum Covid-Status der betreffenden Person vor und zeigt das Ergebnis in grüner oder roter Form an. Darüber hinaus werden aber auch Name und Geburtsdatum der Überprüften dargestellt.

Daraus würden sich gleich eine Reihe von Problemen ergeben, warnen die Datenschützer nun. So seien bei dem erwähnten Kartencode die ersten zehn Stellen immer gleich. Ein Angreifer könnte nun einfach bei den restlichen Stellen nach und nach mithilfe der App sämtliche Kombinationen ausprobieren und würde so an private Daten von Millionen Österreichern kommen – also eben Name, Geburtsdatum und Covid-Status. Dies würde zwar einige Wochen dauern, eine Sicherheitsmaßnahme gegen solch massenhaftes Abgreifen gebe es bislang aber nicht.

Stalking

Oder aber ein Angreifer geht gezielter vor: Wer bei einer Eintrittskontrolle den Covid-Status einer Person überprüft, könnte dabei auch gleich ein Foto machen und so in der Folge nach Belieben immer wieder abfragen, wie es denn mit der Gesundheit dieser Person aussieht. Dies eröffne Stalking sowie Erpressung Tür und Tor, warnt Epicenter Works, etwa weil man durch regelmäßige Abfragen Rückschlüsse auf eine Long-Covid-Erkrankung ziehen könnte.

Betont sei dabei, dass die von den Datenschützern veröffentlichten Grafiken nahelegen, dass die Überprüfung via E-Card nur ein Weg für die Eintrittskontrollen sein soll – aber nicht der einzige. Parallel dazu soll es auch möglich sein, einen QR-Code zu nutzen, der etwa von den Teststraßen oder auch dem E-Impfpass geliefert werden soll. Dies allerdings nur vorübergehend, ab dem 4. Juni soll dann auf das EU-weite, einheitliche QR-Code-System gewechselt werden. All das ändert aber nur an einem Teil der erwähnten Probleme etwas, da die grundlegenden Defizite durch die Nutzung der E-Card als Teil des Systems bestehen bleiben.

Zentraler Ansatz als Problem

Und auch für eine weitere Problematik macht dies wenig Unterschied: Die Verwendung eines zentralen Servers zur Abfrage des Covid-Status eröffne die Möglichkeit, dass hier exakt mitprotokolliert werden könnte, wer wann und wo Einlass begehrt. Theoretisch wäre es also möglich, in einem gewissen Maß Bewegungsprofile über die Nutzer zu erstellen. Nun wollen die Datenschützer den Betreibern solche Absichten nicht gleich unterstellen, äußern aber Unverständnis darüber, wie man auf solche Ideen komme. Immerhin hätten in den vergangenen Wochen nicht nur Datenschützer, sondern auch andere Organisationen des öffentlichen Lebens wie Ärztekammer und Wirtschaftskammer mehrfach vor einem zentralen Ansatz gewarnt.

EU-rechtswidrig?

Genau aus diesem Grund verfolgt auch die EU einen dezentralen Ansatz, bei dem die Überprüfung ausschließlich am lokalen Gerät erfolgt. Doch nicht nur das, die Mitgliedsstaaten würden durch einen Beschluss des Europaparlaments von Ende April auch zu einer solch dezentralen Lösung verpflichtet. Damit wäre das aktuelle Konzept für den grünen Pass potenziell EU-rechtswidrig, folgern die Datenschützer.

Angesichts dieser Situation wirft Epicenter Works eine sehr allgemeine Frage auf, nämlich: Wozu das alles eigentlich? Immerhin sei derzeit eine EU-weite Lösung in Entwicklung, die Österreich dann einfach übernehmen könne. Insofern liege der Verdacht nahe, dass man für einen PR-Effekt – um auf der internationalen Bühne als Vorreiter zu gelten – die Sicherheit und Privatsphäre vernachlässige. Das System in der Form, wie es derzeit geplant ist, noch im Mai oder Juni zu starten wäre jedenfalls grob fahrlässig. Insofern hoffen die Datenschützer, dass man mit den eigenen Warnungen noch ein Umdenken herbeiführen könne, damit die erwähnten Schwachstellen ausgeräumt oder gleich ganz auf Alleingänge verzichtet wird.

Keine Reaktion

Eine offizielle Stellungnahme des Gesundheitsministeriums oder der Sozialversicherungen – deren IT-Abteilung laut den Folien mit der Implementation betraut ist – gibt es bislang nicht, oder zumindest keine, in der auf die konkreten Punkte eingegangen wird. So hieß es gegenüber der "ZiB 2" nur kurz, dass sich das Projekt derzeit noch im Entwicklungsstatus befinde und man natürlich "höchste Sicherheits- und Datenschutzstandards" einhalte. (Andreas Proschofsky, 7.5.2021)