QR-Code leicht zu fälschen: Sicherheitsmängel bei Grünem Pass

Demnach haben die Studenten herausgefunden, dass sich der QR-Code relativ leicht fälschen lasse. Das bestätigt Jakob Stadlhuber, Student der FH Hagenberg, im Gespräch mit den OÖNachrichten. Grundsätzlich sei es gut, dass es so eine App gebe, aber das Problem sei offensichtlich. Das Gesundheitsministerium kündigt eine Behebung mit dem nächsten Update an.

Auf der App können Getestete, Geimpfte und Genesene ihre Zertifikate speichern. Dafür muss man den QR-Code einscannen, der auf dem offiziellen Dokument über die Webseite gesundheit.gv.at heruntergeladen wird. Die App zeigt dann entweder den QR-Code an, damit er bei Kontrollen gescannt werden kann. Alternativ listet sie die enthaltenen Informationen auf, etwa wann man mit welchem Vakzin geimpft wurde.

Richtigkeit des Zertifikats wird nicht überprüft

Die Studenten haben nun bei der Entwicklung einer ähnlichen App festgestellt, dass zu keinem Zeitpunkt geprüft werde, ob der QR-Code der offiziellen Anwendung tatsächlich gültig ist. Aus dem Bundesrechenzentrum heißt es auf OÖN-Anfrage, man wisse über die Diskussion Bescheid. Es liege jedoch nicht in der Verantwortung des BRZ, ob der Grüne Pass auch kontrolliert werde. Die Überprüfung des Codes erfolge erst durch den Scan mit der zweiten App, Green Check, vor Ort durch das Personal in Restaurants, beim Friseur oder auf Reisen. 

In der Theorie finde diese Überprüfung im Alltag allerdings nicht immer statt, und es würden nur die angezeigten Informationen durchgelesen. Damit werde nicht überprüft, ob jemand tatsächlich auch sein eigenes Impfzertifikat verwendet, theoretisch wäre es damit auch möglich, dass Ungeimpfte eine Impfung vortäuschen.

In Deutschland validiert etwa die App des Robert-Koch-Instituts direkt beim Hinzufügen des Zertifikats, ob der QR-Code überhaupt gültig ist. Falls nicht, kann es gar nicht in der App gespeichert werden. Auch die Schweizer App prüft die Gültigkeit unmittelbar.

Video:

Demnächst Update verfügbar

Die österreichische App basiert auf dieser Open Source Anwendung, die das Schweizer Bundesamt für Informatik und Telekommunikation (BIT) entwickelt hat. Daher ist die Prüf-Funktion im verwendeten Quellcode zumindest vorgesehen. Nach den Recherchen der Studierenden der FH Hagenberg ist an dieser Stelle bei der österreichischen App nur eine To-Do-Liste hinterlegt. So lasse sich relativ leicht ein QR-Code fälschen, der zwar von der App als EU-konform gelesen wird, aber beliebige Informationen enthält.

Das BRZ verwies darauf, dass es strafbar sei, das Dokument zu fälschen. Das Gesundheitsministerium kündigte auf OÖN-Anfrage an, dass das Problem demnächst mit einem Update behoben werden soll. Es sei jedoch von Anfang an so vorgesehen gewesen, dass die Überprüfung des QR-Codes mit einer zweiten App "zu verschränken" sei. Künftig soll das mit einer App funktionieren, Wann das Update konkret auf den Markt kommen soll, steht aber noch nicht fest. Bisher wurde die App des Gesundheitsministeriums mehr als eine Million Mal auf Smartphones in Österreich installiert.