Digitale Corona-Impfzertifikate: Was bisher falsch lief

Das Apotheker-Impfzertifikate-Portal unterwandert, die Corona-Warn-App zeigt Beispielzertifikate als gültig an. Eine Analyse des EU-weiten Projektes.

Lesezeit: 9 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 158 Beiträge
Person mit Reisepass und digitalem Impfnachweis in einer Smartphone-App wartet auf dem Flughafen.

(Bild: Shutterstock.com/ronstik)

Von
  • Gerald Himmelein
Inhaltsverzeichnis

Der vom Bundesgesundheitsministerium (BMG) hastig auf die Beine gestellte digitale Impfnachweis ist ins Gerede gekommen. Schnell aufeinanderfolgende Hiobsbotschaften verunsichern – gibt es jetzt ernsthafte Probleme mit den Zertifikaten oder nicht?

Mitte Juli wurde erstmals berichtet, dass im digitalen Untergrund mit digitalen EU-Impfzertifikaten gehandelt wird. Schon im Mai war bekannt geworden, dass ein Schwarzmarkt für gefälschte Impfpässe existiert. Dann bewiesen zwei Sicherheitsforscher gravierende Lücken beim Apotheker-Portal zur Ausstellung von Impf- und Genesenenzertifikaten – eine mögliche Quelle für die illegal ausgestellten Zertifikate.

Daraufhin nahmen die Betreiber das Portal vom Netz und setzten einen neuen Server innerhalb der Telematikinfrastruktur auf, was zu neuen Problemen führte. Es gibt Security-Experten, die inzwischen schon das gesamte System infrage stellen.

Als in einschlägigen Messenger-Kanälen digitale Impfzertifikate zum Kauf angeboten wurden, fiel der Verdacht schnell auf das Portal, mit dem deutsche Apotheken ihre digitalen Impfzertifikate ausstellen.

Der Server wird vom Deutschen Apothekerverband (DAV) betrieben und sollte zunächst nur Verbandsmitglieder bedienen. Auf Druck des BMG richtete der DAV sogenannte Gastzugänge für Nichtmitglieder ein, für die sich Apotheken bewerben mussten.

Die Sicherheitsforscher Martin Tschirsich und Dr. André Zilch konnten nachweisen, dass der DAV diese Bewerbungen ohne ausreichende Prüfung durchwinkte. Sie erfanden eine Apotheke, die mit minimalem Aufwand als Fake hätte enttarnt werden können, erhielten innerhalb eines Tages Zugang zum DAV-Portal und konnten dort ein Zertifikatspaar ausstellen.

Mit diesen Fakten konfrontiert, reagierte der DAV auf die dramatischste mögliche Weise: Er sperrte das Portal. Ohne Vorwarnung, ohne Abwägung der Risiken und Nebenwirkungen, für alle 17.900 angeschlossenen deutschen Apotheken, egal ob mit Mitglieds- oder Gastzugang.

Dann überprüfte der DAV alle ca. 470 Gastzugänge auf Gültigkeit und vertröstete die Apotheken mehrere Tage lang, es gehe bald wieder los mit der Zertifikatausstellung.

Auch nach Abschluss der Überprüfung hatte der DAV keine weitere Fake-Apotheke ausfindig gemacht, der den Zertifikatehandel in den Messenger-Kanälen erklärt hätte. Die Vollsperrung war also für die Katz. Womöglich arbeiteten die gewerbsmäßigen Fälscher mit geklauten Zugangsdaten – auf eine Zweifaktor-Authentifizierung hatte das DAV-Portal ebenfalls verzichtet. Inzwischen hat das BMG das Bundeskriminalamt (BKA) mit der Untersuchung beauftragt.

Die aktuelle Lage wirft sofort die Frage auf: Warum hat der DAV nicht von vornherein die Profis eingeschaltet? Schließlich ist die Erstellung unrechtmäßiger Zertifikate eindeutig eine Straftat.

