Warum visuelle digitale Zertifikate bislang meist nur theoretisch sicher sind
Bar- und QR-Codes werden schon lange eingesetzt, um Informationen visuell codiert weiterzugeben. Im Alltag begegnen sie uns auf Produkten, auf Paketen oder Konzert-Tickets. „Die Datenmenge, die in dieser Form codiert werden kann, ist allerdings begrenzt. Oft steckt hinter den QR- oder Bar-Codes deshalb auch nur der Link auf eine externe Quelle, wie eine Webseite oder ähnliches“, erklärt Gerhardt. Wird der QR-Code auf dem Konzertticket gescannt, um zu prüfen, ob es auch bezahlt wurde, dann muss das in aller Regel online durch den Zugriff auf externe Seiten oder Datenbanken passieren.
QR-Codes im Einsatz während der Corona-Pandemie
Visuelle digitale Zertifikate sehen oft genauso aus – eben wie ein einfacher QR-Code. Dahinter steckt aber kein Link, sondern kryptografisch signierte Daten. Großflächig zum Einsatz kommen solche Zertifikate seit der Corona-Pandemie, um unter anderem den Impfstatus von Personen überprüfbar zu machen. Das funktioniert so: Die Impfstellen schicken persönliche Daten wie Namen und Geburtsdatum, ein persönliches Erkennungsmerkmal sowie Impfdatum und die Info über den verwendeten Impfstoff ans Robert-Koch-Institut, das diese Informationen mit einer digitalen Signatur versieht und ein entsprechendes Zertifikat ausstellt. Dieses können sich die geimpften Personen unter Vorlage ihres Impfausweises und ihres Personalausweises in Apotheken und bei einigen Ärzten auf Papier und digital scannbar in Form eines QR-Codes abholen, mit Apps wie der Corona-Warn-App einscannen und so mit sich tragen. Das Robert-Koch-Institut löscht die Daten nach Erstellen der Signatur wieder. „Dass die Daten in Deutschland nicht zentral, sondern nur lokal gespeichert werden, macht das Verfahren sehr datenschutzfreundlich. Zudem ist es sicherer gegen Fälschungen, nachhaltiger und kosteneffizienter, da keine Behörde fälschungssichere Ausdrucke herstellen muss “, erklärt Gerhardt.
Der Faktor Mensch bei der Kontrolle
In der Praxis wurde der 25-Jährige allerdings auf ein Problem aufmerksam: „Wenn ich zum Beispiel in ein Restaurant gehen wollte, habe ich einige Male erlebt, dass Mitarbeitende statt den QR-Code zu scannen und meinen Ausweis zu prüfen, nur einen Blick auf den Code in meiner App geworfen und mich dann reingelassen haben. Das ist natürlich keine sinnvolle Prüfung. Andere benutzten zwar eine zur Verifizierung nötige Scan-App und scannten auch den QR-Code, kontrollierten aber zum Beispiel meinen Ausweis nicht.“ Da ein funktionierender Prüfprozess der Zertifikate für deren Sicherheit entscheidend ist, hat sich Gerhardt in einer qualitativen Interview-Studie damit auseinandergesetzt, warum in der Praxis so viele Fehler passieren. Er hat 17 Menschen, die auf ihrer Arbeit mit der Prüfung der Zertifikate betraut waren, darunter zum Beispiel Theatermitarbeitende, Kellner:innen, Mitarbeitende im Einzelhandel oder im Fitnessstudio bei der Verifizierung von Covid-Zertifikaten beobachtet und später befragt. „Wir wollten so vor allem zwei Fragen klären: Wie verifizieren diese Personen die Zertifikate und warum machen sie es so? Außerdem haben wir untersucht, wie viel die prüfenden Personen über den Verifikationsprozess und seinen Ablauf wissen.“ Die qualitative Studie soll Ansätze liefern, um das Verhalten von Nutzer:innen besser zu verstehen und so die theoretischen Sicherheitsvorteile visueller digitaler Zertifikate auch in die echte Welt zu überführen.
