Was haben Mickey Mouse, Spongebob und Adolf Hitler gemeinsam? Denen drei wurde vergangenen Oktober ein Covid-Check-Zertifikat ausgestellt, das die offizielle Covid-Check-App als gültig anerkannt hat. Der Vorfall hat eine Diskussion über die Fälschungssicherheit der Zertifikate angestoßen. Laut Patrick Houtsch, Direktor des Zentrums für Informationstechnologien des Staates (CTIE), ist „Fälschung“ allerdings nicht das richtige Wort für so einen Vorfall. „Ich sehe das nicht wirklich als Fälschungen – das Problem ist, dass in anderen Ländern gültige Zertifikate aufgetaucht sind, bei denen die Daten offensichtlich falsch waren“, sagte Houtsch am Freitagnachmittag gegenüber dem Tageblatt. Deswegen sei es kein gefälschtes Zertifikat.
Als Reaktion auf den Vorfall hat das CTIE Ende November der App allerdings ein Update verpasst, das beim Scannen von Fantasienamen den QR-Code als ungültig identifiziert. Zertifikate mit komplett erfundenen Namen sollen also nicht mehr erkannt werden. Trotzdem: Der Fehler ist laut Houtsch nicht informatischer, sondern menschlicher Natur. „Wenn eine Person Impfzertifikate ausstellen darf und dies tut, obwohl der Betroffene nicht geimpft wurde – da gibt es keine technische Lösung“, meint der Direktor. „Da kann man so viel Technik reinstecken, wie man will, das ändert nichts.“ Den QR-Code könne man nämlich nicht fälschen.
Die Zertifikate mit frei erfundenem Namen wurden im Ausland erstellt. In Luxemburg ist dies laut Houtsch – dank „hohem Sicherheitsstandard“ – nicht möglich, da das Impfzertifikat an das nationale Personenregister gekoppelt sei. „Spongebob existiert im Luxemburger Personenregister nicht, deshalb kann auch kein Zertifikat für ihn ausgestellt werden, so wie das im Ausland passiert ist“, sagt Houtsch. Im Großherzogtum sei es außerdem möglich, zurückzuverfolgen, wer welches Zertifikat ausgestellt hat. Alle Zugriffe auf das System zum Erstellen der Zertifikate würden mit LuxTrust funktionieren. „Das heißt, es ist nicht möglich, das Passwort von einem Arzt zu klauen und unter seinem Namen so etwas zu machen“, sagt Houtsch.
So funktioniert die Covid-Check-App
Das CTIE habe, in Zusammenarbeit mit „Incert“, eine zentrale Plattform entwickelt, um die Zertifikate zu produzieren. Drei Akteure können laut Houtsch darauf zugreifen: das nationale Impfregister (MSVAC), die Labore, wenn sie einen positiven oder negativen Test vorliegen haben, und die Personen, die einen Schnelltest über MyGuichet zertifizieren. „Der Weg zur Plattform ist anders, aber es ist immer die Plattform, die das Zertifikat generiert“, erklärt Houtsch.
Zum Scannen der automatisch generierten QR-Codes hat das CTIE die Covid-Check-App entwickelt, die sich einmal pro Tag mit dem „National Gateway“ verbindet. „Das ist ein Server, den jedes Land hat. Dort lädt die App die aktuellen Covid-Regeln der Mitgliedstaaten herunter“, sagt Houtsch. Die Anwendung aktualisiert auch die Liste der Schlüssel, die benutzt werden, um den QR-Code kryptografisch zu unterschreiben. Anhand dieser Signatur überprüft die App, ob ein gescannter Code tatsächlich von einem der Mitgliedsländer erstellt wurde. „Falls das zutrifft, dann muss die App schauen, ob das Zertifikat gültig ist. Das hängt wiederum von den Covid-Regeln der Mitgliedstaaten und der Auswahl des Szenarios ab: Also 2G, 3G oder Travel“, sagt Houtsch. Das heiße allerdings nicht, dass das Mobiltelefon eine Liste mit allen Geimpften oder private Daten speichert.
Für die Koordination zwischen den Mitgliedstaaten und die Standards sei eine EU-Behörde zuständig, an der die Luxemburger „Santé“ auch teilnehme. Dort werde auch über neue Funktionalitäten entschieden. So arbeite eine Arbeitsgruppe momentan daran, einzelne Zertifikate zurücknehmen und für ungültig erklären zu können. „Das war vorher nicht möglich“, sagt Houtsch.
