Von Robert von Loewenstern
Letztens bei IKEA – Sie erinnern sich – erlebte ich zum ersten Mal den digitalen Impfpass im realen Kampfeinsatz. Die kleine Frau und ich warteten auf die Ergebnisse unserer Schnelltests. Deshalb hingen wir ein Weilchen am Eingang zur Schwedenkantine ab. Dort prüfte eine Hilfskraft in neongelber Warnweste Zugangsberechtigungen. Die Verkleidung sollte offenbar die Bedeutsamkeit des Vorgangs betonen und dem Prozedere einen offiziellen Touch verleihen.
Es herrschte „3G“. Nur zertifizierte Geimpfte, Genesene oder Getestete durften sich zur Nahrungsaufnahme in den Hochsicherheitstrakt begeben. Trotz des Checkpoints gab es keinen Stau. Fast alle potenziellen Verzehrsteilnehmer hoben lässig ihre Smartphones und präsentierten einen kleinteiligen QR-Code. Nach kurzem Blick auf das Pixelmonster winkte der Zerberus an der Pforte zur Kulinarikhölle jeden durch.
Nach wenigen Minuten Beobachtung wusste ich, hier ist was faul. Etwas stimmt nicht. Oder, wie man in unserer zunehmend irrational geprägten, der Aufklärung zuwiderlaufenden Zeit sagt: Es fühlte sich falsch an. War es auch. Und zwar in vielfacher Hinsicht.
So ziemlich alles ist falsch
Um das zu verstehen, müssen wir uns das „digitale COVID-Zertifikat der EU“, wie es offiziell heißt, etwas genauer ansehen. Die regierungsoffiziellen Versprechen dazu lauten: 1. Der digitale Impfausweis ist fälschungssicher. 2. Der digitale Impfausweis erfüllt die Anforderungen des deutschen Datenschutzes. 3. Der digitale Impfausweis ist EU-weit abgestimmt und gültig. Oder, wie die Bundesbürokraten auf Bundesbürokratisch formulieren, „interoperabel und standardisiert“. Explizit: „Das digitale COVID-Zertifikat der EU ermöglicht ein sicheres Reisen innerhalb der EU auch während der Corona-Pandemie.“
So ziemlich alles daran ist falsch. Zur dritten Verheißung – „sicheres Reisen innerhalb der EU“ – sei zunächst eine praktische Erfahrung aus dem persönlichen Umfeld beigesteuert. Eine enge Freundin, wegen Vorerkrankung frühzeitig geimpft, wollte vor drei Wochen von Mailand zurück nach Berlin fliegen. Sie vertraute dabei auf das digitale Impfzertifikat in ihrem iPhone. Beim Check-in wurde sie jedoch abgewiesen. Der italienische Checker ließ den Pixelsalat nicht gelten.
Auch ein Aufstand am Schalter und die Hinzuziehung des Vorgesetzten halfen nicht weiter. Nach erheblichem Stress schaffte es unsere Freundin in letzter Minute schließlich doch noch in den Flieger. An einem anderen Schalter wurde ihr Handy-Impfnachweis akzeptiert.
Kann klappen, muss aber nicht
Die Lehre aus dem Vorfall: Reisen mit dem digitalen Impfpass kann klappen. Muss aber nicht. Auch andere Berichte legen nahe, sich nicht allein aufs Elektronische zu verlassen. Diverse Nutzer der CovPass-App melden in Apples App-Store, dass das einmal gespeicherte Zertifikat wieder verschwand. Ursache war wohl entweder ein Update oder das Aufheben der Code-Sperre des Telefons. Wer auf Nummer sicher gehen will, führt besser die ausgedruckte Bescheinigung oder den gelben Impfpass zusätzlich mit sich. Oder beides.
Zur Beurteilung der weiteren Regierungsversprechen sind ein paar Kenntnisse der Funktionsweise des digitalen COVID-Passes erforderlich. Die Bundesregierung erklärt den Vorgang hier, das RKI hier. Der Workflow ist nicht sonderlich kompliziert.
