Hallo zusammen,
diese Woche war ich abends mit einem Freund unterwegs und unsere digitalen Impfzeritifkate wurden an den Eingängen von Restaurants und Bars kontrolliert. So weit, so gut - eigentlich waren wir froh darüber, dass die Barcodes gescannt wurden. Später bat mich mein Kumpel, da sich sein Akku langsam gen Ende neigte, noch schnell sein Zertifikat mit der CovPass-App zu scannen, damit ich es im Notfall vorzeigen kann.
Beim Hören der Lage vom 17.11.21 fiel mir auf, dass Philipp und Ulf wiedermals darauf hinwiesen, dass die Kontrolle der digitalen Impfzertifikate mithilfe der CovPass-App ganz einfach möglich sei. Also suchte ich in der App nach einer Funktion, mit der das Zeritifikat gescannt werden kann, um es nur zu kontrollieren ohne es jedoch zu speichern. Als ich merkte, dass dies nicht möglich ist, stellte ich nach kurzer Recherche fest, dass es für genau diese Funktion noch die CovPass-Check-App gibt.
Nun zu meinem Kritikpunk: In meinen Augen stellt diese Funktionsweise von CovPass- und CovPass-Check-App ein massives Datenleck dar. Zwar ist das Zertifikat nur unter Vorlage eines entsprechenden Ausweises gültig, allerdings ist für den Kontrollierten nicht einsehbar, ob das Gegenüber die CovPass-Check-App oder die CovPass-App verwendet und somit das eigene Zertifikat nicht nur auf Echtheit kontrolliert, sondern ggf. anschließend auf dem Handy hat. Die in den beiden Apps verwendeten Barcodescanner sehen exakt identisch aus. Da sogar von offizieller Seite aus (und auch in der CovPass-App selbst) eindringlich davor gewarnt wird, das Zertifikat an fremde Personen zu verschicken oder bei der Kontrolle die sensiblen Daten vorzuzeigen, sehe ich es als überaus kritisch, wenn man so leicht an die Daten der Impfzertifikate gelangen kann. Darüber hinaus ist es mit den sensiblen Daten sehr einfach ein gefälschtes Zertifikat auszustellen, da neben den persönlichen Daten auch Daten über die Impfung wie Impfdatum und Zertifikaterkennung gestohlen werden können.
War euch bewusst, wie CovPass-App und -Check-App funktionieren? Wie seht ihr das?
Welchen Teil des Zertifikats sollte man dann ausdrucken? Ein gedruckter QR-Code würde das Problem ja nicht lösen…
Zu der Perso-Problematik: Ich habe absolut nichts dagegen meinen Personalausweis bei der Kontrolle vorzuzeigen. Allerdings sehe ich das Problem darin, dass jemand mit einem vollständigen, fremden Impfzertifikat auf dem Handy dieses extrem leicht abändern kann und sich somit ein gut gefälschtes Zertifikat erzeugen kann.
Außerdem finde ich die Konsequenz, dass ab jetzt jeder den Impfnachweis nur noch in gedruckter/analoger Form mit sich führt absurd. Genau dafür wurden die Apps ja entwickelt und prinzipiell bin ich auch großer Befürworter. Ich finde allerdings, dass die Umsetzung an dieser Stelle sehr löchrig ist, was den Datenschutz betrifft, und so lange ich nicht 100% nachvollziehen kann, ob mein Zertifikat nur auf Gültigkeit geprüft wird oder danach auf einem fremden Handy gespeichert ist, wird immer ein etwas ungutes Gefühl bleiben.
Das ganze Konzept der Kontrolle basiert auf der Idee, dass sowohl der QR-Code gescannt wird, als auch die so ermittelten Daten mit dem Personalausweis abgeglichen werden. Bei korrekter Kontrolle nützt also ein „gestohlenes“ Zertifikat nichts. Insofern stellt die Funktionalität der beiden Apps kein Datenleck dar.
Erst die mangelnde Aufklärung über die korrekte Vorgehensweise und somit die allenfalls symbolischen Kontrollen stellen ein Problem dar.
Nebenbei, in einer perfekten Welt würde die Kontrolle nicht über eine optische Schnittstelle laufen, sondern über Bluetooth oder NFC o.ä. Dann wäre auch die Authentifizierung der kontrollierenden App möglich. Aber soweit sind wir noch lange nicht. Auch bei der berüchtigten ID-Wallet wurde beispielsweise nur die Authentifizierung der kontrollierten Person bedacht, nicht aber die der kontrollierenden Stelle. Und da wäre das eigentlich problemlos umsetzbar gewesen.
