Wichtige Fragen bezüglich interner Kontrollmechanismen sind in einer ersten Recherche zur Sicherheit der Luxemburger Covid-Check-Pässe noch unbeantwortet geblieben. Aber auch die Sicherheit der QR-Codes wurde noch nicht zur Gänze beleuchtet. Darum hat das Tageblatt weiter nachgehakt. So widerspricht der Piratenabgeordnete und studierte Informatiker Sven Clement einer Aussage von Tina Koch, der Generalsekretärin des Krankenpflegeverbandes ANIL, vom Montag: „Das ist komplett falsch.“ Es brauche weitaus mehr, als nur einen guten Grafiker, um einen QR-Code zu fälschen. Man könne sich nicht mal eben einfach so an den PC setzen und sich schnell einen QR-Code zeichnen – der dann tatsächlich auch noch beim Scannen funktioniert. „Der Aufwand, um einen Schlüssel zu hacken ist groß“ – allein schon finanziell, sagt Clement. Dafür würden 2.000 Euro nicht reichen.
Darum ist es laut Clement auch viel wahrscheinlicher, dass die Betrüger nicht aus den Reihen der Computerspezialisten kommen, sondern aus jenen des Gesundheitspersonals. Bei den bisher bekannten Betrugsfällen handele es sich vor allem um Betrüger aus dem Ausland. Aufgrund dieser Begebenheiten dürfe man auch nicht wirklich von „gefälschten“ Zertifikaten reden. Es handele sich hauptsächlich um „richtige falsche Zertifikate“: also echte Zertifikate, die unter falschen Bedingungen von Mitgliedern des Gesundheitspersonals hergestellt oder zur Verfügung gestellt werden.
Das Zentrum für Informationstechnologien des Staates (CTIE) bestätigt diese Aussage Clements gegenüber dem Tageblatt. Es handele sich um Dokumente, die durch den Missbrauch der Software zur Erstellung von Zertifikaten entstanden sind. So hätten gültige Zertifikate „für Personen, die entweder nicht geimpft oder schon tot sind oder aber überhaupt nicht existieren“ (beispielsweise Zeichentrickfiguren) erstellt werden können.
Die einzige Möglichkeit, als Apotheker ein Zertifikat zu fälschen, sieht der Präsident des Apothekerverbandes Alain de Bourcy darin, einen QR-Code auszustellen, ohne einen Corona-Test durchgeführt zu haben. „Dafür muss die kriminelle Energie aber schon sehr groß sein – wobei der QR-Code, den die Apotheker ausstellen, ja auch nur 48 Stunden gültig ist.“
System verfügt über interne Kontrollmechanismen
Die nationale Anwendung zur Erstellung von Covid-Check-Zertifikaten kann nur von autorisiertem Fachpersonal genutzt werden. Dieses muss sich dafür mit einem persönlichen Login einloggen. Wie das CTIE dem Tageblatt am Dienstagmorgen mitteilt, ist die Anwendung „durch eine Vielzahl von Sicherheitsmechanismen geschützt, zu denen unter anderem sowohl eine starke Authentifizierung wie auch ein nicht einsehbares Aktivitäts-Logging gehören“. Im Falle eines möglichen Missbrauchs sei es – auf Anfrage des Gesundheitsministeriums – möglich, „bestimmte Aktivitäten nachzuvollziehen“.
Das CTIE schreibt zudem, dass derzeit „ein europäisches System zum Austausch von Zertifikaten, die von einem Mitgliedstaat als ungültig identifiziert wurden, in Ausarbeitung ist“. Das geplante System würde es der Covid-Check-App ermöglichen, die ID (unique identifier – uid) eines Zertifikats zu überprüfen und diese mit dem europäischen System abzugleichen. Soll heißen: Europaweit sollten so alle in das System eingespeisten ungültigen Zertifikate erkannt werden können.
Das Zentrum für Informationstechnologien des Staates schreibt zudem, dass Luxemburgs Covid-Check-App, in Erwartung dieser europäischen Lösung, kurzfristig angepasst werde. Dadurch solle die App „eine Reihe bekannter ungültiger Zertifikate erkennen“ und als „ungültig“ anzeigen.
