Digitale Corona-Impfzertifikate: Was bisher falsch lief
(Bild: Shutterstock.com/ronstik)
Das Apotheker-Impfzertifikate-Portal unterwandert, die Corona-Warn-App zeigt Beispielzertifikate als gültig an. Eine Analyse des EU-weiten Projektes.
Der vom Bundesgesundheitsministerium (BMG) hastig auf die Beine gestellte digitale Impfnachweis ist ins Gerede gekommen. Schnell aufeinanderfolgende Hiobsbotschaften verunsichern – gibt es jetzt ernsthafte Probleme mit den Zertifikaten oder nicht?
Sicherheitslücken im Apotheker-Portal und falsche Impfzertifikate
Mitte Juli wurde erstmals berichtet, dass im digitalen Untergrund mit digitalen EU-Impfzertifikaten gehandelt wird. Schon im Mai war bekannt geworden, dass ein Schwarzmarkt für gefälschte Impfpässe existiert. Dann bewiesen zwei Sicherheitsforscher gravierende Lücken beim Apotheker-Portal zur Ausstellung von Impf- und Genesenenzertifikaten – eine mögliche Quelle für die illegal ausgestellten Zertifikate.
Daraufhin nahmen die Betreiber das Portal vom Netz und setzten einen neuen Server innerhalb der Telematikinfrastruktur auf, was zu neuen Problemen führte. Es gibt Security-Experten, die inzwischen schon das gesamte System infrage stellen.
Probleme beim Apotheker-Portal
Als in einschlägigen Messenger-Kanälen digitale Impfzertifikate zum Kauf angeboten wurden, fiel der Verdacht schnell auf das Portal, mit dem deutsche Apotheken ihre digitalen Impfzertifikate ausstellen.
Der Server wird vom Deutschen Apothekerverband (DAV) betrieben und sollte zunächst nur Verbandsmitglieder bedienen. Auf Druck des BMG richtete der DAV sogenannte Gastzugänge für Nichtmitglieder ein, für die sich Apotheken bewerben mussten.
Die Sicherheitsforscher Martin Tschirsich und Dr. André Zilch konnten nachweisen, dass der DAV diese Bewerbungen ohne ausreichende Prüfung durchwinkte [1]. Sie erfanden eine Apotheke, die mit minimalem Aufwand als Fake hätte enttarnt werden können, erhielten innerhalb eines Tages Zugang zum DAV-Portal und konnten dort ein Zertifikatspaar ausstellen.
Mit diesen Fakten konfrontiert, reagierte der DAV auf die dramatischste mögliche Weise: Er sperrte das Portal [2]. Ohne Vorwarnung, ohne Abwägung der Risiken und Nebenwirkungen, für alle 17.900 angeschlossenen deutschen Apotheken, egal ob mit Mitglieds- oder Gastzugang.
Dann überprüfte der DAV alle ca. 470 Gastzugänge auf Gültigkeit und vertröstete die Apotheken mehrere Tage lang, es gehe bald wieder los mit der Zertifikatausstellung [3].
Auch nach Abschluss der Überprüfung hatte der DAV keine weitere Fake-Apotheke ausfindig gemacht, der den Zertifikatehandel in den Messenger-Kanälen erklärt hätte. Die Vollsperrung war also für die Katz. Womöglich arbeiteten die gewerbsmäßigen Fälscher mit geklauten Zugangsdaten – auf eine Zweifaktor-Authentifizierung hatte das DAV-Portal ebenfalls verzichtet. Inzwischen hat das BMG das Bundeskriminalamt (BKA) mit der Untersuchung beauftragt [4].
Was sich jetzt noch tun lässt
Die aktuelle Lage wirft sofort die Frage auf: Warum hat der DAV nicht von vornherein die Profis eingeschaltet? Schließlich ist die Erstellung unrechtmäßiger Zertifikate eindeutig eine Straftat.
Jedes EU-kompatible digitale COVID-19-Zertifikat trägt eine eindeutige Kennung, den bis zu 30 Stellen langen "Unique Certificate Identifier" (UCI oder CI). Dieser CI wird in jedem EU-Staat von einer zentralen "Country Signing Certificate Authority" (CSCA) vergeben, in Deutschland vom Robert-Koch-Institut (RKI). So lässt sich über den CI zurückverfolgen, welche Apotheke das Zertifikat ausgestellt hat.
Sobald das BKA eines dieser illegalen Zertifikate in den Händen hat, kann es über das RKI herausfinden, welche Apotheke es angefordert hat und dann weitere Nachforschungen anstellen. Derweil kann das RKI den CI des illegalen Zertifikats in eine Sperrliste eintragen, die das Zertifikat für alle Verifikationsstellen entwertet.
