Grüner Pass: QR-Code als Zertifikat ungeeignet

Vorlesen lassen

Grüner Pass ist nicht fälschungssicher

Unter dem Titel „Grüner Pass“ sollen QR-Codes nicht nur in Österreich, sondern EU-weit, als Zertifikat für Covid-19 Geimpfte, Getestete und Genesene dienen. Und damit ein behördliches Zertifikat darstellen. Trotzdem kann sich jeder Mensch ganz einfach selbst einen grünen Pass ausstellen.

Kein Datenabgleich

Ein QR-Code, der nur einen Link zu einer zentralen, gut geschützten Datenbank enthält, wäre relativ sicher. Denn die dort behördlich eingetragenen Daten können von außen kaum gefälscht werden.

Aber aus Datenschutzgründen ist dies nicht möglich, daher muss die Abfrage offline erfolgen. Das bedeutet, dass alle Daten direkt in dem QR-Code gespeichert werden und es keinen Datenabgleich zur Verifizierung gibt.

Wie im ORF berichtet, soll man also die eigenen QR-Codes „ausdrucken, abfotografieren oder am Smartphone speichern und – wenn gefragt – herzeigen“. Es braucht also kein „Drumherum“ wie Stempel, behördliche Anmerkungen, etc.  Sondern es genügt ein Ausdruck oder Foto des QR-Codes. Zum Scannen beim Eintrittstest kann jede beliebige QR-Code Reader App verwendet werden.

Warum QR-Codes leicht zu fälschen sind

QR-Codes gibt es seit den späten 90er Jahren des vorigen Jahrhunderts.
Deshalb ist die Systematik/Art der Codierung und damit die Erstellung von QR Codes „open source“, also hinlänglich bekannt. Sogar auf Wikipedia wird diese genau beschrieben, d.h. jede/r kann kostenlos mit entsprechender, frei verfügbarer Software einen QR-Code herstellen, der z.B. die „Grüner Pass“ Daten enthält. Das dauert keine zwei Minuten.

Natürlich kann man in diesen QR-Code Authentifizierungsmerkmale einbauen, die von einer „Grüner Pass App“, also einem speziellen QR-Code Reader erkannt werden müssen. Aber anhand eines echten Codes kann man diese Merkmale sehr leicht auch in einer Fälschung unterbringen.

Aufbau und Codierung eines QR-Codes sind öffentlich bekannt!

Ein QR-Code ist kein Datensafe, sondern ein offenes Buch!

Die ersten Fälschungen sind schon da

Wer, – wie so manche Verantwortliche – meint, das Fälschungsrisiko wäre gering und daher vertretbar, liegt leider falsch.
Denn obwohl der „Grüne Pass“ noch gar nicht gestartet ist, gibt es bereits aktive Angebote für dessen Fälschung.

Auf Telegram entdeckte RTL den Handel unter Corona-Leugnern. Besonders einfach ist die App „Corona Green Pass Austria“ von dem dubiosen Inhaber trueaustrian, die über soziale Medien und WhatsApp beworben wird. Hier gibt man seine Daten ein und schon erhält man den gewünschten QR-Code.

Für den Suchbegriff „Grüner Pass Fälschung“ gibt es bereits mehr als 500.000 Google Einträge. Auch TV und Print berichten schon.

Grüner Pass: sichere Alternativen

Klar, die Vorteile von QR-Codes sind verlockend. Denn diese Lösung ist praktikabel in der Anwendung, braucht wenig technische Infrastruktur und kaum Erklärungsbedarf für Nutzer*innen.
Ausserdem ist die Nutzung der QR-Code Technologie kostenlos.
Aber dafür bleibt die Fälschungssicherheit auf der Strecke, was für ein behördliches Zertifikat eigentlich ein No-Go sein sollte.

Ist der QR-Code alternativlos? Nein ist er nicht!

Moderne Datencodes wie z.B. der Speech Code oder der japanische Uni Voice Code bieten komplexere, nicht öffentlich zugängliche Algorithmen.
Besonders sicher sind sie auch, weil die Software zur Erstellung nur überprüften B2B Kunden zur Verfügung steht.
Daher wird eine Speech Code Variante vom weltweiten Player HID Global als Sicherheitsmerkmal für Reisepässe im Portfolio geführt.
Das Einlesen erfolgt ebenso schnell und offline wie bei einem QR-Code, die dazugehörige App ist kostenlos für iOS und Android in den App Stores erhältlich. Und ausserdem ist SpeechCode dank Audiofunktion auch barrierefrei!

Speech Code wird bereits seit 2019 in den Reisepässen Maltas eingesetzt. Bild: The Malta Independent