May 21, 2021

BärCODE - das nächste Heilsversprechen auf App Basis

Der BärCODE macht vieles grundlegend richtig, Grundlegendes aber auch richtig falsch.

Die Charité möchte jetzt auch bei den digitalen Corona Helfern mitmischen. Ihr Beitrag, der BärCODE lässt sich folgendermaßen zusammenfassen: wir nehmen die Angaben aus einer Impfbescheinigung/eines PCR Tests, signieren diese kryptographisch und kodieren das Ergebnis als QR Code. Jeder mit der passenden App kann man dann die Angaben im QR auslesen und anhand der Signatur überprüfen, ob diese authentisch sind. Eine Internetverbindung oder zentrale Datenhaltung ist dafür nicht notwendig.

Praktisch ist ein auf Papier ausgedruckter BärCODE also die kostengünstige, maschinenlesbare Alternative zu einem Eintrag im gelben Impfpass mit Stempel und Hologrammaufkleber als Sicherheitsmerkmal. Und damit erschöpfen sich auch schon die Vorteile, bzw. fangen die Nachteile an.

1. Fehler

QR Codes lassen sich beliebig kopieren (ja, immer noch!) und prinzipbedingt auch nicht geheim halten. Wer einen QR Code scant, erhält automatisch eine Kopie. Gastwirte und Veranstalter können also durch Nutzung einer eignen Scanner App (die offizielle BärCODE App ist Open Source und somit leicht anpassbar) umfassende Kundendatenbanken mit folgenden Daten aus dem BärCODE anlegen:

  • Name
  • Geburtsdatum
  • Zeitpunkt der Probenentnahme oder der Impfung
  • Bestätigung eines negativen Testergebnisses oder einer vollständigen Impfung
  • Art des Tests oder Impfstoffs
  • Identifikation des Labors bzw. der Impf- oder Prüfstelle.

Hinzu kommen noch Veranstalter Metadaten:

  • Uhrzeit (und Ort) des Checkins beim Veranstalter.
  • QR Code Rohdaten, aus denen sich weitere QR Code Kopien (in beliebiger Skalierung) erstellen lassen.

Ein Gast kann sich dabei nie sicher sein, ob ein Veranstalter die original BärCODE App oder eine angepasste Version verwendet, die Daten in eine Datenbank einspeist. Anreize gibt es dazu reichlich, das Missbrauchspotential ist hoch!

Analytics - die Neugierde siegt.

Wer jemals ein Gründerseminar besucht hat, wird einen Vortrag von einem Unternehmensberater genossen haben, dessen Kernaussage lautete:

Sammele Informationen über deinen Kunden! Alles was du kriegen kannst. Mehr ist besser!

Den meisten (Jung)unternehmern ist dann zwar nicht klar, was sie mit den erhobenen Daten anfangen sollen/können, aber gesammelt wird dann natürlich trotzdem, frei nach dem Motto: der Steuerberater kriegt einen Schuhkarton Quittungen auf den Tisch, damit er daraus was fürs Finanzamt zaubert, der Unternehmensberater kriegt die Kundendatenbank, aus der er vielleicht irgendwelche schlauen Tips zur Umsatzsteigerung ableiten kann.

Aus Verbrauchersicht ist es es niemals erstrebenswert, in einer Kundendatenbank zu Marktforschungszwecken erfasst zu sein. Marktforschung dient immer nur einseitig den Unternehmen. Darüber hinaus können Kundendatenbanken selbstverständlich gestohlen, verkauft oder anderweitig zweckentfremdet bzw. durch externe Dienstleister ausgewertet werden.

Ihre Postleitzahl bitte? Wer erinnert sich noch als einige Super- und Elektronikmarktketten angefangen haben, an der Kassen Kunden nach ihrer Postleitzahl fragen? Oft auch in einer Art, die suggerierte, dies sei für den Bezahlvorgang notwendig? Ziel war u.a. die Verteilung von Werbeprospekten ("Snail Mail SPAM") zu optimieren. Es ist wenig erfreulich, wenn das Einkaufsverhalten der Nachbarn zur Folge hat, dass der eigene Briefkasten zum Altpapiercontainer wird.

Insbesondere besteht hier also die Gefahr, dass ein Softwareunternehmen, auf Basis der BärCODE App, eine eigene App mit angeschlossener Datenauswertung erstellt und Gastronomen/Veranstaltern (gratis) zur Marktanalyse anbietet. Klingt absurd, ist aber genau das (sehr erfolgreiche) Geschäftsmodell von Google Analytics, welches auf praktisch jeder zweiten Website eingebunden wird. Wobei Google Analytics keinesfalls konkurrenzlos ist. Die meisten großen Onlinepublikationen setzen einen bunten Strauß von Trackern verschiedenster Hersteller zur Reichweitenmessung ein.

Für einen einzelnen Gastwirt lohnt sich der Aufwand für die Erstellung einer eigenen Scanner App sicherlich nicht. Allerdings ist es in der Softwarebranche an der Tagesordnung, Startups mit windigen Geschäftsmodellen zu gründen. Und ein solches Startup könnte bei einem landesweitem Einsatz von BärCODE Bewegungsprofile in großem Stil erstellen, bzw. Checkins mit anderen Datenbanken zusammen führen und umfassende Kundenprofile zu Werbezwecken bilden.