Eine fälschungssichere Signatur
Ein Sprecher der Europäischen Kommission, Johannes Bahrke, gibt auf Tageblatt-Nachfrage weitere Details zur Sicherung der europäischen Covid-Zertifikate. Auch er sagt: „QR-Codes sind eigentlich nicht fälschbar.“ Im QR-Code seien diverse Daten integriert und verschlüsselt. Das Scannen der Pässe bestehe aus zwei Schritten: Zum einen wird – offline – der Kerndatensatz ausgelesen. Dieser enthält beispielsweise den Namen, das Geburtstagsdatum sowie die Details zur Covid-Impfung des Pass-Inhabers. Andererseits wird die sogenannte Signatur überprüft. Dafür braucht die Auslese-App einen Leseschlüssel. Die App verfügt über Signaturlisten, um die jeweiligen Signaturen überprüfen zu können. „Die digitale Signatur kann man nicht fälschen“, sagt Bahrke.
Es sei die Aufgabe der jeweiligen Staaten, zu schauen, welche Signatur(en) verwendet wird. Darüber hinaus besitze jedes Zertifikat eine einmalige Identifikationsnummer. Beim Ausstellen der Zertifikate wird diese Nummer laut Bahrke blockiert und kann dann nicht mehr zur Erstellung von anderen Zertifikaten genutzt werden. Bisher seien in der EU rund 660 Millionen Zertifikate ausgestellt worden.
1⃣1⃣ How do you make sure EU certificates cannot be falsified?
Spokesperson Johannes Bahrke answers in 15 seconds!#EUCOVIDCertificate pic.twitter.com/fXj4VzG8gO
— European Commission ?? (@EU_Commission) July 9, 2021
Doch auch diese Signatur hat so seinen Haken: Sven Clement gibt nämlich zu bedenken, dass es einen großen Unterschied mache, ob in ganz Luxemburg nur ein einziger Signierschlüssel verwendet wird, oder ob jede autorisierte Person über eine eigene Signatur verfügt – die dann auch leichter rückverfolgbar wäre. Wie das CTIE dem Tageblatt mitteilt, ist Letzteres allerdings nicht der Fall: „Die Signatur der Zertifikate erfolgt zentral anhand von Schlüsseln, die nicht personenbezogen sind.“
Wie viele „Fälschungen“ sind im Umlauf?
Die Luxemburger Polizei konnte dem Tageblatt keine genaue Anzahl an gemeldeten „falschen Zertifikaten“ mitteilen. Die Begründung: „Weil das allgemein nur als Betrug/Fälschung bei uns eingetragen wird.“
Auch Luxemburgs Digitalisierungsminister Marc Hansen kann nicht genau sagen, wie viele „Fälschungen“ bisher im Großherzogtum entdeckt wurden, schreibt Radio 100,7 am Dienstagmorgen. Der Direktor der „Santé“ Jean-Claude Schmit hat dem Radiosender allerdings mitgeteilt, dass der Staatsanwaltschaft bisher zwei Betrugsfälle mit Covid-Zertifikaten gemeldet wurden.
Der erste Fall betrifft einen ungeimpften Mitarbeiter der „Santé“, der einen Arbeitskollegen darum gebeten haben soll, ihm einen negativen PCR-Test zu zertifizieren. Der zweite Fall stehe in Verbindung mit einem Impfzentrum. Nach den Informationen von Schmit soll es angeblich doch gelungen sein, einen falschen QR-Code zu produzieren. Die Staatsanwaltschaft habe diesbezüglich Ermittlungen eingeleitet. Schmit meint allerdings in dem Interview, dass er von einer größeren Dunkelziffer ausgehe, da „nicht systematisch alles kontrolliert wird“.
Das CTIE erinnert daran, keine Fotos von Impfzertifikaten zu veröffentlichen, da Drittpersonen diese missbrauchen könnten. Die Nutzung eines falschen Zertifikats ist strafbar. Das Betrügen mit Covid-Check-Zertifikaten werde laut Polizei gemäß dem Luxemburger Strafgesetzbuch als Identitätsdiebstahl oder Betrug gehandelt.
