Warum visuelle digitale Zertifikate bislang meist nur theoretisch sicher sind
Um Informationen visuell codiert weiterzugeben, kommen schon seit langer Zeit Bar- und QR-Codes zum Einsatz. Im Alltag begegnen sie uns zum Beispiel auf Produkten im Supermarkt, auf Paketen oder Konzert-Tickets. „Die Datenmenge, die in dieser Form codiert werden kann, ist allerdings begrenzt. Oft steckt hinter den Codes deshalb auch nur der Link auf eine externe Quelle, wie eine Website oder ähnliches“, erklärt Gerhardt. Auch die Covid-Impfzertifikate, die während der Corona-Pandemie die “Eintrittskarte“ zu Restaurants und anderen öffentlichen Orten waren, trugen einen QR-Code. Dahinter steckte aber nicht nur ein Link, sondern kryptografisch signierte Daten, die den Impfstatus einer Person nachweisen konnten. Das funktionierte so: Die Impfstellen schickten persönliche Daten wie Namen und Geburtsdatum, ein persönliches Erkennungsmerkmal sowie Impfdatum und die Info über den verwendeten Impfstoff ans Robert-Koch-Institut (RKI). Das RKI wiederum versah diese Informationen mit einer digitalen Signatur und stellte ein entsprechendes Zertifikat aus. Das konnten sich die geimpften Personen dann unter Vorlage ihres Impf- und Personalausweises in Apotheken oder bei Ärzt:innen abholen. Das Zertifikat gab es digital oder auf Papier. Der QR-Code auf dem Zertifikat ließ sich mit Apps wie der Corona-Warn-App einscannen und so mit sich tragen. Das RKI löschte die erhobenen Daten nach Erstellen der Signatur wieder. „Dass die Daten in Deutschland nicht zentral, sondern nur lokal gespeichert werden, macht das Verfahren sehr datenschutzfreundlich. Zudem ist es sicherer gegen Fälschungen, nachhaltig und kosteneffizient, da keine Behörde fälschungssichere Ausdrucke herstellen muss “, erklärt Gerhardt.
Der Faktor Mensch bei der Kontrolle
In der Praxis wurde der 25-Jährige allerdings auf ein Problem aufmerksam: „Wenn ich zum Beispiel in ein Restaurant gehen wollte, habe ich einige Male erlebt, dass Mitarbeitende, statt den QR-Code zu scannen und meinen Ausweis zu prüfen, nur einen Blick auf den Code in meiner App geworfen und mich dann reingelassen haben. Das ist natürlich keine sinnvolle Prüfung. Andere benutzten zwar eine zur Verifizierung nötige Scan-App und scannten auch den QR-Code, kontrollierten aber zum Beispiel meinen Ausweis nicht.“ Da ein funktionierender Prüfprozess der Zertifikate für deren Sicherheit entscheidend ist, hat sich Gerhardt in einer qualitativen Interview-Studie damit auseinandergesetzt, warum in der Praxis so viele Fehler passierten. Er hat 17 Menschen, die auf ihrer Arbeit mit der Prüfung der Zertifikate betraut waren, bei der Verifizierung von Covid-Zertifikaten beobachtet und später befragt. „Wir wollten so vor allem zwei Fragen klären: Wie verifizieren diese Personen die Zertifikate und warum machen sie es so? Außerdem haben wir untersucht, wie viel die prüfenden Personen über den Verifikationsprozess und seinen Ablauf wissen.“ Gerhardts qualitative Studie soll Ansätze liefern, um das Verhalten von Nutzer:innen besser zu verstehen und so die theoretischen Sicherheitsvorteile visueller digitaler Zertifikate auch in die echte Welt zu überführen.
Die Ergebnisse haben den CISPA-Forscher überrascht: „Die Studienteilnehmer:innen haben die Zertifikate ganz unterschiedlich geprüft. So viele Varianten hatte ich nicht erwartet.“ Einige Befragte haben bei der Prüfung alle nötigen Schritte korrekt ausgeführt: sie scannten das Zertifikat mit einer entsprechenden Prüf-App ein, gleichten die in ihrer App angezeigten Daten mit dem Personalausweis der Person ab und prüften auch, ob deren Foto auch wirklich die Person zeigt, die vor ihnen stand. Andere Befragte führten ebenfalls all diese Schritte aus und darüber hinaus noch einige unnötige. „So versuchten einige Menschen, sich aufgrund von Äußerlichkeiten ein Bild von ihrem Gegenüber und dessen Vertrauenswürdigkeit zu machen. Andere wurden grundsätzlich misstrauisch, wenn ihnen ein Screenshot präsentiert wurde. Dabei ist das nicht wirklich ein Hinweis, dass etwas schiefläuft.“ Misstrauen zeigten einige Befragte auch, wenn ihnen das Zertifikat in einer App präsentiert wurde, die sie nicht kannten. Andere Studien-Teilnehmer:innen verließen sich bei der Beurteilung eines Impfzertifikats lieber auf das eigene Gefühl als auf die korrekte technische Überprüfung und scannten die Zertifikate nur von Zeit zu Zeit. Andere gaben an, grundsätzlich nur zu schauen, ob ein QR-Code vorhanden ist und scannten die Zertifikate gar nicht.