Phishing

Name und Geburtsdatum identifizieren eine Person (mit hoher Wahrscheinlichkeit) eindeutig. Aus diesem Grund wird diese Kombination in vielen Datenbanken als Primärschlüssel für Personendatensätze verwendet. Insbesondere Telefonhotlines, z.B. von Krankenkassen, greifen oft hierauf zurück, um Kunden zu identifizieren. Ein Geburtsdatum ist daher, in Verbindung mit dem Namen, ein hochgradig schützenswerter Datensatz, der Identitätsdiebstahl ermöglicht und deshalb nicht leichtfertig preis gegeben werden sollte. Insbesondere sollte man ihn nicht jedem Kneipenwirt anvertrauen, der möglicherweise auf einen Unternehmensberater gehört hat und einen externen Dienstleister Marktanalyse betreiben lässt.

Betrug und Erpressung

Eine aktuelle Betrugsmasche besteht darin, in großem Stil Emails zu verschicken, die den Empfänger darüber in Kenntnis setzen, dass sein Computer gehackt und ein Webcam Video aufgezeichnet wurde, welches ihn beim Konsum pornographischer Websites zeigt. Der Veröffentlichung dieses Videos kann er nur durch Zahlung eines Schutzgeldes entgehen.

Es erfordert keine große Phantasie, die Masche dahingehend abzuändern, zu behaupten, dass ein (gestohlener) BärCODE dazu benutzt wird, um in (illegalen) Bordellen einzuchecken, wenn kein Schutzgeld gezahlt wird.

Gästelisten

Inwiefern der BärCODE die Gastronomie vom Führen von Gästelisten befreit ist noch unklar. Im schlimmsten Fall könnten Gastronomen den BärCODE scannen und die Daten dann, per Webinterface, in die Luca Appp übertragen. Womit der Checkin nicht nur einem windigem Unternehmen zugänglich gemacht wird, sondern wieder genau das Problem entsteht, dass die Polizei auf Gästelisten zurück greift, um Bagatellverbrechen aufzuklären (zur Erinnerung: Name und Geburtsdatum sind Primärschlüssel auf Personalausweisen, eine Telefonnummer o.ä. ist zur Kontaktaufnahme also nicht erforderlich).

QR Code Schwarzmarkt

Impfgegner können keinen legitimen BärCODE mit Impfnachweis erhalten (bestenfalls einen PCR Test Nachweis, welcher aber nur eine kurze Halbwertzeit hat). Menschen, die um ihre Privatsphäre besorgt sind, haben (aus oben genannten Gründen) eventuell kein Interesse daran ihre Anonymität aufzugeben. Eine leichtfertig aufgebaute und dann gestohlene Kundendatenbank hat somit Wert auf dem Schwarzmarkt.

2. Fehler

Der BärCODE ist kryptographisch signiert und somit fälschungssicher. Ob Inhaber und Nutzer allerdings dieselbe Person sind, lässt sich nicht direkt überprüfen. Veranstalter können sich also nicht ohne Abgleich mit einem Ausweisdokument (Personalausweis, Reisepass, Führerschein) auf den BärCODE verlassen, wodurch eine Reihe von Problemen entstehen:

  • Kinder und Jugendliche unter 16 Jahren besitzen keinen Ausweis mit Lichtbild und sind somit vom System ausgeschlossen.
  • Wenn zusätzlich immer noch ein Ausweis erforderlich ist, dann ist eine rein digitale Funktion (Vorzeigen per Smartphone) nicht möglich. Der QR Code hat dann keinen Mehrwert gegenüber einer traditionellen Papierbescheinigung mit Sicherheitsmerkmal (Wasserzeichen, Spezialtinte, Hologramsticker, …), außer maschinenlesbar zu sein, was aber aus Sicht des Inhabers ein Nachteil ist.
  • Gastwirte/Veranstalter haben keinen besonderen Anreiz, genau zu kontrollieren (daran sind schon die Gästelisten auf Papier gescheitert).

Hierdurch entsteht insbesondere dadurch ein Problem, dass sich Ungeimpfte/Ungetestete mit gestohlenen BärCODEs Zugang zu Veranstaltungen erschleichen und sich dort dann an der Verbreitung von Viren beteiligen können. Zur Erinnerung: weder Impfung, noch PCR Test bieten 100%ige Sicherheit. Es wäre also möglich, dass sich ein Impfgegner bei einem eigentlich Geimpften, einem negativ Getestetem oder eben einem anderem Impfgegner in inkognito auf einer Veranstaltung ansteckt.

Wie sehr zu kurz gedacht BärCODE ist, merkt man, wenn man sich einen Szene Club vor Augen hält, bei dem der Türsteher zwar brav Personalausweis und Bescheinigung am Einlass kontrolliert, die Gäste aber vor dem Eingang Schlange stehen.

Der grundsätzliche Denkfehler aller Öffnungs”konzepte” besteht in dem Glauben, dass wir uns mit Kontaktverfolgung und Sonderrechten für Geimpfte wieder mehr erlauben können, weil wir (vermeintlich) eine größere Sicherheitsmarge haben, um den Status Quo aufrecht zu erhalten. Unser Ziel ist aber nicht die Aufrechterhaltung des Status Quo, sondern die Ausrottung des Virus, welches sich immer noch exponentiell schnell verbreitet. Löcherige Sicherheitskonzepte, die unter der irrigen Annahme implementiert wurden, dass schon jeder regelkonform mitspielen wird haben Potential, sich zu einem Pandemietreiber zu entwickeln.

Fazit: Sicherheitstheater

BärCODE reiht sich nahtlos in die “Hauptsache irgendwas mit Apps” Anti Corona Aktionismus Maßnahmen ein. Was sich zuerst wie eine gute Idee anhört, entpuppt sich bei näherer Betrachtung dann doch wieder als die übliche, undurchdachte, überzüchtete Datenschutzkatastrophe, die keine Probleme richtig löst, aber haufenweise Neue schafft.