Ein offenbar echt wirkendes, also funktionsfähiges digitales COVID-19-Zertifikat der Europäischen Union, auf dem der Name von Adolf Hitler zu lesen war, kursierte diese Woche im Internet, bevor es schließlich für ungültig erklärt wurde. Der Vorfall wirft nun Fragen über die Sicherheit des EU-Systems zur Ausstellung des sogenannten "Grünen Passes" auf. Jedes derartige, mit einem QR-Code versehene Zertifikat kann als digitaler Nachweis einer Corona-Impfung, Negativ-Testung oder Genesung von COVID-19 eingesetzt werden.
Die jüngste Debatte kam am Dienstag im Internet in Gang – durch das Auftauchen eines QR-Codes, der beim Scannen mit verschiedenen Verifizierungs-Apps ein funktionierendes digitales EU-COVID-Zertifikat anzeigte, welches allerdings auf den Namen Adolf Hitler, geboren am 1. Januar 1900, ausgestellt war. Mehrere Versionen des Codes tauchten daraufhin in Technikforen auf, einige mit dem Namen in Großbuchstaben, andere wiederum mit einem anderen Geburtstag. Doch sie alle hätten "dem Führer" Zutritt zu Veranstaltungen in Innenbereichen gewährt, die für Ungeimpfte ohne solch ein Zertifikat eigentlich verboten sind.
Die Geschichte wurde von mehreren italienischen Medien wie der Nachrichtenagentur Ansa aufgegriffen, aber es blieb zunächst unklar, woher die für die Erstellung des QR-Codes erforderlichen geheim gehaltenen Digitalschlüssel tatsächlich stammen. Die italienische Online-Tageszeitung Il Post berichtete etwa, dass dieses Hitler-Zertifikat mit einem Digitalschlüssel aus Frankreich ausgestellt worden wäre, merkte aber an, dass auch diese Information auch gefälscht sein könne.
Das europaweite COVID-Pass-System funktioniert mit einem asymmetrischen Public-Key-Verschlüsselungsverfahren, also durch die Verknüpfung eines öffentlichen Digitalschlüssels – der im QR-Code enthalten und für jeden, der den Code mit einer App scannt, sichtbar ist – mit einem geheim gehaltenen privaten Schlüssel, der im Besitz von Krankenhäusern oder anderen Gesundheitsdienstleistern ist. Die Einrichtungen, die die Gültigkeit des COVID-Zertifikats einer Person überprüfen, scannen den Code und erhalten ein grünes Häkchen, wenn er mit einem gültigen privaten Schlüssel signiert wurde, oder ein rotes Kreuz, wenn nicht.
Am Mittwochnachmittag wurde der spezielle private Digitalschlüssel, der zur Erzeugung des Codes im "Grünen Passes" auf Hitlers Namen verwendet wurde, gesperrt, doch ein polnischer Nutzer behauptete weiterhin in einem Technikforum, funktionierende Zertifikate zu verkaufen. Auch im sogenannten Darknet tauchten gleichlautende Posts auf. Ob der private Schlüssel, der zur Erzeugung von Hitlers Pass verwendet wurde, gestohlen wurde oder durchgesickert ist, bleibt ein Rätsel. Alternativ könnte auch ein legitimierter Angestellter irgendwo im Gesundheitswesen mit Zugang zu dem privaten Digitalschlüssel das gefälschte Zertifikat für den "Führer" der Nazis erstellt haben.
Durchgesickerte oder gestohlene Codes stellen ein ernstes Problem für das COVID-Zertifikatssystem der EU dar. Auf der Grundlage eines einzigen privaten Schlüssels kann eine beliebige Anzahl von gültigen Pässen erstellt werden, was bedeutet, dass der Widerruf eines dieser privaten Schlüssel alle darauf basierende Zertifikate ungültig machen würde, egal, ob das jeweilige nun echt oder gefälscht war. Die Neuerstellung von Hunderten oder gar Tausenden von COVID-Pässen mit einem neuen QR-Code auf einmal könnte das Vertrauen der Öffentlichkeit in das System beschädigen, das ohnehin bereits in einigen Ländern unpopulär ist und für Proteste gesorgt hat.
Hitler ist nicht der erste prominente Name, auf den ein gefälschtes COVID-Zertifikat ausgestellt wurde. Anfang des Monats wurde ein französischer Teenager verhaftet, als er versuchte, mit einem Impfpass auf den Namen des Präsidenten Emmanuel Macron in ein Krankenhaus zu gelangen. Die öffentlichen Daten des französischen Staatschefs waren ins Internet geleakt worden, was bedeutet, dass jeder dessen QR-Code als seinen eigenen verwenden konnte und jede dieser Fälschungen als gültig gelesen wurde. Allerdings wäre auch in diesem Fall jedem Beamten, der den Code persönlich überprüft, sofort klar, dass es sich bei dem Nutzer nicht um den französischen Präsidenten handelt.
Mehr zum Thema - Im Büro oder auf der Piste: Österreich führt fast überall 3G ein