Ein scheinbar funktionsfähiges digitales Covid-Zertifikat der EU, das den Namen Adolf Hitlers trägt, kursierte diese Woche im Internet, bevor es für ungültig erklärt wurde. Der Vorfall wirft Fragen über die Sicherheit des “Impfpass”-Systems auf.
Am Dienstag tauchte im Internet ein QR-Code auf, der beim Scannen mit verschiedenen Verifizierungs-Apps ein funktionierendes digitales EU-Covid-Zertifikat mit dem Namen “Adolf Hitler”, geboren am 1. Januar 1900, offenbarte. Mehrere Versionen des Codes tauchten daraufhin in Technikforen auf, einige mit dem Namen in Großbuchstaben, andere mit einem anderen Geburtstag. Aber alle hätten dem Führer Zugang zu allen Veranstaltungen in Gebäuden gewährt, die für Ungeimpfte verboten sind.
Die Geschichte wurde von den italienischen Medien aufgegriffen, aber es ist nicht bekannt, woher die für die Generierung von Hitlers QR-Code erforderlichen Sicherheitsschlüssel tatsächlich stammen. Il Post berichtete, dass Hitlers Ausweis mit einem Schlüssel aus Frankreich ausgestellt worden war, merkte aber an, dass diese Information auch gefälscht sein könnte.
Das europaweite Covid-Pass-System funktioniert durch die Verknüpfung eines öffentlichen Schlüssels (der im QR-Code enthalten und für jeden sichtbar ist, der den Code mit einer App scannt) mit einem privaten Schlüssel (im Besitz von Krankenhäusern oder anderen Gesundheitsdienstleistern). Die Einrichtungen, die die Gültigkeit des Covid-Passes einer Person überprüfen, scannen den Code und erhalten ein grünes Häkchen, wenn er mit dem privaten Schlüssel übereinstimmt, oder ein rotes Kreuz, wenn nicht.
Am Mittwochnachmittag wurde der private Schlüssel, mit dem Hitlers Ausweis verifiziert wurde, widerrufen, aber ein polnischer Benutzer in einem Technikforum behauptete weiterhin, funktionierende Zertifikate zu verkaufen, ebenso wie einige andere im sogenannten “Dark Web”.
Ob der private Schlüssel, der zur Überprüfung von Hitlers Pass verwendet wurde, gestohlen wurde oder durchgesickert ist, bleibt ein Rätsel. Alternativ könnte auch ein Angestellter des Gesundheitswesens mit Zugang zu dem privaten Schlüssel das gefälschte Zertifikat für den Naziführer erstellt haben.
Durchgesickerte oder gestohlene Schlüssel stellen ein ernstes Problem für das Covid-Zertifikatssystem der EU dar. Auf der Grundlage eines einzigen privaten Schlüssels kann eine beliebige Anzahl von Ausweisen erstellt werden, was bedeutet, dass der Entzug eines dieser Schlüssel alle darauf basierenden Ausweise ungültig machen würde, egal ob echt oder gefälscht. Die Neuzertifizierung von Hunderten oder gar Tausenden von Pässen auf einmal könnte das Vertrauen der Öffentlichkeit in das System erschüttern, das in einigen Ländern bereits unpopulär ist.
Hitler ist nicht der erste prominente Name, der ein gefälschtes Covid-Zertifikat erhalten hat. Anfang dieses Monats wurde ein französischer Teenager verhaftet, als er versuchte, mit den Daten der Gesundheitskarte von Präsident Emmanuel Macron in ein Krankenhaus zu gelangen. Die öffentlichen Daten des französischen Präsidenten waren online durchgesickert, was bedeutet, dass jeder seinen QR-Code als seinen eigenen verwenden könnte und der Code als gültig gelesen würde. Einem Beamten, der den Code persönlich überprüft, wäre jedoch sofort klar, dass es sich bei dem Nutzer nicht um den Präsidenten handelt.
