Die Meldung, dass möglicherweise nationale Schlüssel zum Erstellen von grünen Pässen entwendet wurden und im Netz kursieren, hält nationale und europäische Behörden seit Tagen auf Trab. Der Verdacht kam auf, nachdem zumindest zwei gefälschte grüne Pässe im Netz kursiert waren, die auf den Namen Adolf Hitler lauteten und von der offiziellen Prüfsoftware als gültig gewertet wurden. Auch Systeme, über die der Impf- beziehungsweise Covid-19-Status gemeldet und in weiterer Folge grüne Pässe ausgestellt werden können, standen unter Verdacht.

Schleißige Implementierung der EU-Software

Im Laufe der vergangenen Stunden verdichteten sich die Hinweise, dass nicht, wie zuerst befürchtet, nationale Schlüssel entwendet oder geknackt wurden. Vielmehr dürfte das Problem bei einigen schlampig implementierten Schnittstellen liegen. Einem Webentwickler zufolge deutet einiges darauf hin, dass etwa Nordmazedonien die von der EU bereitgestellte Software-Vorlage zum Erstellen von grünen Pässen übernahm, aber die voreingestellten Passworteinstellungen nicht änderte.

Bei der Schnittstelle handelt es sich um eine offene Lösung, die frei im Internet zugänglich ist und so Staaten helfen sollte, den grünen Pass schnell, standardisiert und sicher auf nationaler Ebene zu implementieren. Während das in der überwiegenden Zahl der EU-Länder wie etwa auch in Österreich geschah, dürfte die Implementierung nicht überall perfekt abgewickelt worden sein. Nordmazedonien hatte sich wie einige andere Nicht-EU-Staaten der EU-Lösung des grünen Passes angeschlossen. Betroffen sollen aber auch einzelne Zertifikate aus Polen und Frankreich sein.

Österreich koordiniert sich mit EU

Was nun mit den grünen Pässen passiert, die etwa über die nordmazedonischen Server ausgestellt wurden, war auch am Freitag noch unklar. Ersten Berichten zufolge sollen diese von der Prüfsoftware als ungültig erkannt werden. Eine offizielle Stellungnahme der EU, ob und wie viele der nordmazedonischen grünen Pässe neu ausgestellt werden müssen, ist derzeit aber noch ausständig.

In der Praxis würde das bedeuten, dass die betroffenen nordmazedonischen Zertifikate etwa von der in Österreich verwendeten Green Check App nicht mehr akzeptiert würden. Im Gesundheitsministerium verwies man diesbezüglich auf die sofort eingerichtete EU-Arbeitsgruppe zu den Vorfällen. "Wir werden hier sicherlich keinen Alleingang machen, sondern uns auf europäischer Ebene koordinieren", teilte ein Sprecher auf STANDARD-Nachfrage mit.

Auch hinsichtlich der genauen Umstände in Frankreich und Polen bleiben einige Fragen offen. Gesichert dürfte mittlerweile aber sein, dass die Probleme dort auf Gesundheitsdiensteanbieter zurückzuführen sind. Entweder wurden Zugangsdaten entwendet oder die dortigen Systeme von Unbenutzten missbraucht. Wie viele gefälschte Zertifikate in Polen und Frankreich in Umlauf gebracht wurden, ist laut Auskunft des Gesundheitsministeriums nicht bekannt.

Nach wie vor ausgeschlossen werden könne allerdings, dass österreichische Zertifikate gefälscht und in Umlauf gebracht worden seien. Der private nationale Schlüssel werde in Österreich von zentraler Stelle im Bundesrechenzentrum sicher verwahrt und sei externen Personen nicht zugänglich. "Der Schutz des Private-Key unterliegt umfangreichen Sicherheitsmaßnahmen, die laufend erneuert werden. Ein Export des Schlüssels aus dem österreichischen System ist aus technischer Sicht nicht möglich", sagte der Sprecher.

EU-Kommission verurteilt Manipulationen

Hinter den Kulissen arbeitet die EU-Kommission daran, die gefälschten grünen Pässe schnell aus dem Verkehr zu ziehen beziehungsweise diese als ungültig in den Prüf-Apps zu hinterlegen. "Wir verurteilen die vermutlich betrügerischen Manipulationen von QR-Codes für Covid-Zertifikate auf das Schärfste. Die zuständigen Behörden gehen dem Vorfall nach und treffen entsprechende Vorkehrungen", teilte ein Kommissionssprecher im Gespräch mit dem STANDARD mit.

Erste gefälschte Zertifikate – diese betreffen Frankreich und Polen – sind laut EU-Kommission bereits für ungültig erklärt worden. Darüber hinaus arbeite man zusammen mit den Mitgliedsstaaten daran, die Systeme für die Annullierung und den Widerruf von Zertifikaten zu verbessern, um auf solche Fälle noch schneller reagieren zu können.

Fehlende Überprüfung als Problem

Die schlampige Umsetzung von Schnittstellen und wie gefälschte grüne Pässe im System für ungültig erklärt werden können, ist die eine Sache. Die andere ist, wie und ob das Ganze kontrolliert wird. In Österreich wird mittlerweile vielerorts zwar überprüft, ob sich der grüne Pass am Handy befindet. Ein Abgleich mittels der Prüf-App Green Check, ob das Zertifikat auch tatsächlich gültig ist, findet erfahrungsgemäß aber äußerst selten statt.

"Durch die frei verfügbare EU-Schnittstelle kann man sich mit entsprechendem Programmierwissen relativ leicht einen gefälschten, ungültigen grünen Pass basteln. Wird das Zertifikat beim Eintritt in Restaurants oder bei Veranstaltungen per Prüf-App aber nicht auf die Gültigkeit überprüft, fliegt die Manipulation im Normalfall nicht auf", erklärt Sicherheitsexperte Otmar Lendl vom österreichischen CERT.

Warum die Green Check App nicht standardmäßig überall verwendet werde, erschließe sich ihm nicht. "Die App ist einfach und trivial zu verwenden und kann mit einem Klick aufs Handy heruntergeladen werden", sagt Lendl. Auch im Gesundheitsministerium drängt man darauf, die Prüfsoftware für die Kontrolle von Nachweisen zu verwenden. (Martin Stepanek, 29.10.2021)