Digitaler Impfpass: Ein Fest für Fälscher

Der Druck auf Ungeimpfte wird immer größer. Die einen geben nach und lassen sich vakzinieren. Andere fälschen. Das ist leicht und praktisch risikofrei. Dafür hat die Bundesregierung gesorgt. 

Letztens bei IKEA – Sie erinnern sich – erlebte ich zum ersten Mal den digitalen Impfpass im realen Kampfeinsatz. Die kleine Frau und ich warteten auf die Ergebnisse unserer Schnelltests. Deshalb hingen wir ein Weilchen am Eingang zur Schwedenkantine ab. Dort prüfte eine Hilfskraft in neongelber Warnweste Zugangsberechtigungen. Die Verkleidung sollte offenbar die Bedeutsamkeit des Vorgangs betonen und dem Prozedere einen offiziellen Touch verleihen.

Es herrschte „3G“. Nur zertifizierte Geimpfte, Genesene oder Getestete durften sich zur Nahrungsaufnahme in den Hochsicherheitstrakt begeben. Trotz des Checkpoints gab es keinen Stau. Fast alle potenziellen Verzehrsteilnehmer hoben lässig ihre Smartphones und präsentierten einen kleinteiligen QR-Code. Nach kurzem Blick auf das Pixelmonster winkte der Zerberus an der Pforte zur Kulinarikhölle jeden durch.

Nach wenigen Minuten Beobachtung wusste ich, hier ist was faul. Etwas stimmt nicht. Oder, wie man in unserer zunehmend irrational geprägten, der Aufklärung zuwiderlaufenden Zeit sagt: Es fühlte sich falsch an. War es auch. Und zwar in vielfacher Hinsicht.

So ziemlich alles ist falsch

Um das zu verstehen, müssen wir uns das „digitale COVID-Zertifikat der EU“, wie es offiziell heißt, etwas genauer ansehen. Die regierungsoffiziellen Versprechen dazu lauten: 1. Der digitale Impfausweis ist fälschungssicher. 2. Der digitale Impfausweis erfüllt die Anforderungen des deutschen Datenschutzes. 3. Der digitale Impfausweis ist EU-weit abgestimmt und gültig. Oder, wie die Bundesbürokraten auf Bundesbürokratisch formulieren, „interoperabel und standardisiert“. Explizit: „Das digitale COVID-Zertifikat der EU ermöglicht ein sicheres Reisen innerhalb der EU auch während der Corona-Pandemie.“

So ziemlich alles daran ist falsch. Zur dritten Verheißung – „sicheres Reisen innerhalb der EU“ – sei zunächst eine praktische Erfahrung aus dem persönlichen Umfeld beigesteuert. Eine enge Freundin, wegen Vorerkrankung frühzeitig geimpft, wollte vor drei Wochen von Mailand zurück nach Berlin fliegen. Sie vertraute dabei auf das digitale Impfzertifikat in ihrem iPhone. Beim Check-in wurde sie jedoch abgewiesen. Der italienische Checker ließ den Pixelsalat nicht gelten.

Auch ein Aufstand am Schalter und die Hinzuziehung des Vorgesetzten halfen nicht weiter. Nach erheblichem Stress schaffte es unsere Freundin in letzter Minute schließlich doch noch in den Flieger. An einem anderen Schalter wurde ihr Handy-Impfnachweis akzeptiert. Kann klappen, muss aber nicht.