Spezifizierungen vonseiten der „Santé“ bleiben weiterhin aus – bereits zum zweiten Tag infolge wird das Tageblatt auf einen späteren Zeitpunkt vertröstet und wartet auf Antworten. Auch eine Anfrage an die Staatsanwaltschaft bleibt bis dato unbeantwortet.
LINK Hier erfahren Sie mehr über die Sicherung der Luxemburger Covid-Check-Zertifikate.
LINK Hier erfahren Sie, wie Luxemburgs Apotheker ins Impfgeschehen eingreifen wollen, und welche Hürden es dabei zu überwinden gibt.
@jan Sie haben die falsche App. PS. Bei der Luxbg App muss man die mise à jour manuell ausführen, manchmal hilft das.
@htk Lustigerweise funktioniert mein altes Zertifikat (2 x geimpft) noch immer perfekt, sowohl mit der L-app als auch mit der F-app ! Heute habe ich einen Bekannten getroffen, der vor 2 Wochen die 3. Injektion bekam. Sein Zertifikat ist auch in Frankreich gültig....da muß man sich aber mal an den Kopf fassen! Ich glaube, der typisch Luxemburger Ausdruck "Gewurschtels" trifft perfekt zu. Nur ist die Lage zu ernst. Ubrigens gibt die L-app auch nur noch Namen und Vornamen preis. Wann, wo, mit was und zum wievielten Mal geimpft wurde wird nicht mehr preisgegeben. Ob diese Minimalinfo einem Kontrolleur im Ausland genügt? Ach ja, mein Zertifikat kann er ja überhaupt nicht lesen! Nicht vergessen: das ganze heißt: EU Digital COVID Certificate
Gestern bekam ich die 3. Impfung. Auch ein neues Zertifikat. Scanne ich den QR-Code, so ist es in Luxemburg und in der Schweiz gültig.....in Frankreich, Deutschland, Niederlande NICHT! Mein altes Zertifikat ( 2 Impfungen ) bleibt überall gültig. Ein Bekannter, der schon eine 3. Impfung vor 3 Wochen erhielt, hat ein Zertifikat, was in allen Ländern der EU gültig ist. Die französische app sagt: "code invalide". Was hat unsere Santé da wieder für ein Ei gelegt? Wie kann man da das Vertrauen bewahren? Im Internet findet man auch nur Kontradiktorisches (re-open EU) Frankreich: 01/07/2021: alle Eu-Zertifikate sind EU-weit gültig. woanders: EU-Bürger müssen in ausgewählten Apotheken ihr nicht französisches Zertifikat homologieren lassen; Kosten 36€ ; dann ist es Eu-weit gültig (!!!). Was nun wirklich verbindlich ist, läßt sich kaum mehr feststellen.....
Täglich grüsst das Murmeltier
...vielleicht ein Tip: das Adobe PDF Dokument der Sante ist bei meinem Android Handy als Verknüpfung auf dem Desktop. Ich hatte weder in Frankreich oder Deutschland je ein Problem! Dies soll aber nicht bei den Apfel Handys funktionieren.
Zuviele Löcher im Covid-check-Netz, Impfung sowieso nicht 100% schützend,also bitte Maskenpflicht in geschlossenen Räumen wieder schnellstens einführen.
Der Scancode könnte doch die Visage des Geimpften beinhalten.Dann wäre Schluss mit fuddelen.
@jo, bei mir ist es umgekehrt. Französische App funktioniert nicht in Luxbg. Auch CD's vom luxemburger Arzt( Scans,Röntgen..) können in Frankreich nicht gelesen werden. Muss also wieder ins Rohr,soll ja auch so gesund sein. Europa???
Wozu COVID-check wenn nicht richtig kontrolliert wird. 3 x bei HRS mitgemacht. 1. Zertifikat + Personalausweis gefordert. 2 und 3 x nur Zertifikat gefordert. Hätte auch das vom Nachbarn nehmen können. Wird so auf grösseren Veranstaltungen gemacht, siehe Rockhal, z.B.
Heute zum 3. Mal geimpft. Neuen QR-Code gescannt: Zertifikat in Frankreich ungültig!!! Besten Dank, Santé.