​epicenter.works bekam interne Dokumente zur geplanten Umsetzung des grünen Passes in Österreich zugespielt und warnt vor gravierenden Privatsphäreprobleme und Sicherheitslücken mit Gefährdung für Gesundheitsdaten. Die auf der Rückseite der e-Card angegebene Kartennummer soll als Schlüssel für den Zugang zu Gesundheitsdaten aus dem Covid-Pass dienen. So kann mit geringem technischen Aufwand der Corona-Status einer Person aus einem zentralen System abgefragt werden. Ein massenhaftes Abrufen von Daten aller sozialversicherten Personen in Österreich ist möglich und aufgrund der Architektur des Systems auch fast nicht verhinderbar. Weiters ist das System so gebaut, dass jeder Eintritt zu Gastronomie, Frisiersalon, Kulturstätte oder anderen Orten mit Eintrittstestpflicht an zentraler Stelle überwacht werden kann. Wir veröffentlichen diese Schwachstellen heute, damit der Datenschutz im geplanten System noch einmal grundlegend überdacht wird, weil nur so die Gesundheitsdaten der Bevölkerung geschützt bleiben können.

Der Grüne Pass und die "GreenCheck"-App

Breit diskutiert wurde in den vergangenen Monaten der sogenannte "grüne Pass". Mit diesem soll es allen Menschen im Land möglich sein ihren Covid-Status nachzuweisen. Diese Covid-Nachweise sollen mit einer "GreenCheck"-App kontrolliert werden. Diese App soll explizit in privaten Betriebsstätten wie Frisiersalons, Gastronomie, Kultur- oder Sportstätten verwendet werden. Nur wer bei der Kontrolle "grün" ist, soll eingelassen werden.

Neben EU-Zertifikaten kommt die e-Card ins Spiel

Die EU-Verordnung für einen Covid-Pass sieht vor, dass Test-, Genesungs- und Impfnachweise in Form eines QR-Codes ausgestellt werden. Der QR-Code selbst enthält eine digitale Signatur zur Überprüfung der Echtheit und weiters in unverschlüsselter Form alle notwendigen Informationen zu Testungen, Genesungen und Impfungen der Person. In Österreich plant man parallel dazu, auch die e-Card als Möglichkeit des Nachweises zu verwenden. Auf der e-Card ist aber der Covid-Status einer Person natürlich nicht gespeichert. Deshalb soll die GreenCheck-App die Rückseite der e-Card abfotografieren können, aus diesem Bild die Kartennummer im linken unteren Eck auslesen und mit dieser Nummer an einem zentralen Server nachfragen, wie der Covid-Status der sozialversicherten Person ist. Zusätzlich wird für jede gültige Abfrage auch noch der vollständige Name und das Geburtsdatum der Person angezeigt.

Die e-Card hat nicht die Sicherheitsmerkmale eines Personalausweises. Es befinden sich keine Hologramme darauf und die Sicherheit liegt einzig im elektronischen Chip auf der Vorderseite der Karte, der hier aber nicht verwendet wird. Die e-Card wird schon im regulären Gesundheitsbetrieb oft aus der Hand gegeben oder fotokopiert, zum Beispiel bei der Inanspruchnahme von Gesundheitsleistungen im europäischen Ausland. Die Kartennummer ist also vielen Leuten bekannt und kein geeignetes Merkmal zur Absicherung von Gesundheitsdaten.

One number to rule them all

Parallel zum QR-Code des europäischen Systems ist in Österreich die 20-stellige Kartennummer auf der Rückseite der e-Card also das Tor zum Corona-Nachweis jeder sozialversicherten Person in Österreich. Von diesen 20 Stellen sind die ersten 10 Stellen jedoch fest. Wir haben uns noch nicht näher damit beschäftigt, ob die Kartennummern nach einem Muster oder gar aufsteigend vergeben werden. Auch wenn die Nummern komplett zufällig verteilt wären, ist der Zahlenraum von einer Milliarde möglicher Kartennummern aber beherrschbar. Sogar mit reinem Durchprobieren hätte man den Namen, das Geburtsdatum und den Status des Covid-Nachweises aller Sozialversicherten bei einer niedrigen Geschwindigkeit und wenigen IP-Adressen in unter einem Monat kopiert. Sollte ein/e Angreifer*in kriminelle Energie aufbringen und ein Botnetz für diese Aktion anmieten, könnte man bereits nach wenigen Tagen an diese Daten aller Sozialversicherten kommen.