Bessere Ausstattung und Aufklärung nötig
„Die Mehrheit der Studienteilnehmer:innen wusste nicht viel über den Verifikationsprozess und wie er technisch abläuft. Das hatte aber nicht unbedingt zur Folge, dass sie dabei Fehler machten“, sagt Gerhardt. „Nur umgekehrt war es so, dass wer den Prozess gut verstanden hat, keine Fehler machte.“ Im Geschäftsleben sind laut dem Forscher oft andere Faktoren viel entscheidender dafür, wie der Prüfprozess abläuft: zum Beispiel wie zeitaufwendig er ist. „Außerdem haben uns einige Teilnehmer:innen berichtet, dass ihnen der Arbeitgeber kein Gerät zum Scannen zur Verfügung gestellt hat und sie dazu nicht ihr privates Smartphone nutzen wollten. Andere wussten wiederum nicht, dass sie die Prüf-App einfach im App-Store herunterladen können. Sie dachten, die App stehe nur offiziellen Stellen zur Verfügung.“
Zu all diesen Missverständnissen kommt es laut Gerhardt auch deshalb, weil viele Befragte keine Informationen von offiziellen Stellen erhalten, wie sie die Zertifikate prüfen sollen. Eine bessere Kommunikation und einheitliche Aufklärung für Personen, die den Verifikationsprozess durchführen sollen, ist laut Gerhardt eine wichtige Voraussetzung, um die Technik künftig sicher einsetzen zu können. „Der Gesetzgeber könnte das mit einer gesetzlichen Verpflichtung zur Einhaltung der Vorschriften unterstützen.“ Wichtig sei auch die Prüfpersonen mit geeigneten Prüfgeräten und Software auszustatten. „Außerdem müssen sie wissen, wie sie damit umgehen sollen, wenn Zertifikate der Prüfung nicht standhalten.“
Klareres Design für weniger Missverständnisse
Ein letzter wichtiger Punkt ist laut Gerhardt das Design der Nachweis-Apps. Einige Befragte haben sich durch bestimmte Angaben oder auch durch die Farbgebung der App täuschen lassen. Zum Beispiel haben einige ein Zertifikat als sicher eingestuft, sobald der QR-Code blau umrandet war. Andere verleitete die zusätzlich zum Zertifikat gemachte Angabe „3 von 3“ zur Zahl der Impfvorgänge dazu, den Prüfprozess nicht korrekt durchzuführen. Beim Design künftiger Apps sollte laut Gerhardt deshalb darauf geachtet werden, dass nicht unbedacht falsche Signale gesendet werden. „Wenn wir durch solche und ähnliche Maßnahmen die Verifizierung verbessern und die visuellen Zertifikate richtig implementiert werden, gibt es dafür einige sinnvolle Einsatzgebiete. Neben dem digitalen Führerschein zum Beispiel auch E-Rezepte. Sie könnten von Ärzten und Ärztinnen digital signiert und sicher ausgestellt werden“, sagt Gerhardt.
Start in die Welt der Usable Security
Der gebürtige Baden-Württemberger freut sich, dass sein Paper auf dem renommierten USENIX Security Symposium angenommen wurde. „Das Thema war schon Teil meiner Bachelorarbeit. Zusammen mit den CISPA-Forschenden Alexander Ponticello, Adrian Dabrowski und Katharina Krombholz habe ich es für die Konferenz zu einem vollständigen Paper ausgearbeitet.“ Der 25-Jährige ist an der Graduate School of Computer Science der Universität des Saarlandes eingeschrieben und will nach der Vorbereitungsphase in ein von Krombholz betreutes PhD-Studium starten. „Ich finde die Themen im Bereich Usable Security sehr spannend und fand die Zusammenarbeit mit den Forschenden super.“