Das Ganze läuft so: Sie haben sich irgendwo impfen lassen. Oder Ihr Hausarzt hat Ihnen eine Bescheinigung ausgestellt, dass Sie „genesen“ sind, obwohl Sie vielleicht nie krank waren, aber einen positiven PCR-Test vorweisen können. Falls dieser älter als sechs Monate ist, benötigen Sie zusätzlich einen Nachweis über eine „Genesenenimpfung“. Oder sie haben sich gerade testen lassen (PCR- oder Schnelltest) und freuen sich über ein negatives Ergebnis.
Ihre Daten werden sofort wieder gelöscht
Geimpft, genesen, getestet – alle drei Varianten lassen sich in ein „digitales COVID-Zertifikat der EU“ verwandeln, und zwar in einer Arztpraxis, in einer Apotheke, in einem Impfzentrum oder beim Gesundheitsamt. Der einfachste Weg führt über eine der rund 17.000 Apotheken, die den Konversionsservice anbieten. Dort legen Sie die papierene Bestätigung Ihres aktuellen Seuchenzustandes vor, außerdem Ihren Personalausweis.
Die pharmazeutische Fachkraft loggt sich im Apothekencomputer über einen speziellen Zugang beim „Impfzertifikatsservice“ des Robert-Koch-Instituts ein. In einer schlichten Eingabemaske mit wenigen Formularfeldern werden ein paar Basisdaten erfasst. Im Fall einer Impfung sind das Name, Geburtsdatum, Impfstoff, Impfdatum und Impfdosis (= Erst- oder Zweitimpfung). Nicht mehr. Nach Klick auf „Erfassen“ erzeugt das System ein DIN-A4-Dokument zum Ausdrucken (Ablauf und Abbildungen siehe hier). Anschließend werden Ihre Daten beim RKI automatisch wieder gelöscht.
Die ausgedruckte Seite enthält neben diversen allgemeinen Hinweisen und den genannten Basisdaten ein quadratisches Feld, das aussieht wie das nächtliche Schwarzweiß-Rauschen eines Röhrenfernsehers in den Siebzigern. Sie wissen schon, damals, als angeblich alles besser war und es bei den drei zur Auswahl stehenden TV-Anstalten noch Sendeschluss gab.
Eine prima App, im Prinzip
Das Quadrat mit dem Augenpulver ist der sogenannte QR-Code, der „Quick Response“ verspricht und den Sie mit der Kamera Ihres Smartphones erfassen können. Müssen Sie aber nicht, denn der Ausdruck, den Sie in Händen halten, ist bereits das „digitale COVID-Zertifikat der EU“, auch wenn sich das Blatt ganz und gar nicht digital, sondern ausgesprochen analog anfühlt.
Um das Zertifikat in Ihr Apple-iPhone oder Ihre Huawei-Spydrone zu importieren, laden Sie zum Beispiel die speziell dafür vorgesehene, regierungsoffizielle App CovPass aufs Handy (hier, hier oder hier). Diese App verspricht nicht viel, verlangt noch weniger und kann fast nichts. Kurz, sie ist ein Segen. Sie müssen sich nicht registrieren, nicht einloggen und nicht tausend Einstellungen vornehmen oder beachten. Eine prima App, im Prinzip.
Nach Öffnen der App und Überspringen einiger Blabla-Erläuterungen halten Sie die Kamera über den QR-Code. Simsalabim, die wenigen Daten Ihres COVID-Zertifikats sind im Telefon. Wenn Sie die App das nächste Mal aufrufen, sieht das ungefähr so aus. Ihr Name und Ihr Seuchenstatus – geimpft, genesen oder getestet – sind sichtbar und überprüfbar. Zum Beispiel durch einen IKEA-Kontrolletti.