Eine klassische Maßnahme um das schnelle Abfragen von vielen Karten zu verhindern, wäre die verpflichtende Eingabe eines Captchas. Da dieses System aber zur Massenabfertigung bei Konzerten, Stadien oder überfüllter Gastronomie zum Einsatz kommen soll, ist ein konsequenter Einsatz einer solchen Schutzmaßnahme aber kaum praktikabel.

Der Status einer Person als grün oder rot muss nicht notwendigerweise Rückschlüsse darauf zulassen, ob die Person genesen, geimpft oder getestet ist. Jedoch kann man über das wiederholte Abfragen und Erkennen von Lücken in einem Grün-Status durchaus Aussagen über eine Person treffen. Sollten in der Benutzerausgabe der "GreenCheck"-App mehr als die eigentliche Farbe vorhanden sein, z.B. wie lange der grüne Status noch andauert oder ob dieser für körpernahe Berufe auch gültig ist, wären noch mehr Rückschlüsse möglich.

Um in Österreich an sein gültiges EU-Zertifikat zu kommen, soll es zudem in einem weiteren Schritt noch die "Grüner Pass"-App geben. Auch dort spielt die Kartennummer auf der Rückseite der e-Card gemeinsam mit der Postleitzahl eine Rolle zur Übertragung von QR-Codes in die App. In diesem EU-Zertifikat sind Informationen wie der Testzeitpunkt und -ort, die Chargennummer der Impfung und der Impfstoff, sowie bei Genesungen die genaue Mutation von Covid-19, von der man genesen ist, einfach auslesbar enthalten. Diese sollen dann mit "eGovernment-konformen Methoden" abrufbar sein. Es steht zu hoffen, dass damit gemeint ist, dass eine weitere Verifikation mittels Handysignatur oder Bürgerkarte erfolgen muss, um an die eigentlichen Zertifikate zu gelangen.

Gefahr lauert im Umfeld

Kartennummer und Postleitzahl können nicht als geheime Merkmale aufgefasst werden.

Ein/e Kellner*in oder Security, der/die für die Kontrolle des Covid-Nachweises die e-Card der Gäste vor das Smartphone hält, muss nur ein Foto dieser Karte machen. Damit hat er/sie sowieso schon den vollständigen Namen, das Geburtsdatum und die Sozialversicherungsnummer der Person. Gerade in ländlichen Gegenden ist auch die Postleitzahl einfach zu ermitteln. Eine Sozialversichungskarte ohne ausgestellte Europäische Krankenversichungskarte auf der Rückseite (in diesem Fall sind die meisten Felder mit Sternchen markiert) gibt überdies auch einen Rückschluss auf fehlende Vorversicherungszeiten und damit darüber, wie lange eine Person schon im Land ist.

Wir sehen eine Gefahr für Stalking oder Erpressung, beides Delikte, die tendenziell im sozialen Naheverhältnis passieren. Eine Covid-19-Genesung etwa kann Rückschlüsse auf mögliche fortdauernde Gesundheitsbeeinträchtigungen erlauben (Long COVID), insbesondere im Arbeitsleben. De facto haben Genesene in Österreich keine Möglichkeit sowohl am sozialen Leben teilzunehmen als auch gleichzeitig ihre frühere Erkrankung geheim zu halten.

Zentrale Überwachbarkeit des sozialen Lebens

In Österreich hat man zudem ein System geschaffen, in dem eine zentrale Stelle für jede einzelne Prüfung eines Covid-Nachweises gefragt wird. Diese Abfrage lässt sich einer geprüften Person und einem Prüfzeitpunkt zuordnen und geht von dem Smartphone der Betriebsstätte aus. Damit kann an dieser zentralen, von der Verwaltung betriebenen Stelle für alle Bereiche des sozialen Lebens, in denen ein Covid-Nachweis als Eintrittstest vorausgesetzt werden, zugeordnet werden, wer wann wo war. So viel Information an einer Stelle kann niemals verhältnismäßig sein, insbesondere, weil es datenschutzfreundlichere Alternativen gäbe und diese auf EU-Ebene vorangetrieben und teilweise als fertige Software zur Verfügung gestellt werden.

