Das musst du wissen

  • Mit dem Zertifikat werden Impfungen gegen Covid-19 nachgewiesen werden, ebenso Tests und Genesung.
  • Das Zertifikat wird digital signiert und kann in der EU bei Reisen verlangt werden, in der Schweiz auch bei Events.
  • Kritiker sehen dennoch Schwachstellen und befürchten Probleme beim Datenschutz.

Diesen Diamant-Beitrag schenken wir dir, weil er uns am Herzen liegt. ❤️

Dieser Beitrag enthält wichtige Inhalte, die wir einem möglichst breiten Publikum unentgeltlich zur Verfügung stellen wollen. Zu weiteren relevanten Inhalten erhältst du Zugang mit einer Membership. So hilfst du uns auch, weitere exzellente Geschichten zu schreiben, und machst es möglich, dass higgs als erstes unabhängiges Magazin für Wissen werbefrei bleibt. Werde jetzt Member – den ersten Monat schenken wir dir.

Member werden

Dieser Beitrag wurde erstmals am 10. Juni 2021 publiziert.
Den Text vorlesen lassen:

Wie funktioniert die Technik hinter dem Zertifikat?

Das Zertifikat der Schweiz, das vom Bundesamt für Informatik und Telekommunikation (BIT) entwickelt wurde, basiert ebenso wie das der EU auf der Technologie einer elektronischen Signatur. Dabei stellt beispielsweise der Arzt oder das Testzentrum einen Nachweis über eine Impfung, Testung oder Genesung aus und signiert dieses. Dafür hat er ein elektronisches Schlüsselpaar, das aus einem privaten und einem öffentlichen Schlüssel besteht. Er signiert die Daten mit seinem privaten Schlüssel. Dieser Prozess hat die Funktion einer nicht fälschbaren Unterschrift. Mit dem öffentlichen Schlüssel kann mathematisch bewiesen werden, dass die Daten mit dem zugehörigen privaten Schlüssel signiert wurden.

Diese Schlüssel bestehen aus Code – Zahlen und Buchstaben also. Bekannter ist diese Technologie aus der Verschlüsselung: Auf der Basis der so genannten Kryptografie werden dabei Daten codiert, die zwischen zwei Personen ausgetauscht werden, beispielsweise per Messenger wie Signal oder Threema. Ebenso wie beim Signieren sorgen hier komplexe Rechenoperationen für Sicherheit: Dabei verschlüsselt das Gerät der Senderin die Nachricht mit dem öffentlichen Schlüssel des Empfängers und schickt sie los. Wird die Nachricht unterwegs abgefangen, kann sie nicht gelesen werden – der Angreifer sieht nur einen Buchstaben- und Zahlensalat. Der Empfänger kann die Nachricht mit seinem privaten Schlüssel entschlüsseln. Antwortet der Empfänger wiederum der Senderin, verschlüsselt er die Antwort mit deren öffentlichem Schlüssel. Man kann sich das vorstellen wie ein Vorhängeschloss: Der Empfänger gibt der Senderin sein geöffnetes Schloss – aber nicht den Schlüssel – , diese schliesst es, und nur der Empfänger kann es mit seinem Schlüssel wieder öffnen. Das geöffnete Schloss entspricht in dieser Analogie dem öffentlichen Schlüssel – der vorher nicht einer bestimmten Person gegeben wird, sondern öffentlich verfügbar ist für alle, die dem Empfänger eine Nachricht schicken wollen.

Symbolbold Verschlüsselung HandyiStock/Sitthiphong

Auf der Basis der so genannten Kryptografie werden Daten codiert, die ausgetauscht werden.

Beim Signieren von Zertifikaten wird der gleiche Mechanismus genutzt – nur werden die Daten nicht verschlüsselt, sondern lediglich zweifelsfrei einem Ersteller zugeordnet. Dabei wird aus den zu signierenden Daten – in diesem Fall also beispielsweise das Impfzertifikat – und dem privaten Schlüssel die sogenannte Signatur berechnet. Der dadurch entstehende Wert kann mithilfe des öffentlichen Schlüssels des Ausstellers überprüft werden. Der öffentliche Schlüssel des Ausstellers wird dabei auf einem Server hinterlegt, mit dem sich dann derjenige verbinden kann, der das Zertifikat kontrolliert. Dadurch ist das Dokument fälschungssicher: der öffentliche Schlüssel «passt» nur, wenn das Zertifikat mit dem privaten Schlüssel des Ausstellers signiert ist. Die Empfängerin kann also überprüfen, dass das Dokument vom Sender stammt und nicht verändert wurde. Man kann sich das vorstellen, wie wenn jemand ein Selfie von sich und einem Dokument zusammen mit diesem Dokument verschickt: durch das Foto ist klar, von wem es kommt – und wäre das Dokument auf dem Weg verändert worden, würde es nicht mehr mit dem auf dem Foto übereinstimmen.