Die Lehre aus dem Vorfall: Reisen mit dem digitalen Impfpass kann klappen. Muss aber nicht. Auch andere Berichte legen nahe, sich nicht allein aufs Elektronische zu verlassen. Diverse Nutzer der CovPass-App melden in Apples App-Store, dass das einmal gespeicherte Zertifikat wieder verschwand. Ursache war wohl entweder ein Update oder das Aufheben der Code-Sperre des Telefons. Wer auf Nummer sicher gehen will, führt besser die ausgedruckte Bescheinigung oder den gelben Impfpass zusätzlich mit sich. Oder beides.Zur Beurteilung der weiteren Regierungsversprechen sind ein paar Kenntnisse der Funktionsweise des digitalen COVID-Passes erforderlich. Die Bundesregierung erklärt den Vorgang hier, das RKI hier. Der Workflow ist nicht sonderlich kompliziert.Das Ganze läuft so: Sie haben sich irgendwo impfen lassen. Oder Ihr Hausarzt hat Ihnen eine Bescheinigung ausgestellt, dass Sie „genesen“ sind, obwohl Sie vielleicht nie krank waren, aber einen positiven PCR-Test vorweisen können. Falls dieser älter als sechs Monate ist, benötigen Sie zusätzlich einen Nachweis über eine „Genesenenimpfung“. Oder sie haben sich gerade testen lassen (PCR- oder Schnelltest) und freuen sich über ein negatives Ergebnis. Ihre Daten werden sofort wieder gelöscht. Geimpft, genesen, getestet – alle drei Varianten lassen sich in ein „digitales COVID-Zertifikat der EU“ verwandeln, und zwar in einer Arztpraxis, in einer Apotheke, in einem Impfzentrum oder beim Gesundheitsamt. Der einfachste Weg führt über eine der rund 17.000 Apotheken, die den Konversionsservice anbieten. Dort legen Sie die papierene Bestätigung Ihres aktuellen Seuchenzustandes vor, außerdem Ihren Personalausweis.Die pharmazeutische Fachkraft loggt sich im Apothekencomputer über einen speziellen Zugang beim „Impfzertifikatsservice“ des Robert-Koch-Instituts ein. In einer schlichten Eingabemaske mit wenigen Formularfeldern werden ein paar Basisdaten erfasst. Im Fall einer Impfung sind das Name, Geburtsdatum, Impfstoff, Impfdatum und Impfdosis (= Erst- oder Zweitimpfung). Nicht mehr. Nach Klick auf „Erfassen“ erzeugt das System ein DIN-A4-Dokument zum Ausdrucken (Ablauf und Abbildungen siehe hier). Anschließend werden Ihre Daten beim RKI automatisch wieder gelöscht.Die ausgedruckte Seite enthält neben diversen allgemeinen Hinweisen und den genannten Basisdaten ein quadratisches Feld, das aussieht wie das nächtliche Schwarzweiß-Rauschen eines Röhrenfernsehers in den Siebzigern. Sie wissen schon, damals, als angeblich alles besser war und es bei den drei zur Auswahl stehenden TV-Anstalten noch Sendeschluss gab. Eine prima App, im Prinzip. Das Quadrat mit dem Augenpulver ist der sogenannte QR-Code, der „Quick Response“ verspricht und den Sie mit der Kamera Ihres Smartphones erfassen können. Müssen Sie aber nicht, denn der Ausdruck, den Sie in Händen halten, ist bereits das „digitale COVID-Zertifikat der EU“, auch wenn sich das Blatt ganz und gar nicht digital, sondern ausgesprochen analog anfühlt. Um das Zertifikat in Ihr Apple-iPhone oder Ihre Huawei-Spydrone zu importieren, laden Sie zum Beispiel die speziell dafür vorgesehene, regierungsoffizielle App CovPass aufs Handy (hier, hier oder hier). Diese App verspricht nicht viel, verlangt noch weniger und kann fast nichts. Kurz, sie ist ein Segen. Sie müssen sich nicht registrieren, nicht einloggen und nicht tausend Einstellungen vornehmen oder beachten. Eine prima App, im Prinzip.Nach Öffnen der App und Überspringen einiger Blabla-Erläuterungen halten Sie die Kamera über den QR-Code. Simsalabim, die wenigen Daten Ihres COVID-Zertifikats sind im Telefon. Wenn Sie die App das nächste Mal aufrufen, sieht das ungefähr so aus. Ihr Name und Ihr Seuchenstatus – geimpft, genesen oder getestet – sind sichtbar und überprüfbar. Zum Beispiel durch einen IKEA-Kontrolletti. Die Prüfung: Theorie und PraxisDie Prüfung Ihres Zertifikats erfolgt in zwei Schritten: Erstens, Check der Gültigkeit. Der Torwächter (einer Veranstaltung, eines Restaurants, einer Fluglinie etc.) scannt mit seinem Handy den QR-Code