Die Prüfung: Theorie und Praxis
Die Prüfung Ihres Zertifikats erfolgt in zwei Schritten: Erstens, Check der Gültigkeit. Der Torwächter (einer Veranstaltung, eines Restaurants, einer Fluglinie etc.) scannt mit seinem Handy den QR-Code auf Ihrem Handy. Zu diesem Zweck hat sich der Torwächter die frei verfügbare App CovPassCheck der Bundesregierung heruntergeladen. Diese App entschlüsselt Ihren QR-Code und wirft drei Informationen aus: Ihren COVID-Zustand (geimpft, genesen oder getestet), Ihren Namen und Ihr Geburtsdatum.
Zweitens, Check der Identität. Nachdem der je nach aktueller Regierungswillkür für einen bestimmten Zugang benötigte Seuchenstatus verifiziert ist, muss der Torwächter prüfen, ob der Status auch wirklich Ihrer ist. Dazu gleicht er Ihren Namen und Ihr Geburtsdatum mit einem Ihrer Ausweisdokumente ab, zum Beispiel mit Personalausweis oder Reisepass.
So weit die Theorie. Die Praxis sieht anders aus. Bei der Wichtig-wichtig-Kontrolle am abgekordelten IKEA-Fressbereich warf die laufende Warnweste einen Blick auf die Smartphones. Sonst nichts. Das war’s. Weder Gültigkeit des Zertifikats noch die Identitäten der Vorzeiger wurden geprüft. Bei drei, vier anderen 3G-Einlasskontrollen, die ich mittlerweile beobachten konnte, lief es genauso. Kein Scan mit der CovPassCheck-App, kein Ausweisabgleich.
Gültiger QR-Code? Zehn Minuten googeln
Die vermeintlich strenge IKEA-Prüfung war also keine, sondern nur Spaß. Besser gesagt, ein Witz, aber einer der unfreiwilligen Art. Ebenso gut hätte der Torwächter fragen können: „Sind Se jeimpft, jenesen oder jetestet?“ – Antwort: „Klaro, läuft bei mir.“ – „Na, denn ma rin in die jute Stube!“ Das ist nicht übertrieben. Jeder kann sich in wenigen Minuten einen gültigen, funktionierenden Pixelhaufen aufs Handy schaffen.
Dazu müssen Sie kein Hacker sein. Sie benötigen überhaupt weder IT-Kenntnisse noch Photoshop-Fertigkeiten. Es geht viel einfacher. Entweder Sie scannen mit der CovPass-App den Impf- oder Genesenen-Code von Mama, Opa, Freundin oder Kumpel. Ein digitales COVID-Zertifikat lässt sich nämlich beliebig oft und in beliebig vielen Handys speichern. Nur das Geschlecht sollte mit Ihrem übereinstimmen. Wenn Sie Vollbart tragen und laut Zertifikat Sibylle heißen, könnte es sogar bei einer Sicht-„Kontrolle“ à la IKEA problematisch werden.
Oder Sie fischen einen funktionierenden Code aus dem Internet. Ich habe es ausprobiert, zwecks Proof of Concept. Die Begriffe „digitales Impfzertifikat“ gegoogelt, dann bei den Ergebnissen die Rubrik „Bilder“ angeklickt. Anschließend habe ich auf meinem Laptop-Bildschirm die Fotos, die einen QR-Code enthielten, per CovPassCheck-App auf dem Handy gescannt. Nach nicht einmal zehn Minuten hatte ich den ersten Treffer: „Zertifikat gültig. Genesenen- oder Impfzertifikat liegt vor. Matthias Wxxxxx Sxxxx. Geboren am 19XX-XX-XX.“
Zertifikat via Fotoagentur verbreitet
Die „X“e habe ich eingefügt, weil ich Herrn S. nicht bloßstellen will. Es geht hier schließlich nicht um ihn, sondern ums Prinzip. Nebenbei und unter uns: Die gefundene Abbildung mit gültigem Code ist kein Privatfoto, sondern ein via Fotoagentur verbreitetes Bild, zu sehen über einem redaktionellen Beitrag auf einer Webseite mit großer Reichweite. Ich vermute, wer in sozialen Medien sucht, wird noch schneller fündig.