Wie wird das Zertifikat kontrolliert?

Im Falle des Covid-Zertifikats passiert das mittels einer Verifikations-App: Diese scannt das Zertifikat und gleicht die Signatur mit dem öffentlichen Schlüssel des Signierenden ab. Der Kontrollierende sieht bei erfolgreicher Prüfung auf seinem Gerät den Namen, das Geburtsdatum sowie Informationen über die Impfung oder die Art des Tests oder den Zeitpunkt des positiven PCR-Tests bei Genesenen.

Ist das Covid-Zertifikat wirklich fälschungssicher?

Aufgrund der kryptographischen Technologie lässt sich nachverfolgen, ob ein Zertifikat auf dem Weg zwischen dem Aussteller und der Kontrolle verändert wurde. Denn dann passt der öffentliche Schlüssel nicht mehr zu den Daten. Von daher kann der Nachweis eines Arztes über eine Impfung nicht nachträglich verändert oder gar gefälscht werden, denn dann wäre die Signatur nicht mehr gültig: ein solches Zertifikat würde in der Verifikations-App als ungültig angezeigt werden.

Natürlich gibt es aber Stellen im Prozess, in denen ein solches Zertifikat trotzdem gefälscht werden kann – nämlich bevor die Signatur ins Spiel kommt. So kann ein unseriöser Arzt Impfungen bestätigen, die nicht stattgefunden haben oder ein Testzertifikat ausstellen, obwohl kein Test durchgeführt wurde. Solange ihm das nicht nachgewiesen wird, bleibt seine Signatur gültig. Eine weitere Schwachstelle ist die Übertragung bereits stattgefundener Impfungen aus den bisherigen nicht fälschungssicheren Dokumenten. Wer soll die gefälschten Impfungen übertragen? Können diese überhaupt verifiziert werden? Theoretisch könnten das die Ärzte machen, die die Impfungen durchgeführt haben. In der Schweiz sind die Kantone dafür zuständig, das zu organisieren. Wie das in der Praxis aussehen wird, ist noch unklar. Zumindest in Deutschland zeigen sich erste Lücken beispielsweise bei mobilen Impfteams, die nicht mehr alle Daten der Geimpften vorliegen haben.

Braucht es das Zertifikat überhaupt?

Dass das Zertifikat fälschungssicher ist, ist gleichzeitig seine Existenzberechtigung. Carmela Troncoso, Privacy-Forscherin an der EPFL, überzeugt das nicht: «Uns wird immer wieder gesagt, es gebe viele Fälschungen bei Impfausweisen», sagt Troncoso, «das ist das Hauptargument für das Zertifikat.»
Troncoso kritisiert, dass das Argument mit den gefälschten Impfpässen weder überprüft noch diskutiert wird. «Gibt es wirklich so ein grosses Fälschungsproblem?», fragt sie, «und inwiefern hat das die öffentliche Gesundheit wirklich beeinträchtigt?» Vermutlich wird das Zertifikat erst nach dem Sommer so flächendeckend verbreitet sein, dass auf Alternativen verzichtet werden kann – dann, wenn ein Grossteil der Bevölkerung ohnehin geimpft ist. «Ist es überhaupt verhältnismässig, eine solche Infrastruktur aufzubauen?», fragt Troncoso. Sie selbst reise viel, und bisher sei es noch kein Problem gewesen, entsprechende Nachweise auf Papier zu zeigen.

Zudem lade genau diese Infrastruktur geradezu dazu ein, sie zu umgehen, weil die Covid-Zertifikate mit der persönlichen Freiheit verknüpft und damit wertvoll sind. Es könnte sich also finanziell lohnen, falsche Impfnachweise auszustellen. «Wenn ein Arzt mir ein Zertifikat ausstellen kann, das mir Reisefreiheit gewährt, dann entsteht hier ein Markt», sagt sie. Dass es in der Schweiz zudem Zutritt zu grossen Events und Discotheken regulieren soll, verschärfe das Thema noch. Schliesslich können die Zertifikate in der ganzen EU, der Schweiz und Grossbritannien ausgestellt werden. «Für einen Schweizer ist es nicht teuer, sich ein entsprechendes Dokument in Osteuropa zu kaufen.» Und damit stehe die Behauptung, das System sei fälschungssicher, in Frage: Die Fälschung kann stattfinden, bevor das sichere System überhaupt greift.