Gegen die zentrale Überwachbarkeit des grünen Passes haben sich bereits mehrere Insitutionen ausgesprochen. Der Datenschutzrat hat am 30. März in einer Stellungnahme das "Kriterium der Unbeobachtbarkeit des Verhaltens der Nutzer (dezentrale Verifikation)" gefordert. Die Bioethikkommission hat am 21. April in einer Stellungnahme gefordert, dass

[d]ie Einhaltung der datenschutzrechtlichen Anforderungen, wie insbesondere des Prinzips der Datenminimierung, [...] weitgehend bereits durch das Design des Nachweissystems sichergestellt werden [sollte]. Zu erwägen ist daher auch, ob eine zwingende Online-Überprüfung jeder Verwendung solcher Nachweise notwendig ist, oder ob nicht auch – analoge oder digitale – Offline-Verifikationsmechanismen in Betracht kommen, die aus Sicht der Bioethikkommission klar zu bevorzugen sind.

Kürzlich am 29. April haben sich auch noch Ärztekammer, WKÖ UBIT, ÖG Telemed und der Fachverband der Elektroindustrie in einem Positionspapier klar gegen eine überwachbare Kontrolle des grünen Passes ausgesprochen:

Der dezentrale EU-Ansatz mit Offline-Verifikation und Public-Key-Austausch ist zu begrüßen. Auch die WHO geht in diese Richtung. Aufgrund des eleganten dezentralen internationalen Ansatzes sollte die Notwendigkeit für eine zentrale, nationale  Datenbank mit allen Nachweisen auf Vorrat hinterfragt werden und wird von den Autoren explizit nicht zur Umsetzung empfohlen.

Das System ist potenziell EU-rechtswidrig

Die Überwachbarkeit der Überprüfungen von Covid-Nachweisen in Österreich erstreckt sich auch auf die QR-Codes des EU-weiten Systems. Anders als in der Referenzimplementierung der EU mittels Smartphone-App, soll die Zertifikatsprüfung in Österreich nämlich in einer Web-App unter greencheck.gv.at, also auf den Servern der Verwaltung erfolgen. Die EU hat bewusst ein System vorgeschlagen, das eine Überprüfung auf den Endgeräten selbst ermöglicht. Dieser datenschutzfreundliche Ansatz wurde am 28. April im Verhandlungsmandat des Europaparlaments festgeschrieben. Dort werden auch nationale Systeme dazu verpflichtet, diese strengen Datenschutzstandards einzuhalten (siehe Artikel 8, 8a und 8b).

Genau für diese datenschutzfreundliche Lösung haben sich erst kürzlich 28 NGOs aus ganz Europa in einem offenen Brief ausgesprochen. Das was Österreich macht, verstößt gegen die Prinzipien des Datenschutzes und sollten die Verhandlungen über die EU-Verordnung im Mai diesen datenschutzfreundlichen Ansatz bestätigen, könnte alles, was Österreich bisher entwickelt hat, auf einen Schlag EU-rechtswidrig sein.

Wer ist für dieses Desaster verantwortlich?

Alles, was in Österreich über die letzten Monate entwickelt wurde, ist eigentlich bei weitem nicht in dem Zustand, um es mit den Echtdaten der Bevölkerung zu befüllen. Im Mai oder Anfang Juni mit diesem System live zu gehen, wäre aus unserer Sicht schwer fahrlässig. Um die hier skizzierten Schwachstellen zu entdecken, brauchte es nur einen kurzen Blick auf die Architektur. Wirkliche Kriminelle hätten ihre Freude mit dem österreichischen System. Besser wäre es, auf die europäische Lösung zu warten und sich bis dahin auf das Impfen zu konzentrieren.

Die Verantwortung für diese Architektur dürfte auf der politischen Ebene zu finden sein: Weil Österreich unbedingt das erste EU-Land mit einem grünen Pass sein will, ist ein enormer Zeitdruck entstanden. Dafür ist Bundeskanzler Sebastian Kurz verantwortlich.​