Noch sei die Funktion „Zertifikatsprüfung bei Buchung“ nicht aktiv, teilt eine Sprecherin des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Handelsblatt Inside mit. „Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ist aktuell im Gespräch mit dem RKI und dem Bundesgesundheitsministerium (BMG) über die Anforderungen an einen solchen Validierungsservice und seine Anbieter“, schreibt die BfDI-Sprecherin außerdem. Die renommierte IT-Sicherheitsexpertin Bianca Kastl kritisiert das angedachte technische Verfahren dahinter scharf. Bei der Luca-App hatte sie bereits Sicherheitslücken aufgedeckt.

In 20 Sprachen kann die Covid-19-App heruntergeladen und zur Kontaktnachverfolgung angewendet werden. Nutzer werden alarmiert, wenn sie mit einer Person in Kontakt gekommen sind, die infiziert ist oder in Verdacht steht, infiziert zu sein. Bei der App-Entwicklung wurden zahlreiche Experten einbezogen. Bei der nun angedachten Weiterentwicklung hingegen nicht, sagt Kastl. „Auf den ausführlichen Austausch mit der digitalen Zivilgesellschaft wurde verzichtet“, erklärt sie.

Zu Fragen nach Sicherheitsrisiken bei der CWA-Version 2.15 wollen SAP und Telekom sich Handelsblatt Inside gegenüber nicht äußern und verweisen an das Bundesgesundheitsministerium, das Änderungen an der App freigeben müsse. Das BMG hat Handelsblatt Inside gegenüber bislang keine Stellung bezogen (Stand 31.12.2022).

Früher hat Kastl die CWA als „ein Vorzeigeprojekt unter den europäischen Digitalprojekten“ bezeichnet. „Dass die Corona-Warn-App an dieser Stelle nun personenbezogene Daten herausgibt, ist ein Bruch mit dem bisherigen Konzept“, sagt sie.

So können Tickets in der CWA gebucht werden

Auf der offiziellen Webseite der CWA wird erklärt, wie während einer Buchung eines Konzerttickets ein 3G-Nachweis erbracht werden kann. Zunächst müssen Nutzerinnen ihr Einverständnis geben. Dann erscheint ein QR-Code im Ticketbuchungsprozess, der mit dem universellen QR-Code-Scanner in der CWA gescannt werden kann. Wird ein Ticket hingegen mit dem Smartphone gebucht, kann ein Screenshot des QR-Codes in der CWA hochgeladen werden.

Die CWA überprüft bereits die Anforderungen eines Veranstalters und zeigt App-Nutzerinnen nur passende Zertifikate an. Das bedeutet, wenn ein Veranstalter 2G verlangt, können auch nur entsprechende Zertifikate ausgewählt werden. Hat ein Nutzer keinen gewünschten Nachweis, erscheint eine Meldung in der App.

Validierungsservice datenschutzrechtlich bedenklich

Nun tritt der Prozessschritt ein, den Kastl kritisiert. Nachdem Nutzer ein Zertifikat ausgewählt und ein weiteres Mal ihr Einverständnis gegeben haben, wird das Zertifikat, wie es auf der CWA-Webseite heißt, „vorübergehend verschlüsselt an den Validierungsservice übermittelt“. Der Validierungsservice gleicht die Regeln des Veranstalters mit dem Zertifikat ab. Veranstalter erfahren dabei nur, ob eine Ticketbesitzerin die Zugangsvoraussetzungen zum angefragten Zeitpunkt erfüllt. Übertragen wird das Zertifikat nicht an das Buchungssystem und auch nicht im Validierungsservice gespeichert.

„Laut Spezifikation der aktuellen Funktion der Validierung gibt es hier zwar eine Verschlüsselung der versendeten Daten und die Zertifikate werden nicht gespeichert, aber es entstehen unter Umständen viele Metadaten, die die Anonymität aufweichen können“, sagt Kastl. Damit sind bei einer Buchung für ein Flugticket zum Beispiel die IP-Adresse und die Reisedaten gemeint. Mittels dieser Daten können wiederum Rückschlüsse auf Nutzerinnen gezogen werden.

Server können angegriffen werden

Außerdem bestünde laut Kastl das Risiko, dass Server der sogenannten Prüfprovider kompromittiert werden könnten, die eine Validierung der Daten vornehmen. „Für Kriminelle ist ein Prüfprovider, an den alle Impfzertifikate geschickt werden, ein lukratives Ziel“, sagt sie. Verbrecher könnten sich motiviert fühlen, die Server anzugreifen und personenbezogene Daten abzugreifen, führt Kastl fort.

Die IT-Expertin nennt die Telekom als einen möglichen Prüfprovider in Deutschland. „Prinzipiell muss hier der Telekom vertraut werden, dass sie den Prozess als Prüfprovider in Deutschland sicher hinbekommt“, sagt Kastl. Sorge hat die ITlerin aber, wenn sich die Funktion auf europäischer Ebene durchsetzen sollte. In anderen Ländern müsste es dann auch Prüfprovider geben. „Ob hier allen Prüfprovidern immer vollständig vertraut werden kann, ist fraglich“, gibt sie zu Bedenken.

Kastl ist bereits mit den relevanten Stellen in Austausch, um die Funktion zu überarbeiten. „Es sollte auf keinem Fall normal werden, dass Impfzertifikate aus der Corona-Warn-App digital hin und her geschickt werden“, sagt sie.

Mehr: Der zweitgrößte Praxissoftware-Anbieter in Deutschland, Medatixx, wurde von Hackern angegriffen. Kunden sollen vorsorglich ihre Passwörter ändern.