Sie kennen das sicher: Angesichts der Covid-19-Pandemie ist es mittlerweile zur Routine geworden, dass beim Betreten eines Lokals vorab der grüne Pass kontrolliert wird. Dabei wird der zugehörige QR-Code am Handy oder auch auf Papier vorgelegt, das Gegenüber scannt diesen dann mithilfe der Greencheck-App ein und lässt sich zum Abgleich der Identität einen Ausweis zeigen. Das war es dann auch schon, ein paar Sekunden später wird der Einlass gewährt.

Wie jetzt? Sie meinen, das ist Ihnen noch nie passiert? Das ist unerfreulich, kommt aber – um wieder ernst zu werden – nicht ganz überraschend. Handelt es sich bei dem oben Beschriebenen doch leider um ein gerade in Österreich meist fiktives Szenario. In der Realität sieht es eher so aus: Die Einlass begehrende Person zeigt am Smartphone irgendetwas vor, was nach einem Dokument samt QR-Code aussieht. Alle Beteiligten tun kurz so als wüssten sie, was sie tun, und geben sich damit zufrieden. Eine ernsthafte Prüfung findet nicht statt.

Dahinter steckt ein handfestes Versagen in der politischen Kommunikation. Da hat man sich auf EU-Ebene ein durchaus smartes System für den grünen Pass überlegt, und dann wird dieses einfach nicht so angewandt, wie es eigentlich gedacht ist.

Warum so kompliziert?

Um die Praxis zu ändern, gilt es zunächst einmal zu verstehen, warum der gesamte Ablauf überhaupt so gewählt wurde. Das zentrale Ziel war es, ein System zu schaffen, das einerseits für die Nutzer möglichst niederschwellig zugänglich ist, das aber auf der anderen Seite auch (so gut es geht) garantiert, dass sich niemand mit dem Impfnachweis fremder Personen Zugang verschaffen kann.

Herausgekommen ist ein digital signierter QR-Code, in dem alle Informationen zu Impfungen, Tests oder auch Genesung zu finden sind, der parallel aber auch Namen und Geburtsdatum der jeweiligen Person enthält. Die Signatur führt nun dazu, dass die zur Überprüfung genutzte App nur dann ihr Okay gibt, wenn der grüne Pass von offiziellen Behörden ausgestellt wurde. Zudem werden beim Einscannen des Codes auch Name und Geburtsdatum angezeigt, um prüfen zu können, dass das Zertifikat tatsächlich zu jener Person gehört, die es vorweist.

Es braucht kein Smartphone

Das Konzept hat einen Vorteil, den man nicht unterschätzen sollte: Der QR-Code kann nach Belieben kopiert werden, er bleibt immer eindeutig einer Person zugeordnet. Das erlaubt, dass man den grünen Pass auch auf einem Stück Papier herumtragen kann und nicht notwendigerweise ein Smartphone braucht – was einen Teil der Bevölkerung ausschließen würde.

Was ist aber nun mit denen, die die offizielle Grüne-Pass-App des Bundesrechenzentrums verwenden? Hier reicht doch sicher ein flüchtiger Blick, oder? Immerhin prüft diese doch selbsttätig die Gültigkeit des Zertifikats und versieht die Anzeige mit einem beruhigenden grünen Rahmen, um klar zu signalisieren, dass alles okay ist? Die Antwort lautet auch hier: Nein, ein Scan muss sein.

Die App prüft zwar prinzipiell, ob ein aktuelles Testzertifikat noch gültig ist. Das stellt aber für noch keinen zuverlässigen Nachweis dar. Das hat mehrere Gründe. Einerseits kann theoretisch jeder den QR-Code – und somit den grünen Pass – einer anderen Person einscannen. Andererseits wäre es auch leicht, einen Klon einer solchen App herzustellen, der immer brav Grün anzeigt – unabhängig davon, ob ein gültiges Zertifikat geliefert wurde. Erst das Einscannen mit der Greencheck-App und der Identitätsnachweis stellen in dieser Hinsicht Sicherheit her.

Überschätzte Lücken

Ist all das eine perfekte Lösung? Nein, natürlich nicht. Es gibt prinzipiell in Sicherheitsfragen kein "perfekt", und das gilt auch hier. Der zentrale Schwachpunkt in diesem Fall ist, dass sich jemand Zugriff auf die für den grünen Pass benutzten Signaturschlüssel verschaffen und so falsche Zertifikate ausstellen könnte. Und natürlich könnte auch ein Arzt schlicht falsche Informationen in die zuständigen Systeme eingeben. All das ist auch bereits passiert.

Darüber kann man viel diskutieren – aber in der richtigen Relation. Denn all das ist strafbar, und zwar für sämtliche Beteiligte. Wer sich auf so etwas einlässt, sollte sich also dann nicht über unerfreuliche Konsequenzen wundern. So ist etwa erst unlängst in Italien eine Fälscherbande aufgeflogen, mittlerweile wurde auch ein Teil jener, die sich auf diesem Weg ein falsches Zertifikat erkauft haben, ausgeforscht. Ganz abgesehen davon, dass die meisten Angebote von gefälschten Impfzertifikaten im Netz ohnehin plumpe Abzocke sind, bei denen die Interessenten nie eine Leistung für ihr Geld sehen, wie eine aktuelle Untersuchung zeigt.

Was als weitere "Lücke" in dem System bleibt, ist die Möglichkeit, einfach einen Impfpass statt des QR-Codes vorzuweisen. Ob das auf lange Sicht eine gute Idee ist, wäre zu diskutieren, gleichzeitig sind auch hier jegliche Fälschungen strafbar.

Scannt doch endlich!

Mit dem grünen Pass gibt es also ein durchaus wohl durchdachtes System, um die Zutritte, die im Zuge der Covid-19-Pandemie nur eingeschränkt möglich sind, einfach und zuverlässig zu kontrollieren. Jetzt muss es "nur" mehr konsequent durchgesetzt werden. Und das heißt eben: Scannt endlich die QR-Codes. Bitte! (Andreas Proschofsky, 16.12.2021)