Das Tageblatt hat das Justizministerium gefragt, wie viele Menschen bis jetzt in Luxemburg mit einem falschen Zertifikat erwischt wurden
„Aus den Informationen, die uns zugänglich sind, ist auf den ersten Blick nicht herauszulesen, ob zum Beispiel die Verstöße wegen Fälschung und Gebrauch einer Fälschung in einem Covid-Kontext oder in einem anderen Zusammenhang standen. Um das zu klären, müsste man jedes Dossier einzeln betrachten. Dieser Aufwand wäre enorm und deswegen ist es uns leider unmöglich, Ihnen konkret auf Ihre Fragen zu antworten“, so der Pressesprecher des Justizministeriums.
Zum Fall des ungeimpften Mitarbeiters der „Santé“, der Anfang November einen Arbeitskollegen darum gebeten haben soll, ihm ein negatives PCR-Testergebnis zu zertifizieren, sagte der Sprecher, eine Untersuchung gegen diese Person sei eingeleitet worden.
Viel Arbeit, wenig Zeit
Die Covid-Check-App musste laut Patrick Houtsch innerhalb kürzester Zeit entwickelt werden. „Es war eine Herausforderung – der Zeitdruck war sehr groß und wir mussten auch die Standards der EU ständig im Auge behalten, um die Finalisierung so schnell wie möglich umsetzen zu können“, so Houtsch. Dazu sei auch noch gekommen, dass die Anforderungen sich auch nach der Veröffentlichung der Anwendung ständig verändern. „Das ist fast eine größere Herausforderung, denn Änderungen wie 2G+ kommen relativ kurzfristig, was für die Entwicklung von Software schwierig ist“, sagt der CTIE-Direktor. Nach der Umsetzung stehe nämlich auch noch eine Testphase an, die Zeit koste.
Die Pandemie bedeute überhaupt sehr viel Arbeit für das CTIE. Das gehe von der Entwicklung der Informationswebseiten über das Einführen der Homeoffice-Infrastruktur bis hin zum Drucken der Flyer und Impfeinladungen. „Wir haben auch eine Druckerei und in den vergangenen zwei Jahren ist das Volumen von dem, was wir gedruckt haben, extrem angestiegen“, erklärt Houtsch. Vor allem beschäftige die von der Politik vorangetriebene Digitalisierung des Staates viele der 470 internen Mitarbeiter, was auch eine der Hauptaufgaben des Zentrums ist. Das CTIE hat unter anderem den Strafregisterauszug elektronisch verfügbar gemacht, eine neue Identitätskarte produziert und die MyGuichet-App eingeführt. „Und wir sind mit über 400 Menschen in ein neues Gebäude gezogen – das war auch ein großes Projekt“, sagt Houtsch.
Das CTIE müsse auch konstant mehrere Systeme verwalten und instand setzen. Im Jahr 2021 seien etwa 3,8 Millionen Vorgänge auf MyGuichet abgeschlossen worden. Pannen würden dann auch nicht ausbleiben. „Wenn man solche Systeme permanent laufen hat, bleibt es nicht aus, dass die eine oder andere Panne vorkommt. Was dann wichtig ist, ist, dass das Problem schnell behoben wird – und das haben wir meiner Meinung nach auch geschafft“, sagt Houtsch.
Die Krise habe die Digitalisierung noch vorangetrieben. Die zusätzliche Arbeit werde allerdings auch von der Politik unterstützt. „Wir können rekrutieren und unser Budget wurde auch angepasst – ich bin zufrieden mit der Unterstützung“, so Houtsch. Das Rekrutieren gestalte sich allerdings nicht einfach. Es würden noch sehr viele Stellen in allen Bereichen der Informatik offenstehen. „Es ist klar, dass es nicht leicht ist, die richtigen Menschen zu finden“, sagt der CTIE-Direktor. „Das Problem ist aber auch: Wenn ich heute rekrutieren darf, dann fängt die Person vielleicht in sechs Monaten an und dann dauert es noch einmal sechs Monate, bis sie eingearbeitet ist.“ Der Prozess sei sehr zeitaufwendig.
@Ludo haut am PCR Test ass just dCNS Kaart gefrot ginn. Ech keint mech do als en aneren ausginn an deen kritt dann den Genesen Status.
@Johnny Och dat ass Dokumentenfälschung,an enplus Muss de dech nawel ausweisen also vergiess et. Get een deieren Cajot Beier
Oder et sicht een sech eng grad Positiv getesten Persoun, gett een deem seng Krankekees Kaart an deen geet dann an denger Platz op däin Numm an de PCR Test.... An deen ass dann offizielle gülteg a kascht e Kajot Beier... All System kann iwwerlist ginn....
Op diverse Plattformen kann en sech en digitalen EU Zertifikat mat QR Code vir 350-500€ kafen, wou vun allen Apps accepteiert ginn.
Wer erwischt wird, wird doch fristlos entlassen und wegen Urkundenfälschung in den Knast verfrachtet. Aber diese C* schreckt das nicht, die glauben ja alles.