Zur Sperrung ist die exakte CI jedes betroffenen Zertifikats nötig, weil alle aus Apotheken stammenden Impf- und Genesenenzertifikate mit demselben Schlüssel signiert sind. Die Entwertung dieses Schlüssels würde 25 Millionen Zertifikate sperren – ein Kollateralschaden, den die Tragweite des Problems aktuell nicht rechtfertigt.
Wieso die Corona-Warn-App ungültige Zertifikate schluckt
Schon seit Juni wird die Corona-Warn-App (CWA) dafür kritisiert, dass sie auch Zertifikate mit ungültiger Signatur einliest und wie rechtmäßige Zertifikate handhabt.
Per Mausklick lassen sich über offen zugängliche Server digitale Zertifikate mit beliebigen Angaben generieren, die der EU-Spezifikation folgen. Diese Zertifikate sind zu Testzwecken gedacht – also nicht für Corona-Tests, sondern zur Funktionsüberprüfung von Wallet- und Verifikations-Apps für COVID-19-Zertifikate. Kurze Begriffsdefinition: Eine Wallet-App speichert Zugangsdaten und digitale Ausweise wie das COVID-19-Zertifikat, eine Verifikations-App überprüft deren Gültigkeit.
Keines dieser Beispiel-Zertifikate hält einer digitalen Überprüfung stand: Die Wallet-App CovPass verweigert das Einlesen mit der Meldung "COVID-Zertifikat enthält keine gültige Signatur"; die Verifikations-App CovPass Check meldet "Zertifikat ungültig".
Doch ausgerechnet die App mit der größten Reichweite, die CWA, frisst die Beispiel-Zertifikate kommentarlos – sie bestehen sogar die jüngst eingeführte Gültigkeitsprüfung.
Von diesem Ausgangspunkt konstatiert Thomas Siebert vom Antivirus-Hersteller G Data dem digitalen Impfnachweis "massive Schwächen bei der Sicherheit" und kritisiert "gravierende Versäumnisse". Seine Schlussfolgerung: Eigentlich sei es geboten, "sämtliche bestehenden Impfnachweise zurückzuziehen und neu auszustellen [5]." Das kann man natürlich so sehen, wirkt aber bei näherer Betrachtung ähnlich überzogen wie die Notabschaltung des DAV-Servers.
Die fehlende Signaturüberprüfung der CWA ist nämlich kein Versäumnis, sondern Absicht und inzwischen sogar dokumentiert. Hinter der Schaltfläche "Gültigkeit prüfen" findet sich unter "Hinweis", dass Signaturen "nur in einer Prüfanwendung validiert" werden. Und: "Ob die im Zertifikat eingetragenen Daten richtig sind, wird nicht geprüft."
Auf Github erklären die Entwickler ihre Entscheidung [6]: Eine Signaturüberprüfung würde die App unnötig aufblähen und keine zusätzliche Sicherheit schaffen. Zum Überlisten von Sichtkontrollen ließen sich genauso gut Screenshots präsentieren oder selbstkompilierte App-Versionen ohne Signatur-Checks. Auf den wachsenden Druck hin arbeiten die CWA-Entwickler inzwischen darauf hin, dass Version 2.7 eine Signaturprüfung enthält [7]. Den genannten Argumenten tut das jedoch keinen Abbruch.
Ist das jetzt eine Lücke oder nicht?
Ist eine Wallet-App als digitale Geldbörse zu sehen, gibt es rein logisch keinen Grund, warum sie keine ungültigen Zertifikate speichern sollte. Der analoge Geldbeutel spuckt abgelaufene Kreditkarten ja auch nicht aus.
Die Überprüfung der Ausweisgültigkeit ist eine Aufgabe für einen Dritten, in der digitalen Welt eine Verifizierungs-App. Die Gültigkeit eines Zertifikats auf demselben Gerät zu überprüfen, auf dem es gespeichert ist, war noch nie eine gute Idee. Jeder Lügner behauptet von sich, die Wahrheit zu sagen – wenn er es nicht tut, führt er noch Schlimmeres im Schilde. Um ihn der Lüge zu überführen, bedarf es einer Kontrollinstanz.
Genau hier liegt jedoch das Problem: mangelnde Kontrolle. Statt eine App wie CovPass Check zu verwenden, wird vielerorts einfach nur auf den QR-Code geblickt und gesagt: Okay, darfst reinkommen. Der Abgleich mit einem Lichtbildausweis entfällt häufig ebenfalls.
Für derartige Schlamperei gibt es keinerlei Rechtfertigung. Zumindest ein CovPass Check müsste drin sein: Er dauert zwei Sekunden und wenn der frech grinsende 18-Jährige partout nicht nach einer Erika Mustermann aussieht, muss halt noch ein Lichtbildausweis ran.