Die Ergebnisse haben den CISPA-Forscher überrascht: „Die Studienteilnehmer:innen haben die Zertifikate ganz unterschiedlich geprüft. So viele Varianten hatte ich nicht erwartet.“ Einige Befragte haben bei der Prüfung alle nötigen Schritte korrekt ausgeführt: sie scannten das Zertifikat mit einer entsprechenden Prüf-App ein, gleichten die in ihrer App angezeigten Daten mit dem Personalausweis der Person ab und prüften auch, ob deren Foto auch wirklich die Person zeigt, die vor ihnen stand. Andere Befragte führten ebenfalls all diese Schritte aus und darüber hinaus noch einige unnötige. „So versuchten einige Menschen, sich aufgrund von Äußerlichkeiten ein Bild von ihrem Gegenüber und dessen Vertrauenswürdigkeit zu machen. Andere wurden grundsätzlich misstrauisch, wenn ihnen ein Screenshot präsentiert wurde. Dabei ist das nicht wirklich ein Hinweis, das etwas schiefläuft.“ Misstrauen zeigten einige Befragte auch, wenn ihnen das Zertifikat in einer App präsentiert wurde, die sie nicht kannten. Andere Studien-Teilnehmer:innen verließen sich bei der Beurteilung eines Impfzertifikats oft lieber auf das eigene Gefühl als auf die korrekte technische Überprüfung und scannten die Zertifikate nur von Zeit zu Zeit. Andere gaben an, grundsätzlich nur zu schauen, ob ein QR-Code vorhanden ist und scannten die Zertifikate gar nicht.
Ausstattung und Schulung von Prüfpersonen
„Die Mehrheit der Studienteilnehmer:innen wusste nicht viel über den Verifikationsprozess und wie er technisch abläuft. Das hatte aber nicht unbedingt zur Folge, dass sie dabei Fehler machten“, sagt Gerhardt. „Nur umgekehrt war es so, dass wer den Prozess gut verstanden hat, keine Fehler macht.“ Im Geschäftsleben sind laut dem Forscher oft andere Faktoren viel entscheidender dafür, wie der Prüfprozess abläuft: zum Beispiel wie zeitaufwendig er ist. „Außerdem haben uns einige Teilnehmer:innen berichtet, dass ihnen der Arbeitgeber kein Gerät zum Scannen zur Verfügung gestellt hat und sie dazu nicht ihr privates Smartphone nutzen wollten. Andere wussten wiederum nicht, dass sie die Prüf-App einfach im App-Store herunterladen können. Sie dachten, die App stehe nur offiziellen Stellen zur Verfügung.“
Zu all diesen Missverständnissen kommt es laut Gerhardt auch deshalb, weil viele Befragte keine Informationen von offiziellen Stellen erhalten, wie sie die Zertifikate prüfen sollen. Eine bessere Kommunikation und einheitliche Aufklärung für Personen, die den Verifikationsprozess durchführen sollen, ist laut Gerhardt eine wichtige Voraussetzung, um die Technik künftig sicher einsetzen zu können. „Der Gesetzgeber könnte das mit einer gesetzlichen Verpflichtung zur Einhaltung der Vorschriften unterstützen.“ Wichtig sei auch die Prüfpersonen mit geeigneten Prüfgeräten und Software auszustatten. „Außerdem müssen sie wissen, wie sie damit umgehen sollen, wenn Zertifikate der Prüfung nicht standhalten.“ Ein letzter wichtiger Punkt ist laut Gerhardt das Design der Nachweis-Apps. Einige Befragte haben sich durch bestimmte Angaben oder auch durch die Farbgebung der App täuschen lassen. Zum Beispiel haben einige ein Zertifikat als sicher eingestuft, sobald der QR-Code blau umrandet war. Andere verleitete die zusätzlich zum Zertifikat gemachte Angabe „3 von 3“ zur Zahl der Impfvorgänge dazu, den Prüfprozess nicht korrekt durchzuführen. Beim Design künftiger Apps sollte laut Gerhardt deshalb darauf geachtet werden, dass nicht unbedacht falsche Signale gesendet werden. „Wenn wir durch solche und ähnliche Maßnahmen die Verifizierung verbessern und die visuellen Zertifikate richtig implementiert werden, gibt es dafür einige sinnvolle Einsatzgebiete. Neben dem digitalen Führerschein zum Beispiel auch E-Rezepte. Sie könnten von Ärzten und Ärztinnen digital signiert und sicher ausgestellt werden“, sagt Gerhardt.
Der gebürtige Baden-Württemberger freut sich, dass sein Paper auf dem renommierten USENIX Security Symposium angenommen wurde. „Das Thema war schon Teil meiner Bachelorarbeit. Zusammen mit den CISPA-Forschenden Alexander Ponticello, Adrian Dabrowski und Katharina Krombholz habe ich es für die Konferenz zu einem vollständigen Paper ausgearbeitet.“ Der 25-Jährige ist an der Grad School der Universität des Saarlandes eingeschrieben und will nach der Vorbereitungsphase in ein von Krombholz betreutes PhD-Studium an der Uni starten. „Ich finde die Themen im Bereich Usable Security sehr spannend und fand die Zusammenarbeit mit den Forschenden super.“