Die Nachricht, dass offenbar Codes zur Erstellung grüner Pässe gestohlen wurden und nun im Netz kursieren, hat europäische und nationale Behörden am Mittwoch in Aufruhr versetzt. Wie die italienische Nachrichtenagentur Ansa berichtete, seien zwei definitiv gefälschte grüne Pässe aufgetaucht, die auf den Namen Adolf Hitler lauten und mit unterschiedlichen Geburtsdaten ausgestellt sind. Beide weisen QR-Codes auf, die von der Prüfsoftware als gültig bestätigt wurden.

Ursprung in Polen vermutet

Dem Medienbericht zufolge soll ein Code aus Polen gestohlen worden sein, der auf nationaler Ebene für die Zertifizierung bürgt und damit die Echtheit der grünen Pässe bestätigt. Sollte sich der Verdacht erhärten, hätte das weitreichende Konsequenzen. Dann muss das jeweilige Land – in dem Fall Polen – alle bisher mit dem Schlüssel ausgestellten grünen Pässe widerrufen und neu ausstellen.

"In der Praxis würde das bedeuten, dass Geimpfte oder Genesene einen neuen QR-Code benötigen und sich über diesen einen neuen grünen Pass erstellen müssen", erklärt Otmar Lendl von der österreichischen IT-Sicherheitsstelle CERT.at im Gespräch mit dem STANDARD. Die EU vergibt diese Codes auf nationaler Basis, wo sie wiederum in den länderspezifischen Lösungen verwendet werden.

Glück im Unglück für Österreich und andere Länder: Ist ein in Polen verwendeter Schlüssel betroffen, hat das etwa für den österreichischen grünen Pass keine Konsequenzen. Eine Anfrage beim Bundesrechenzentrum beziehungsweise dem zuständigen Gesundheitsministerium ergab, dass die österreichische Lösung von dem aktuellen Vorfall nicht betroffen sei. Eine eingehende Analyse laufe aber noch, teilte das Ministerium mit. Auch andere Länder waren am Mittwoch damit beschäftigt, ihre Systeme zu prüfen.

Lokales Datenleck ebenfalls möglich

Lendl zufolge ist es theoretisch denkbar, dass einer dieser nationalen Schlüssel gestohlen oder mittels viel Rechenleistung geknackt werden konnte. Wahrscheinlicher sei allerdings, dass nicht der Code selbst betroffen sei, sondern eine der tausenden Schnittstellen zwischen Arztpraxen, Apotheken oder Impfzentren mit dem zentralen System kompromittiert wurde.

"Möglich wäre etwa, dass in einer Arztpraxis eine Schadsoftware eingeschleust wurde, welche die Übermittlung von Impfdaten manipuliert, um scheinbar gültige Impfzertifikate zu erstellen", sagt Lendl. "Wenn eine derartige Schwachstelle lokal ausgenutzt wurde, wäre das Problem aber überschaubar. Dann sind zwar einige gefälschte grüne Pässe im Umlauf, man müsste aber nicht zahllose QR-Codes neu ausstellen", ist der Sicherheitsforscher überzeugt.

Datenschutz erschwert Deaktivierung

Die hohen Datenschutzanforderungen an den grünen Pass machen den Kampf gegen derartige Fälschungen zudem nicht einfacher. Lendl zufolge habe man auf eine offline-basierte Lösung gesetzt. Indem der grüne Pass nicht online an ein zentrales System angebunden ist, bleiben die Bewegungsdaten beziehungsweise der Aufenthaltsort von Bürgern geschützt. Gleichzeitig kann man dadurch aber auch nicht einzelne grüne Pässe inaktiv schalten, von denen man weiß, dass sie gefälscht sind.

Ob ein Land wie Polen im großen Stil grüne Pässe neu ausstellen muss, wird sich erst zeigen. Ist das Problem durch die Kompromittierung einer Schnittstelle lokal und auch zahlenmäßig begrenzt, sieht der Sicherheitsforscher wenig akuten Handlungsbedarf. "Solange die bestehenden grünen Pässe in der Praxis kaum mittels der dafür vorgesehenen Check-App überprüft und auch die Personaldaten selten abgeglichen werden, sind ein paar gefälschte Pässe definitiv das kleinere Problem", sagt Lendl. (Martin Stepanek, 27.10.2021)