Anschließend habe ich den Code von Herrn S. zu Testzwecken mit der CovPass-App gescannt. Zack, in Nullkommanichts hatte ich sein vollständiges Impfzertifikat auf dem iPhone. Nun weiß ich auch, dass Herr S. Anfang Juni mit Biontech zweitgeimpft wurde. Weitere 90 Sekunden googeln ergaben Wohnort, Beruf, Adresse, Privatfotos und vieles mehr. Aber das war nur Kür und tut hier nichts zur Sache.
Mit dem digitalen Impfzertifikat von Herrn S. wäre ich sogar durch die IKEA-Kontrolle gekommen, wenn der Torwächter wenigstens Schritt eins der Verifikation durchgeführt hätte. Ein Scan „meines“ QR-Codes per CovPassCheck-App hätte als zusätzliche Information nur das Geburtsdatum von Herrn S. ausgeworfen. Er ist etwas älter als ich. Aber wer traut sich schon eine zuverlässige Altersschätzung im Bereich von plusminus fünf Jahren zu?
„Echtes“ Zertifikat mit null Risiko
Erst beim zweiten eigentlich notwendigen Prüfschritt wäre ich aufgeflogen, nämlich beim Abgleich mit meinem Personalausweis. Auch dafür gibt es eine relativ einfache Lösung. Wer zuverlässig jede noch so penible Kontrolle überstehen will, lässt sich ein eigenes „echtes“ COVID-Zertifikat ausstellen. Alles, was man dazu benötigt, ist ein gelber Impfpass mit bestätigter Corona-Vakzinierung.
So was kann man sich mit etwas Geschick und Aufwand selbst basteln. Oder man bestellt eine Fälschung übers Internet bei irgendwelchen dubiosen Anbietern, die es laut Medienberichten zuhauf gibt. Allerdings ist dabei zu bedenken, dass diese Art von Dienstleistern schon mal auffliegt. Wenn dann die unverschlüsselte Kundendatei in staatliche Hände fällt, haben Sie ein Problem. Wie groß es ist, kann ich Ihnen nicht sagen. Aber allein die Vorstellung, dass irgendwann morgens um halb sechs bewaffnete Ordnungskräfte vor der Tür stehen, mag nicht jeder.
Schön, dass es eine weitere Alternative gibt, mit Mini-Bastelaufwand und praktisch ohne Risiko. Voraussetzung ist, dass Sie Zugriff auf einen echten Impfpass mit Corona-Vakzinierung haben. Sie leihen (oder „leihen“) sich zum Beispiel den gelben Ausweis von Oma oder Onkel im Pflegeheim. Vielleicht kommen in Ihrem speziellen Fall auch Lebenspartner, Yogafreunde oder Kegelkumpel in Betracht.
Für sechs Euro fängt niemand an zu telefonieren
Vom echten Corona-Impfpass lösen Sie vorsichtig die beiden Heftklammern am Rücken. Dasselbe machen Sie mit Ihrem Impfpass (oder einem neuen, leeren, den Sie legal im Internet bestellt haben). Anschließend heften Sie den Umschlag Ihres Impfpasses um den Inhalt von Mama, Schwager oder Sportsfreund. Und schon haben Sie einen „echten“ Impfnachweis, der auf Ihren Namen lautet, wie die Frontseite beweist.
Damit marschieren Sie zur Apotheke und lassen sich – wie oben beschrieben – in drei Minuten ein eigenes digitales Impfzertifikat erstellen. Das Risiko, dabei aufzufliegen, liegt nahe null. Vorausgesetzt natürlich, Sie haben sich nicht allzu dämlich beim Tackern angestellt. Die Apotheken haben praktisch keine Möglichkeit, eine solche Fälschung zu erkennen, solange sie nicht offensichtliche Unstimmigkeiten aufweist. Ein glatter Umschlag mit Knitterinhalt wäre zum Beispiel suboptimal. Auch eine dokumentierte Tetanusspritze von 1962 könnte in Verbindung mit einem Geburtsjahr 1978 Irritationen auslösen.