Zudem soll der gelbe WHO-Impfpass zumindest in der EU weiterhin gelten, um eine Impfung nachzuweisen – was dann allerdings zur Frage führt, ob ein fälschungssicheres Zertifikat dadurch nicht erst recht unverhältnismässig ist, da es sich ganz einfach mit einem gefälschten Impfpass umgehen lässt.

Ist das Covid-Zertifikat sicher im Sinne des Datenschutzes?

Es gab und gibt Diskussionen darüber, inwiefern sich dank der Daten, die zwischen der Kontroll-App und den Servern ausgetauscht werden, Bewegungen von Menschen verfolgen lassen. Dann würde sich die Technologie in eine potenzielle Überwachungstechnologie verwandeln, die missbraucht werden könnte, warnen Kritikerinnen wie Carmela Troncoso. «Deshalb muss das Zertifikat offline verifiziert werden», fordert Troncoso.

Im Falle der EU sowie der Schweizer Lösung ist in der Tat eine so genannte Offline-Verifikation vorgesehen. Das heisst: Die Verifikations-App gleicht das Zertifikat nicht direkt mit dem Arzt oder Impfzentrum ab, und es gibt keine zentrale Stelle, an der Informationen zusammenlaufen, wo ein Reisender kontrolliert wurde. Bei der Kontrolle findet kein Datenaustausch statt, auch nicht mit dem Server, auf dem die öffentlichen Schlüssel liegen. Die App aktualisiert stattdessen die öffentlichen Schlüssel regelmässig mit einem Server, auf dem diese Schlüssel liegen. Sie funktioniert deshalb offline.

Carmela Troncoso vor rotem HintergrundWikipedia/EPFL

Carmela Troncoso. (CC BY 4.0)

Carmela Troncoso findet es dennoch bedenklich, dass die persönlichen Daten auf dem Zertifikat unverschlüsselt vorliegen. «Die Regierungen verkaufen uns das als Privacy by Design», sagt sie. Der Begriff meint, dass der Schutz der Privatsphäre fest in der Technik verankert ist und nicht umgangen werden kann. «Das ist bedenklich, denn persönliche Daten unverschlüsselt zu speichern ist alles andere als privacy by design.» Allerdings dürfen laut der EU-Gesetzgebung die öffentlichen Schlüssel, die nötig sind, um das Zertifikat zu verifizieren, lediglich den Behörden sowie den behördlich beauftragten Stellen zugänglich gemacht werden, die diese beispielsweise an Flughäfen kontrollieren. Da in der Schweiz auch eine Nutzung für Restaurants, Diskotheken und andere Veranstaltungen geplant ist, könnte hier die Gefahr grösser sein, dass Unbefugte persönliche Daten von Besuchern speichern. Rein technisch ist das zwar nicht vorgesehen, und auch gesetzlich ist es zumindest laut EU-Verordnung verboten. Verhindern lässt es sich aber auf technischer Ebene nicht.

Welche grundsätzlichen Bedenken gibt es gegen das Covid-Zertifikat?

Carmela Troncoso hat weitere, grundsätzliche Bedenken, wenn es darum geht, neue digitale Infrastrukturen zur Pandemiebekämpfung im Schnelldurchlauf umzusetzen. «Es heisst zwar heute, solche Infrastrukturen dienen nur einem bestimmten Zweck», sagt sie, «aber das wird sich ändern: Wenn diese Infrastrukturen da sind, werden wir sie auch anderweitig nutzen.» Sie sagt: «Mit dem Covid-Zertifikat wird ein Werkzeug entwickelt, mit dem meine Regierung Informationen über mich mit einer anderen Regierung teilen kann». Das könne in Zukunft für andere Zwecke missbraucht werden. Für sie zählt es wenig, wenn Dinge in Gesetzen verankert werden, beispielsweise das Verbot der Datenspeicherung oder das Ende des Covid-Zertifikats, das zumindest laut EU-Gesetzgebung in einem Jahr ausser Betrieb genommen werden muss. «Was heute verboten ist, kann morgen erlaubt sein.»

Deshalb findet sie es wichtig, solche digitalen Tools so zu bauen, dass mit ihnen nichts anderes umsetzbar ist. So sei das beispielsweise mit der Schweizer Corona-App sowie mit der deutschen Corona-Warn-App: diese können nur datensparsames Contact Tracing.

Diesen Beitrag teilen
Unterstütze uns

regelmässige Spende