Auch das Argument "Gläserner Bürger" zieht nicht: CovPass Check zeigt Kontrolleuren nur das absolute Minimum an Daten, das zum Abgleich mit einem zweiten Ausweisdokument nötig ist (Name und Geburtsdatum), und vergisst alles gleich wieder.
Was vom digitalen Nachweis übrigbleibt
Auch wenn sich bei dieser Aussage bei Vielen die Nackenhaare sträuben werden: Solange sie nicht massenhaft zum Einsatz kommen, sind gefälschte digitale Impfnachweise kein signifikantes Problem.
In erster Linie sind digitale Impf- und Genesungszertifikate als Komfortgewinn zu verstehen. Die Überprüfung eines digitalen Zertifikats dauert Bruchteile davon, sich einen analogen Impfpass zeigen zu lassen (herausholen, aufklappen, richtige Seite suchen, vorzeigen ...). Darüber hinaus fällt ein gefälschter digitaler Nachweis bei der Kontrolle wesentlich schneller auf als ein gefälschter Impfpass [8].
Hinzu kommt, dass das digitale COVID-19-Zertifikat von Anfang an auf Sand gebaut wurde. Dem analogen gelben Impfpass fehlen essenzielle Sicherheitsmerkmale, weil bei seiner Konzeption nie daran gedacht wurde, dass es einmal Leute geben würde, die lieber 200 Euro für eine Fälschung ausgeben [9] als sich gratis pieksen zu lassen. Ein digitaler Impfnachweis kann also maximal so sicher sein wie der ihm zugrundeliegende Impfpass.
Wie der DAV bei der Authentifizierung am Apotheker-Portal derart schlampen konnte, bleibt hingegen unerklärlich. Schon der Verzicht auf eine Zweifaktor-Authentifizierung erscheint grob fahrlässig. Der eigentliche Skandal sind aber die fehlende oder lückenhafte Verifizierung der Registrierungsanträge und die überzogene Reaktion des DAV auf dessen Offenlegung.
Es bleibt also nur, abzuwarten, wie schnell das BKA die Quelle für die illegal ausgestellten Zertifikate finden und trockenlegen kann. Allen Beteiligten sollte klar sein, dass es sich hierbei um keine Bagatelldelikte handelt: Sowohl die Urkundenfälschung als auch der Erwerb gefälschter Urkunden sind strafbar; derzeit liegt die maximale Strafe bei fünf Jahren Haft.
Letztlich riskieren die Käufer falscher Impfpässe und Impfnachweise in erster Linie ihre eigene Gesundheit. Tragisch wird deren Fehlverhalten erst, wenn sie durch die Nutzung ihrer Fake-Dokumente unbeteiligte Dritte in Gefahr bringen, etwa Personen mit kompromittiertem Immunsystem, denen eine Impfung zwar guttäte, aber gesundheitlich nicht zumutbar ist. Ob dieses Bewusstsein bei Personen vorhanden ist, die sich Zertifikate aus Messenger-Kanälen besorgen, darf bezweifelt werden – sie denken nur an sich selbst.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung [10].
(olb [11])
URL dieses Artikels:
https://www.heise.de/-6156971
Links in diesem Artikel:
[1] https://www.heise.de/news/Apotheken-Wie-Sicherheitsforscher-das-Impfzertifikats-Portal-kompromittierten-6145902.html
[2] https://www.heise.de/news/Portal-gesperrt-Apotheken-koennen-keine-COVID-Impfzertifikate-mehr-ausstellen-6145794.html
[3] https://www.heise.de/news/Impfzertifikate-Apotheken-weiterhin-ausgesperrt-6150191.html
[4] https://www.heise.de/news/Apotheken-kaempfen-mit-digitalen-Impfzertifikaten-Sperrungen-per-Blacklist-6154498.html
[5] https://www.gdata.de/blog/digitaler-impfnachweis-schwaechen-bei-der-sicherheit
[6] https://github.com/corona-warn-app/cwa-documentation/issues/634#issuecomment-858662924
[7] https://github.com/corona-warn-app/cwa-app-ios/pull/3194
[8] https://www.ndr.de/nachrichten/niedersachsen/hannover_weser-leinegebiet/Gefaelschte-Impfausweise-Polizei-erwischt-vier-Reisende,aktuellhannover9118.html
[9] https://www.mdr.de/nachrichten/deutschland/panorama/corona-impfpaesse-faelschen-strafbar-telegram-100.html
[10] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[11] mailto:olb@heise.de
Copyright © 2021 Heise Medien