Jedes EU-kompatible digitale COVID-19-Zertifikat trägt eine eindeutige Kennung, den bis zu 30 Stellen langen "Unique Certificate Identifier" (UCI oder CI). Dieser CI wird in jedem EU-Staat von einer zentralen "Country Signing Certificate Authority" (CSCA) vergeben, in Deutschland vom Robert-Koch-Institut (RKI). So lässt sich über den CI zurückverfolgen, welche Apotheke das Zertifikat ausgestellt hat.

Sobald das BKA eines dieser illegalen Zertifikate in den Händen hat, kann es über das RKI herausfinden, welche Apotheke es angefordert hat und dann weitere Nachforschungen anstellen. Derweil kann das RKI den CI des illegalen Zertifikats in eine Sperrliste eintragen, die das Zertifikat für alle Verifikationsstellen entwertet.

Zur Sperrung ist die exakte CI jedes betroffenen Zertifikats nötig, weil alle aus Apotheken stammenden Impf- und Genesenenzertifikate mit demselben Schlüssel signiert sind. Die Entwertung dieses Schlüssels würde 25 Millionen Zertifikate sperren – ein Kollateralschaden, den die Tragweite des Problems aktuell nicht rechtfertigt.

Schon seit Juni wird die Corona-Warn-App (CWA) dafür kritisiert, dass sie auch Zertifikate mit ungültiger Signatur einliest und wie rechtmäßige Zertifikate handhabt.

Per Mausklick lassen sich über offen zugängliche Server digitale Zertifikate mit beliebigen Angaben generieren, die der EU-Spezifikation folgen. Diese Zertifikate sind zu Testzwecken gedacht – also nicht für Corona-Tests, sondern zur Funktionsüberprüfung von Wallet- und Verifikations-Apps für COVID-19-Zertifikate. Kurze Begriffsdefinition: Eine Wallet-App speichert Zugangsdaten und digitale Ausweise wie das COVID-19-Zertifikat, eine Verifikations-App überprüft deren Gültigkeit.

Keines dieser Beispiel-Zertifikate hält einer digitalen Überprüfung stand: Die Wallet-App CovPass verweigert das Einlesen mit der Meldung "COVID-Zertifikat enthält keine gültige Signatur"; die Verifikations-App CovPass Check meldet "Zertifikat ungültig".

Doch ausgerechnet die App mit der größten Reichweite, die CWA, frisst die Beispiel-Zertifikate kommentarlos – sie bestehen sogar die jüngst eingeführte Gültigkeitsprüfung.

Von diesem Ausgangspunkt konstatiert Thomas Siebert vom Antivirus-Hersteller G Data dem digitalen Impfnachweis "massive Schwächen bei der Sicherheit" und kritisiert "gravierende Versäumnisse". Seine Schlussfolgerung: Eigentlich sei es geboten, "sämtliche bestehenden Impfnachweise zurückzuziehen und neu auszustellen." Das kann man natürlich so sehen, wirkt aber bei näherer Betrachtung ähnlich überzogen wie die Notabschaltung des DAV-Servers.

Die fehlende Signaturüberprüfung der CWA ist nämlich kein Versäumnis, sondern Absicht und inzwischen sogar dokumentiert. Hinter der Schaltfläche "Gültigkeit prüfen" findet sich unter "Hinweis", dass Signaturen "nur in einer Prüfanwendung validiert" werden. Und: "Ob die im Zertifikat eingetragenen Daten richtig sind, wird nicht geprüft."

Auf Github erklären die Entwickler ihre Entscheidung: Eine Signaturüberprüfung würde die App unnötig aufblähen und keine zusätzliche Sicherheit schaffen. Zum Überlisten von Sichtkontrollen ließen sich genauso gut Screenshots präsentieren oder selbstkompilierte App-Versionen ohne Signatur-Checks. Auf den wachsenden Druck hin arbeiten die CWA-Entwickler inzwischen darauf hin, dass Version 2.7 eine Signaturprüfung enthält. Den genannten Argumenten tut das jedoch keinen Abbruch.