Das ist schlicht unmöglich. Man kann durch Manipulation kein Zertifikat so ändern, dass es anschließend von der Check-App als gültig akzeptiert wird. Also hat der Dieb entweder dein gültiges Zertifikat oder ein manipuliertes ungültiges Zertifikat. Beides fällt bei korrekter Kontrolle auf. Und eine korrekte Kontrolle besteht immer aus Scan mit der Check-App und anschließendem Abgleich der gescannten Informationen mit dem Personalausweis. Alles andere ist nur Kontrolltheater.
Den QR-Code auch auf Papier griffbereit zu haben löst zumindest das Problem, dass du möglicherweise mal ohne funktionierendes Handy dastehst. Das ist ja exakt das gleiche Muster, das auch dein Handy präsentiert. Der Check-App ist es letztlich egal, ob sie ein Handydisplay oder Papier abfotografiert.
Der Punkt mit der Authentifizierung der kontrollierenden App gefällt mir. Leider ist die perfekte, korrekte Anwendung in meinen Augen Teil einer sehr idealisierten und theoretischen Welt, da wir insbesondere hier in Deutschland sehr nachlässig und schlampig sind, was die korrekte Kontrolle der Zertifikate betrifft.
Wenn man jetzt Mal von einer ausführlichen Kontrolle, d.h. entsprechender Prüfung des Ausweises, die überall umgesetzt wird, ausgeht, bleibt immer noch das Problem, dass die eigenen Daten schnell in fremde Handy gelangen. Möglichweise kann das Zertifikat dann zwar nicht mehr gefälscht werden und Fremde können sich mit dem eigenen Zertifikat keinen Zutritt zu Gaststätten, Veranstaltungen o.Ä. verschaffen, allerdings sind diese Leute dann trotzdem in Besitz der eigenen Daten. Und da ja immer wieder gemahnt wird, vorsichtig mit den Impfdaten und den persönlichen Daten umzugehen, muss es doch auch dafür eine bessere Lösung geben, als darauf zu vertrauen, dass das eigene Zertifikat mit der richtigen App gescannt wird.
In Logbuch Netzpolitik wurde der schöne Fall aufgezeigt, dass ein Barinhaber die Eingangskontrolle mit der CovPass-App durchgeführt hat. Er hatte danach eine ordentliche Sammlung an QR-Codes…
Die Namensgebung ist da echt verwirrend und Fehler sind vorprogrammiert. Man hätte ja einfach bei der CWA noch eine Checkfunktion einbauen können. Aber da hatte man zu viel Angst, dass die wegen Angst vor Datenklau/Überwachung nicht genutzt wird.
Also eigentlich bleibt es ganz einfach. Und es wird derzeit hier auch so gehandbat.
CovPassCheckApp = Anzeige von OK, Name und Geb-Datum.
Vergleich mit Perso. Fertig.
Kleiner Nachtrag: Dass das System CovPass-App mit entsprechender Check-App und Kontrolle des Personalausweises bei korrekter Anwendung viel Potential bietet, steht für mich außer Frage. Da stimmt ich vollkommen zu. Ich versuche lediglich herauszufinden, welche Möglichkeiten Betrüger bei bewusst und auch unbewusst falscher Anwendung der Apps haben und was das für Konsequenzen für den Zertifikatinhaber nach sich zieht.
Das ist mir schon klar; soweit zur Theorie und an sich bin ich definitiv dafür, dass es so gehandhabt wird.
Das Fälschen gültiger Zertifikate scheint ja augenscheinlich nicht möglich zu sein, selbst wenn man im Besitz eines oder mehrerer echter Zertifikate ist. Es scheint allerdings auch keine 100% sichere Lösung dafür zu geben, dass solche Fälle wie von FlorianR beschrieben, ausgeschlossen werden können.
In der letzten Folge Logbuch Netzpolikit LNP413 wurde das ganze Thema sehr schön zusammengefasst:
Zum einen, dass die aktuelle Politik dazu führt, dass keine Anreize bestehen sich impfen zu lassen, sondern nur Bestrafungen. Das führt zu Widerstand und dazu, dass nicht nur der Druck sich impfen zu lassen größer wird, sondern der Druck ein Impfzertifikat zu besitzen.
Eine digitale Fälschung ist mit sehr hohen Hürden verbunden und hat deshalb bisher höchstwahrscheinlich nicht stattgefunden. Entweder werden die gelben Impfpässe gefälscht oder jemand, der einen gültigen Schlüssel hat, um Zertifikate auszustellen, stellt gefälschte Zertifikate aus. Das Problem dabei: Ein solches falsches Zertifikat ist nicht von einem echten zu unterscheiden.