Die meisten, die ihr Covid-Zertifikat bereits irgendwo in einem Restaurant oder im Nachtclub vorweisen mussten, kennen es: Es gibt jene Türsteherinnen, die das Covid-Zertifikat korrekt prüfen: Sie scannen den QR-Code vom Handy des Gastes und sehen dann eine grüne oder rote Farbe: gültig oder ungültig.
Es gibt aber auch Kellner, die es lieber schnell mögen: Statt den QR-Code zu scannen, drücken sie auf dem Handy des Gastes den Überprüfungsbutton: Die App zeigt dann dieselben Farben an: Grün für «gültig», rot für «ungültig».
Bei dieser zweiten, unsachgemässen Kontrolle des Covid-Zertifikats existiert eine gravierende Sicherheitslücke: Wer ein abgelaufenes Test- oder Genesenenzertifikat hatte, konnte es lange über das Ablaufdatum hinaus gültig erscheinen lassen.
Dafür musste lediglich das Datum auf dem Smartphone geändert werden. Galt das abgelaufene Covid-Zertifikat zur gefälschten Datumseinstellung des Smartphones als gültig, wurde es auch als gültig nach der Überprüfung durch die App angezeigt.
Die «Covid Cert»-App verglich zwar die eindeutige Zertifikatskennung mit einer Liste des Bundes: Dort drauf waren aber nur Zertifikate, die aufgrund eines Tippfehlers oder missbräuchlicher Ausstellung als «zurückgezogen» markiert wurden. Ein abgelaufenes Zertifikat gilt hingegen nicht als «zurückgezogen», womit es in der Aufbewahrungs-App «Covid Cert» nur anhand des Gültigkeitsdatums überprüft wird.
Aufgrund des technischen Aufbaus der Zertifikatsprüfung ist es nicht möglich herauszufinden, wie viele Personen diese Sicherheitslücke missbraucht haben. watson weiss jedoch, dass sich einzelne Covid-Massnahmen-skeptische Personen mit dem Wissen über die Sicherheitslücke gerühmt haben.
Durch diese gravierende Sicherheitslücke konnte eine Betrügerin oder ein Betrüger ein Restaurant, einen Nachtclub oder das Fitnesscenter täuschen, sofern die Türsteherin oder der Kellner zur «schnellen», aber unsachgemässen Methode griff. Bemerken konnte man die Täuschung nur, wenn man sich als Prüferin oder Prüfer das Handy des Gastes genau anschaute: Die «Covid Cert»-App zeigte das Ablaufdatum klein an.
Das Bundesamt für Gesundheit (BAG) bewarb zu keinem Zeitpunkt diese «schnelle» Prüfmethode. Die Behörde verwies von Anfang an auf die zweite App namens «Covid Certificate Check», mit der Prüferinnen und Prüfer einen vorgewiesenen QR-Code kontrollieren können. Die Kontroll-Vorgaben beschränkten sich jedoch auf den Abgleich von Vor- und Nachname sowie Geburtsdatum gemäss Identitätskarte oder Pass.
Ein genauer Blick auf das Gültigkeitsdatum war gemäss letztem Stand der BAG-Webseite nicht vorgesehen. Was wohl einige Prüferinnen und Prüfer dazu verleitete, die Zertifikatsprüfung einfachheitshalber mit dem Handy des Gastes vorzunehmen.
Diese «schnelle» und unsachgemässe Prüfung wurde auch in Kenntnis der Behörden so praktiziert. So wurde auf der Entwicklungsplattform zum Schweizer Covid-Zertifikat vor wenigen Tagen darüber diskutiert, dass einzelne Lokalitäten nicht zum «Scan», sondern zur «Selbstprüfung» auf dem Handy des Gastes griffen.
watson bot dem zuständigen Bundesamt für Gesundheit (BAG) Zeit zur Beseitigung des Missbrauchspotentials, um Betrügerinnen und Betrügern nicht zur Ausnutzung zu verleiten. Das Bundesamt kommunizierte bislang nicht, bis wann die Manipulationsmöglichkeit behoben wird.
Das BAG teilt auf Anfrage lediglich mit, dass alle Kontrollstellen – also Restaurantbetreiber, Kellner, Türsteherinnen und Co. – die Kontroll-Apps für die Überprüfung von Zertifikaten nutzen müssen. Gemeint sei insbesondere «COVID Certificate Check», die offizielle App des Bundes. «Damit sind Manipulationen nicht möglich. Dies wird auch in der Verordnung Covid-Zertifikate nochmals ausdrücklich vermerkt werden», so die kurze Stellungnahme.
Damit hat das BIT durchaus recht – nur zeigt die Erfahrung der letzten Tage, dass eben nicht alle Kontrollstellen das Zertifikat richtig kontrollieren. Zur Frage, ob der Bund wegen des Missbrauchspotentials deutlicher auf die korrekte Zertifikatsprüfung mittels Scan hinweisen soll, antwortet das Bundesamt für Gesundheit lediglich: «Das BAG hat sowohl die Verbände als auch die Kantone darauf hingewiesen, dass es unzulässig ist, dass Prüfer den Refresh-Butten auf fremden Handys betätigen. Die einzige zulässige Prüfmethode ist die Verwendung der Prüf-App durch die Prüferin oder den Prüfer.»
Ich verstehe aber, dass die „Aktualisieren“-Funktion mit dem schönen grünen Haken technisch weniger kundige Prüfer dazu verleitet, darauf zu vertrauen.
Die App sollte deshalb keine Funktionen enthalten, die eine Prüfung suggerieren. In der SBB-App steht auch nicht „Billett gültig“.