auf Ihrem Handy. Zu diesem Zweck hat sich der Torwächter die frei verfügbare App CovPassCheck der Bundesregierung heruntergeladen. Diese App entschlüsselt Ihren QR-Code und wirft drei Informationen aus: Ihren COVID-Zustand (geimpft, genesen oder getestet), Ihren Namen und Ihr Geburtsdatum. Zweitens, Check der Identität. Nachdem der je nach aktueller Regierungswillkür für einen bestimmten Zugang benötigte Seuchenstatus verifiziert ist, muss der Torwächter prüfen, ob der Status auch wirklich Ihrer ist. Dazu gleicht er Ihren Namen und Ihr Geburtsdatum mit einem Ihrer Ausweisdokumente ab, zum Beispiel mit Personalausweis oder Reisepass.So weit die Theorie. Die Praxis sieht anders aus. Bei der Wichtig-wichtig-Kontrolle am abgekordelten IKEA-Fressbereich warf die laufende Warnweste einen Blick auf die Smartphones. Sonst nichts. Das war’s. Weder Gültigkeit des Zertifikats noch die Identitäten der Vorzeiger wurden geprüft. Bei drei, vier anderen 3G-Einlasskontrollen, die ich mittlerweile beobachten konnte, lief es genauso. Kein Scan mit der CovPassCheck-App, kein Ausweisabgleich. Gültiger QR-Code? Zehn Minuten googeln. Die vermeintlich strenge IKEA-Prüfung war also keine, sondern nur Spaß. Besser gesagt, ein Witz, aber einer der unfreiwilligen Art. Ebenso gut hätte der Torwächter fragen können: „Sind Se jeimpft, jenesen oder jetestet?“ – Antwort: „Klaro, läuft bei mir.“ – „Na, denn ma rin in die jute Stube!“ Das ist nicht übertrieben. Jeder kann sich in wenigen Minuten einen gültigen, funktionierenden Pixelhaufen aufs Handy schaffen.Dazu müssen Sie kein Hacker sein. Sie benötigen überhaupt weder IT-Kenntnisse noch Photoshop-Fertigkeiten. Es geht viel einfacher. Entweder Sie scannen mit der CovPass-App den Impf- oder Genesenen-Code von Mama, Opa, Freundin oder Kumpel. Ein digitales COVID-Zertifikat lässt sich nämlich beliebig oft und in beliebig vielen Handys speichern. Nur das Geschlecht sollte mit Ihrem übereinstimmen. Wenn Sie Vollbart tragen und laut Zertifikat Sibylle heißen, könnte es sogar bei einer Sicht-„Kontrolle“ à la IKEA problematisch werden.Oder Sie fischen einen funktionierenden Code aus dem Internet. Ich habe es ausprobiert, zwecks Proof of Concept. Die Begriffe „digitales Impfzertifikat“ gegoogelt, dann bei den Ergebnissen die Rubrik „Bilder“ angeklickt. Anschließend habe ich auf meinem Laptop-Bildschirm die Fotos, die einen QR-Code enthielten, per CovPassCheck-App auf dem Handy gescannt. Nach nicht einmal zehn Minuten hatte ich den ersten Treffer: „Zertifikat gültig. Genesenen- oder Impfzertifikat liegt vor. Matthias Wxxxxx Sxxxx. Geboren am 19XX-XX-XX.“Zertifikat via Fotoagentur verbreitetDie „X“e habe ich eingefügt, weil ich Herrn S. nicht bloßstellen will. Es geht hier schließlich nicht um ihn, sondern ums Prinzip. Nebenbei und unter uns: Die gefundene Abbildung mit gültigem Code ist kein Privatfoto, sondern ein via Fotoagentur verbreitetes Bild, zu sehen über einem redaktionellen Beitrag auf einer Webseite mit großer Reichweite. Ich vermute, wer in sozialen Medien sucht, wird noch schneller fündig. Anschließend habe ich den Code von Herrn S. zu Testzwecken mit der CovPass-App gescannt. Zack, in Nullkommanichts hatte ich sein vollständiges Impfzertifikat auf dem iPhone. Nun weiß ich auch, dass Herr S. Anfang Juni mit Biontech zweitgeimpft wurde. Weitere 90 Sekunden googeln ergaben Wohnort, Beruf, Adresse, Privatfotos und vieles mehr. Aber das war nur Kür und tut hier nichts zur Sache.Mit dem digitalen Impfzertifikat von Herrn S. wäre ich sogar durch die IKEA-Kontrolle gekommen, wenn der Torwächter wenigstens Schritt eins der Verifikation durchgeführt hätte. Ein Scan „meines“ QR-Codes per CovPassCheck-App hätte als zusätzliche Information nur das Geburtsdatum von Herrn S. ausgeworfen. Er ist etwas älter als ich. Aber wer traut sich schon eine zuverlässige Altersschätzung im Bereich von plusminus fünf Jahren zu?

Zeigen Sie Ihre Wertschätzung! via Direktüberweisung

Quelle

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

%d Bloggern gefällt das: