Ein unscheinbarer QR-Code für neue Freiheiten

Das Zertifikat der Schweiz, das vom Bundesamt für Informatik und Telekommunikation (BIT) entwickelt wurde, basiert ebenso wie das der EU auf der Technologie einer elektronischen Signatur. Dabei stellt beispielsweise der Arzt (oder das Testzentrum) einen Nachweis über eine Impfung, Testung oder Genesung aus und signiert dieses. Dafür hat er ein elektronisches Schlüsselpaar, das aus einem privaten und einem öffentlichen Schlüssel besteht. Er signiert die Daten mit seinem privaten Schlüssel. Dieser Prozess hat die Funktion einer nicht fälschbaren Unterschrift. Mit dem öffentlichen Schlüssel kann mathematisch bewiesen werden, dass die Daten mit dem zugehörigen privaten Schlüssel signiert wurden.

Diese Schlüssel bestehen aus Code – Zahlen und Buchstaben also. Bekannter ist diese Technologie aus der Verschlüsselung: Auf der Basis der so genannten Kryptografie werden dabei Daten codiert, die zwischen zwei Personen ausgetauscht werden, beispielsweise per Messenger wie Signal oder Threema. Ebenso wie beim Signieren sorgen hier komplexe Rechenoperationen für Sicherheit: Dabei verschlüsselt das Gerät der Senderin die Nachricht mit dem öffentlichen Schlüssel des Empfängers und schickt sie los. Wird die Nachricht unterwegs abgefangen, kann sie nicht gelesen werden – ein*e Angreifer*in sieht nur einen Buchstaben- und Zahlensalat. Der Empfänger kann die Nachricht mit seinem privaten Schlüssel entschlüsseln.

Antwortet der Empfänger wiederum der Senderin, verschlüsselt er die Antwort mit deren öffentlichem Schlüssel. Man kann sich das vorstellen wie ein Vorhängeschloss: Der Empfänger gibt der Senderin sein geöffnetes Schloss – aber nicht den Schlüssel – , diese schliesst es, und nur der Empfänger kann es mit seinem Schlüssel wieder öffnen. Das geöffnete Schloss entspricht in dieser Analogie dem öffentlichen Schlüssel – der vorher nicht einer bestimmten Person gegeben wird, sondern öffentlich verfügbar ist für alle, die dem Empfänger eine Nachricht schicken wollen.

Beim Signieren von Zertifikaten wird der gleiche Mechanismus genutzt – nur werden die Daten nicht verschlüsselt, sondern lediglich zweifelsfrei einem*einer Ersteller*in zugeordnet. Dabei wird aus den zu signierenden Daten – in diesem Fall also beispielsweise das Impfzertifikat – und dem privaten Schlüssel die sogenannte Signatur berechnet. Der dadurch entstehende Wert kann mithilfe des öffentlichen Schlüssels der*des Aussteller*in überprüft werden.

Der öffentliche Schlüssel des der*des Aussteller*in wird dabei auf einem Server hinterlegt, mit dem sich dann die Person verbinden kann, die das Zertifikat kontrolliert. Dadurch ist das Dokument fälschungssicher: der öffentliche Schlüssel «passt» nur, wenn das Zertifikat mit dem privaten Schlüssel der*des Aussteller*in signiert ist.

Die Empfängerin kann also überprüfen, dass das Dokument vom Sender stammt und nicht verändert wurde. Man kann sich das vorstellen, wie wenn jemand ein Selfie von sich und einem Dokument zusammen mit diesem Dokument verschickt: durch das Foto ist klar, von wem es kommt – und wäre das Dokument auf dem Weg verändert worden, würde es nicht mehr mit dem auf dem Foto übereinstimmen.

Im Falle des Covid-Zertifikats wird das mittels einer Verifikations-App geschehen: Diese scannt das Zertifikat und gleicht die Signatur mit dem öffentlichen Schlüssel der signierenden Person ab. Die kontrollierende Person sieht bei erfolgreicher Prüfung auf ihrem Gerät den Namen, das Geburtsdatum sowie Informationen über die Impfung oder die Art des Tests oder den Zeitpunkt des positiven PCR-Tests bei Genesenen.

Aufgrund der kryptographischen Technologie lässt sich nachverfolgen, ob ein Zertifikat auf dem Weg zwischen Aussteller*in und der Kontrolle verändert wurde. Denn dann passt der öffentliche Schlüssel nicht mehr zu den Daten. Von daher kann der Nachweis eines Arztes über eine Impfung nicht nachträglich verändert oder gar gefälscht werden, denn dann wäre die Signatur nicht mehr gültig: ein solches Zertifikat würde in der Verifikations-App als ungültig angezeigt werden.

Natürlich gibt es aber Stellen im Prozess, in denen ein solches Zertifikat trotzdem gefälscht werden kann – nämlich bevor die Signatur ins Spiel kommt. So kann ein*e unseriöse*r Ärzt*in Impfungen bestätigen, die nicht stattgefunden haben oder ein Testzertifikat ausstellen, obwohl kein Test durchgeführt wurde. Solange das nicht nachgewiesen wird, bleibt die Signatur gültig.

Eine weitere Schwachstelle ist die Übertragung bereits stattgefundener Impfungen aus den bisherigen nicht fälschungssicheren Dokumenten. Wer soll die gefälschten Impfungen übertragen? Können diese überhaupt verifiziert werden? Theoretisch könnten das die Ärzt*innen machen, die die Impfungen durchgeführt haben. In der Schweiz sind die Kantone dafür zuständig, das zu organisieren.

Wie das in der Praxis aussehen wird, ist noch unklar. Zumindest in Deutschland zeigen sich erste Lücken beispielsweise bei mobilen Impfteams, die nicht mehr alle Daten der Geimpften vorliegen haben.

Dass das Zertifikat fälschungssicher ist, ist gleichzeitig seine Existenzberechtigung. Carmela Troncoso, Privacy-Forscherin an der EPFL, überzeugt das nicht: «Uns wird immer wieder gesagt, es gebe viele Fälschungen bei Impfausweisen», sagt Troncoso, «mit diesem Argument brauchen wir angeblich das Zertifikat.»

Troncoso kritisiert, dass das Argument mit den gefälschten Impfpässen weder überprüft noch diskutiert wird. «Gibt es wirklich so ein grosses Fälschungsproblem?», fragt sie, «und inwiefern hat das die öffentliche Gesundheit wirklich beeinträchtigt?» Vermutlich wird das Zertifikat erst nach dem Sommer so flächendeckend verbreitet sein, dass auf Alternativen verzichtet werden kann – dann, wenn ein Grossteil der Bevölkerung ohnehin geimpft ist. «Ist es überhaupt verhältnismässig, eine solche Infrastruktur aufzubauen?», fragt Troncoso. Sie selbst reise viel, und bisher sei es noch kein Problem gewesen, entsprechende Nachweise auf Papier zu zeigen.

Zudem lade genau diese Infrastruktur geradezu dazu ein, sie zu umgehen, weil die Covid-Zertifikate mit der persönlichen Freiheit verknüpft und damit wertvoll sind. Es könnte sich also finanziell lohnen, falsche Impfnachweise auszustellen. «Wenn ein Arzt mir ein Zertifikat ausstellen kann, das mir Reisefreiheit gewährt, dann entsteht hier ein Markt», sagt sie.

Dass es in der Schweiz zudem Zutritt zu grossen Events und Discotheken regulieren soll, verschärfe das Thema noch. Schliesslich können die Zertifikate in der ganzen EU, der Schweiz und Grossbritannien ausgestellt werden. «Für einen Schweizer ist es nicht teuer, sich ein entsprechendes Dokument in Osteuropa zu kaufen.» Und damit stehe die Behauptung, das System sei fälschungssicher, in Frage: Die Fälschung kann stattfinden, bevor das sichere System überhaupt greift.

Zudem soll der gelbe WHO-Impfpass zumindest in der EU weiterhin gelten, um eine Impfung nachzuweisen – was dann allerdings zur Frage führt, ob ein fälschungssicheres Zertifikat dadurch nicht erst recht unverhältnismässig ist, da es sich ganz einfach mit einem gefälschten Impfpass umgehen lässt.

Es gab und gibt Diskussionen darüber, inwiefern sich dank der Daten, die zwischen der Kontroll-App und den Servern ausgetauscht werden, Bewegungen von Menschen verfolgen lassen. Dann würde sich die Technologie in eine potenzielle Überwachungstechnologie verwandeln, die missbraucht werden könnte, warnen Kritiker*innen wie Carmela Troncoso. «Deshalb muss das Zertifikat offline verifiziert werden», fordert Troncoso.

Im Falle der EU sowie der Schweizer Lösung ist in der Tat eine so genannte Offline-Verifikation vorgesehen. Das heisst: Die Verifikations-App gleicht das Zertifikat nicht direkt mit dem*der Ärzt*in oder Impfzentrum ab, und es gibt keine zentrale Stelle, an der Informationen zusammenlaufen, wo ein*e Reisende*r kontrolliert wurde. Bei der Kontrolle findet kein Datenaustausch statt, auch nicht mit dem Server, auf dem die öffentlichen Schlüssel liegen. Die App aktualisiert stattdessen die öffentlichen Schlüssel regelmässig mit einem Server, auf dem diese Schlüssel liegen. Sie funktioniert deshalb offline.

Carmela Troncoso findet es dennoch bedenklich, dass die persönlichen Daten auf dem Zertifikat unverschlüsselt vorliegen. «Die Regierungen verkaufen uns das als Privacy by Design», sagt sie. Der Begriff meint, dass der Schutz der Privatsphäre fest in der Technik verankert ist und nicht umgangen werden kann. «Das ist bedenklich, denn persönliche Daten unverschlüsselt zu speichern ist alles andere als privacy by design.»

Allerdings dürfen laut der EU-Gesetzgebung die öffentlichen Schlüssel, die nötig sind, um das Zertifikat zu verifizieren, lediglich den Behörden sowie den behördlich beauftragten Stellen zugänglich gemacht werden, die diese beispielsweise an Flughäfen kontrollieren.

Da in der Schweiz auch eine Nutzung für Restaurants, Diskotheken und andere Veranstaltungen geplant ist, könnte hier die Gefahr grösser sein, dass Unbefugte persönliche Daten von Besucher*innen speichern. Rein technisch ist das zwar nicht vorgesehen, und auch gesetzlich ist es zumindest laut EU-Verordnung verboten. Verhindern lässt es sich aber auf technischer Ebene nicht.

Für die Schweiz ist nun nach Auskunft des Bundesamtes für Informatik und Telekommunikation (BIT) ein Art Zertifikat «light» für Clubs und Events geplant, das die Information über Impfung oder Testung für Kontrollierende nicht sichtbar werden lässt, sondern vermutlich lediglich den Namen und die Information, dass ein Zertifikat vorliegt, das zum Zugang berechtigt.

Wie das im Detail aussehen soll, wie der Unterschied kommuniziert wird und vor allem wie diese Version auch für Besucher*innen ohne Smartphone zugänglich gemacht wird, ist derzeit aber noch offen.

Die Gesetzesgrundlage der Europäischen Union sieht lediglich das Reisen als Anwendungsfall für das EU-Zertifikat vor: Es soll dementsprechend auf Flughäfen oder nach der Ankunft in einem anderen EU-Land überprüft werden.

Das Schweizer Covid-Zertifikat hingegen soll auch den Zugang zu Grossveranstaltungen mit mehr als tausend Personen sowie zu Tanzveranstaltungen und Diskotheken regeln. Auch Restaurants können freiwillig den Zugang lediglich für Zertifikatsinhaber*innen erlauben und müssen im Gegenzug keine weiteren Einschränkungen und Hygienemassnahmen wie Abstandhalten umsetzen.

Ausgeschlossen ist die Nutzung des Schweizer Zertifikats laut BAG im öffentlichen Verkehr, bei privaten Veranstaltungen, im Detailhandel, bei religiösen Veranstaltungen und Veranstaltungen zur politischen Meinungsbildung, bei personenbezogenen Dienstleistungen wie Coiffeur-Salons oder therapeutischen Angeboten sowie in Arbeits- und Ausbildungsstätten. In diesen Bereichen gelten weiterhin die allgemeinen Schutz- und Hygienekonzepte.

Carmela Troncoso hat weitere, grundsätzliche Bedenken, wenn es darum geht, neue digitale Infrastrukturen zur Pandemiebekämpfung im Schnelldurchlauf umzusetzen. «Es heisst zwar heute, solche Infrastrukturen dienen nur einem bestimmten Zweck», sagt sie, «aber das wird sich ändern: Wenn diese Infrastrukturen da sind, werden wir sie auch anderweitig nutzen.»

Sie sagt: «Mit dem Covid-Zertifikat wird ein Werkzeug entwickelt, mit dem meine Regierung Informationen über mich mit einer anderen Regierung teilen kann». Das könne in Zukunft für andere Zwecke missbraucht werden.

Für Troncoso zählt es wenig, wenn Dinge in Gesetzen verankert werden, beispielsweise das Verbot der Datenspeicherung oder das Ende des Covid-Zertifikats, das zumindest laut EU-Gesetzgebung in einem Jahr ausser Betrieb genommen werden muss. «Was heute verboten ist, kann morgen erlaubt sein.»

Deshalb findet sie es wichtig, solche digitalen Tools so zu bauen, dass mit ihnen nichts anderes umsetzbar ist. So sei das beispielsweise mit der Schweizer Corona-App sowie mit der deutschen Corona-Warn-App: diese können nur datensparsames Contact Tracing.