Seite 2: Ist das jetzt eine Lücke oder nicht?

Inhaltsverzeichnis

Ist eine Wallet-App als digitale Geldbörse zu sehen, gibt es rein logisch keinen Grund, warum sie keine ungültigen Zertifikate speichern sollte. Der analoge Geldbeutel spuckt abgelaufene Kreditkarten ja auch nicht aus.

Die Überprüfung der Ausweisgültigkeit ist eine Aufgabe für einen Dritten, in der digitalen Welt eine Verifizierungs-App. Die Gültigkeit eines Zertifikats auf demselben Gerät zu überprüfen, auf dem es gespeichert ist, war noch nie eine gute Idee. Jeder Lügner behauptet von sich, die Wahrheit zu sagen – wenn er es nicht tut, führt er noch Schlimmeres im Schilde. Um ihn der Lüge zu überführen, bedarf es einer Kontrollinstanz.

Genau hier liegt jedoch das Problem: mangelnde Kontrolle. Statt eine App wie CovPass Check zu verwenden, wird vielerorts einfach nur auf den QR-Code geblickt und gesagt: Okay, darfst reinkommen. Der Abgleich mit einem Lichtbildausweis entfällt häufig ebenfalls.

Für derartige Schlamperei gibt es keinerlei Rechtfertigung. Zumindest ein CovPass Check müsste drin sein: Er dauert zwei Sekunden und wenn der frech grinsende 18-Jährige partout nicht nach einer Erika Mustermann aussieht, muss halt noch ein Lichtbildausweis ran.

Auch das Argument "Gläserner Bürger" zieht nicht: CovPass Check zeigt Kontrolleuren nur das absolute Minimum an Daten, das zum Abgleich mit einem zweiten Ausweisdokument nötig ist (Name und Geburtsdatum), und vergisst alles gleich wieder.

Was vom digitalen Nachweis übrigbleibt

Auch wenn sich bei dieser Aussage bei Vielen die Nackenhaare sträuben werden: Solange sie nicht massenhaft zum Einsatz kommen, sind gefälschte digitale Impfnachweise kein signifikantes Problem.

In erster Linie sind digitale Impf- und Genesungszertifikate als Komfortgewinn zu verstehen. Die Überprüfung eines digitalen Zertifikats dauert Bruchteile davon, sich einen analogen Impfpass zeigen zu lassen (herausholen, aufklappen, richtige Seite suchen, vorzeigen ...). Darüber hinaus fällt ein gefälschter digitaler Nachweis bei der Kontrolle wesentlich schneller auf als ein gefälschter Impfpass.

Hinzu kommt, dass das digitale COVID-19-Zertifikat von Anfang an auf Sand gebaut wurde. Dem analogen gelben Impfpass fehlen essenzielle Sicherheitsmerkmale, weil bei seiner Konzeption nie daran gedacht wurde, dass es einmal Leute geben würde, die lieber 200 Euro für eine Fälschung ausgeben als sich gratis pieksen zu lassen. Ein digitaler Impfnachweis kann also maximal so sicher sein wie der ihm zugrundeliegende Impfpass.

Wie der DAV bei der Authentifizierung am Apotheker-Portal derart schlampen konnte, bleibt hingegen unerklärlich. Schon der Verzicht auf eine Zweifaktor-Authentifizierung erscheint grob fahrlässig. Der eigentliche Skandal sind aber die fehlende oder lückenhafte Verifizierung der Registrierungsanträge und die überzogene Reaktion des DAV auf dessen Offenlegung.

Es bleibt also nur, abzuwarten, wie schnell das BKA die Quelle für die illegal ausgestellten Zertifikate finden und trockenlegen kann. Allen Beteiligten sollte klar sein, dass es sich hierbei um keine Bagatelldelikte handelt: Sowohl die Urkundenfälschung als auch der Erwerb gefälschter Urkunden sind strafbar; derzeit liegt die maximale Strafe bei fünf Jahren Haft.

Letztlich riskieren die Käufer falscher Impfpässe und Impfnachweise in erster Linie ihre eigene Gesundheit. Tragisch wird deren Fehlverhalten erst, wenn sie durch die Nutzung ihrer Fake-Dokumente unbeteiligte Dritte in Gefahr bringen, etwa Personen mit kompromittiertem Immunsystem, denen eine Impfung zwar guttäte, aber gesundheitlich nicht zumutbar ist. Ob dieses Bewusstsein bei Personen vorhanden ist, die sich Zertifikate aus Messenger-Kanälen besorgen, darf bezweifelt werden – sie denken nur an sich selbst.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.

Videos immer laden Video jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(olb)