Der sogenannte grüne Pass ist in aller Munde. Die letztlich EU-weit geplanten, digitalen Zertifikate sollen eine einfach zugängliche und über das Smartphone mitführbare Ausweismöglichkeit für gegen das Covid-19 geimpfte, kürzlich auf eine akute Corona-Infektion getestete oder von einer Covid-Erkrankung genesene Personen bieten und ein wichtiger Teil bei der Wiederherstellung der Reisefreiheit werden.

In Österreich verzögerte sich die Einführung dieser Lösung jedoch zuletzt erneut. Unbekannte versuchen nun, mit einem "Alternativangebot" namens "Corona Green Pass Austria" zu punkten, das sich offenbar an Menschen richtet, die sich weder impfen noch testen lassen wollen.

Ursprünglich hatte die Watchlist Internet vor dem Tool gewarnt, für das via Whatsapp und auch per Facebook-Anzeigen Aufmerksamkeit geschürt wurde. Auch behördliche Stellen, darunter das Gesundheitsministerium und die Landeswarnzentrale Vorarlberg, haben die Warnung seither aufgegriffen. Es gibt gleich mehrere Aspekte, warum man von der Verwendung Abstand nehmen sollte.

Web-App mit QR-Generator

Bei Corona Green Pass Austria handelt es sich um eine – mittlerweile anscheinend vom Netz genommene – Web-App, die versucht, sich als legales Werkzeug auszugeben. Sie erfordert keine Installation auf einem Smartphone, sondern kann direkt im Browser verwendet werden. Nach Eingabe von Name, Nachname, Sozialversicherungsnummer sowie einem Datum für den angeblichen negativen Test, die Impfung oder die Genesung generiert sie einen QR-Code. Dieser enthält einen Link.

Wer ihm folgt, landet auf der gleichen Domain, unter der die App lief, wo anhand der im Link enthaltenen Informationen ein Zertifikat generiert wird, in dem die zuvor vom Nutzer eingegebenen Daten stehen. Gedacht ist dies sehr offensichtlich, um sich so etwa Zutritt zu Restaurants oder Events zu verschaffen, ohne tatsächlich geimpft, getestet oder genesen zu sein.

Urkundenfälschung

Dass das für die Eintrittskontrolle zuständige Personal sich so austricksen lässt, ist durchaus denkbar, denn derzeit existiert in Österreich noch kein einheitliches Zertifikat. So sehen etwa die Testbescheinigungen aus Teststationen, die Befunde der PCR-Tests von Alles gurgelt oder die Bescheinigungen für selbst durchgeführte Schnelltests in den einzelnen Bundesländern unterschiedlich aus.

Erst ein Blick auf die aufgerufene Adresse kann verraten, ob es sich um ein offizielles Zertifikat handelt. Denn diese finden sich bei allen Angeboten der Länder auf Seiten mit der behördlichen Domain-Endung ".gv.at", sofern sie nicht ausschließlich als PDF angeboten werden. Zudem zeigen sie in der Regel auch an, ob ein Zertifikat noch gültig ist.

Die Verwendung von Corona Green Pass Austria ist allein schon aus Gründen der Privatsphäre heikel, zumal die Eingabe der Sozialversicherungsnummer vorgesehen ist. Die über diese App erstellten Zertifikate sind natürlich auch nicht gültig. Zudem, so warnt die Watchlist Internet, kann die Verwendung der damit generierten Bescheinigung den Tatbestand der Urkundenfälschung erfüllen. Im Falle einer Anzeige kann dies eine hohe Geldstrafe und in schweren Fällen auch bis zu eine Jahr Haft nach sich ziehen.

Die Umsetzung einer Web-App dieser Art ist technisch simpel. Dementsprechend wäre es nicht überraschend, wenn in Zukunft weitere Tools dieser Art auftauchen, mit denen versucht wird, Eintrittskontrollen zu umgehen. (gpi, 1.6.2021)