Aber wahrscheinlich fällt nicht einmal so etwas auf. Die Apotheken bekommen pro Zertifikat sechs Euro. Dafür hält man sich nicht lange auf. Im Gegenteil, die Pharmazeuten stellen lieber ein Zertifikat zu viel aus als eines zu wenig.
Das digitale COVID-Zertifikat „heilt“ die Fälschung
Die einzige (theoretische) Möglichkeit, „Ihre“ Impfung zu überprüfen, wäre ein Anruf bei der Impfstelle, die im gelben Heftchen per Stempel vermerkt ist. In der Praxis finden solche Anrufe nicht statt. Wie gesagt, für sechs Euro googelt niemand Telefonnummern und hängt sich anschließend mit ungewissem Ausgang eine Viertelstunde in die Warteschleife. Sobald Sie die Drei-Minuten-Hürde in der Apotheke überwunden haben, sind Sie sicher. Sie haben Ihren eigenen, „echten“ QR-Code, Ihr eigenes digitales COVID-Zertifikat.
Niemand hat anhand des Zertifikats die Chance, Ihnen eine Fälschung nachzuweisen. Es besteht nicht einmal mehr die Möglichkeit, bei der Impfstelle nachzufragen, weil diese nicht mit dem Zertifikat abgespeichert wird. Es gibt auch keine laufende Nummer oder ein sonstiges Erkennungsmerkmal, das auf irgendeine Art einer konkreten Impfung zugeordnet werden könnte. Ihr digitales COVID-Zertifikat hat Ihre Fälschung auf wundersame Weise „geheilt“.
Im unwahrscheinlichen Fall, dass später einmal jemand nach Ihrer ursprünglichen Impfbescheinigung fragen sollte, haben Sie sie verlegt oder verloren. Es gibt keine Pflicht, das Originaldokument aufzubewahren. Das digitale COVID-Zertifikat ersetzt die originale Bescheinigung und gilt für sich allein.
Versagen mit Ansage
Es ist ein reichlich bizarrer Vorgang, ein neues Highlight exekutiven Versagens. Die Regierung stellt Ihnen ein Dokument aus, anhand dessen sie selbst nicht mehr die Richtigkeit des Inhaltes überprüfen kann.
Um die Dimension zu verdeutlichen: Stellen Sie sich vor, Sie gehen mit einem liederlich gefälschten Zettel in eine Carglass-Filiale und lassen sich dort einen „digitalen Führerschein“ ausstellen. Oder eine „digitale Waffenbesitzkarte“ im Sportgeschäft. Oder ein „digitales Staatsexamen“ beim Kiosk um die Ecke. Anschließend dürfen Sie einen vollbesetzten Reisebus durch Schweizer Spitzkehren lenken, sich eine Glock ins Schlafzimmer legen und ein Messingschild neben die Eingangstür dübeln, das Sie als Anwalt ausweist. Ob Sie die jeweiligen Berechtigungen tatsächlich erworben haben, kann niemand mehr nachprüfen.
Alles absurd, natürlich. Nur beim digitalen COVID-Zertifikat geht so etwas. Nie zuvor gab es ein Dokument in Deutschland, das so leicht zu fälschen und zugleich Eintrittskarte für umfangreiche Teilhabe am öffentlichen Leben war. Ein Versagen mit Ansage. Jens Spahn wies selbst darauf hin, dass „Fehler- oder Fälschungsanfälligkeit“ mit Blick auf den digitalen Impfausweis vor allem beim Übertrag gegeben seien. Daher werde man eine Fälschung „nicht zu hundert Prozent ausschließen können“.
Irgendwas mit Dilettantismus
Was der Bundesgesundheitsminister zu erwähnen vergaß, ist der Umstand, dass erst mit Einführung des digitalen Impfpasses das Fälschen praktisch risikolos wurde. Wegen „Datenschutz“ gibt es keine zentrale Erfassung der einzelnen Impfungen, nicht bundesweit, nicht landesweit, nicht auf kommunaler Ebene. Weder bei Ausstellung des Zertifikats noch später kann ein Datenabgleich stattfinden.
Und die einzige Information, die Ihre Impfung im Nachhinein mit etwas Aufwand überprüfbar machen würde – die Impfstelle –, verschwindet mit Ausstellung des digitalen Zertifikats. Fragen Sie mich nicht, warum. Am Datenschutz kann es nicht liegen. Wenn sie sich nämlich ein „digitales Testzertifikat“ in der Apotheke zaubern lassen, wird der Name des Testzentrums abgespeichert, mit Tag und Uhrzeit. Das Testzertifikat bleibt damit nachprüfbar. Nur beim Impfzertifikat verhält es sich anders. Zur Erklärung kann also nicht irgendwas mit Datenschutz herhalten, nur irgendwas mit Dilettantismus.
Falls Sie glauben, die Regierung betreibe klammheimlich doch eine zentrale, übergreifende Impfdatensammlung: Nö, ist nicht so. Die Wahrheit ist, die von Ihnen gewählte Obrigkeit hat nicht die geringste Ahnung, wer geimpft (oder auch „genesen“) ist. Die Regierung weiß nicht einmal, wie viele Menschen in Deutschland geimpft sind. Offenkundig funktioniert die anonymisierte Datenübertragung zwischen den einzelnen Impfstellen und dem Robert-Koch-Institut nicht.
Entscheidungen ohne Faktenbasis
Das RKI selbst berichtete Mitte August starke Abweichungen zwischen offiziellen Meldezahlen und Umfrageergebnissen zur Impfquote. Eine RKI-Erhebung namens „Covimo“ („Covid-19-Impfquoten-Monitoring“) ergab viel mehr Geimpfte, als vom „Digitalen Impfquotenmonitoring (DIM)“ des RKI erfasst wurden. Besonders auffällig war der Unterschied bei den 18- bis 59-Jährigen. Laut Covimo waren in dieser Altersgruppe bereits 79 Prozent mindestens einmal geimpft. Laut amtlichem DIM waren es nur 59 Prozent.
Ein großer Unterschied mit erheblichen Auswirkungen. Einzig die niedrigen DIM-Zahlen des RKI werden ständig der Öffentlichkeit präsentiert. Und nur diese Zahlen sind die Rechtfertigung für weiter bestehende Einschränkungen von Grundrechten und zunehmenden Druck auf Ungeimpfte. Damit setzt sich ein Skandal fort, der seit Seuchenstart im Frühjahr 2020 die deutsche Corona-Politik kennzeichnet. Auch nach gut anderthalb Jahren ist die Exekutive nicht fähig, verlässliche, aussagekräftige Daten zur Corona-Lage zu ermitteln, und trifft ihre Entscheidungen auf unzureichender Faktenbasis.
Um kein Missverständnis aufkommen zu lassen: Ich will Sie hier nicht zur Fälschung animieren oder gar auffordern. Eines muss Ihnen klar sein: Wenn Sie das tun, machen Sie sich strafbar. Erst Ende Mai verschärfte der Bundestag das Infektionsschutzgesetz (hier ab Paragraf 74). Die Kurzfassung der Neuregelung: „Danach soll die Nutzung unrichtiger Dokumente dieser Art mit Freiheitsstrafe von bis zu einem Jahr oder mit Geldstrafe geahndet werden. Das Ausstellen unrichtiger Dokumente wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe geahndet.“
'Einladung zur Fälschung'
Ich sage nur, was ist und wie es ist. Strafverschärfung hin oder her: Die Erstellung und Nutzung eines Do-it-yourself-Impfpasses birgt praktisch kein Risiko, weil die Bundesregierung in ihrer unermesslichen Weisheit dafür gesorgt hat, dass eine Fälschung nach der Umwandlung ins Digitale nicht mehr als solche erkannt werden kann. Nicht nur die „taz“ befand deshalb bereits im Juni, das digitale Impfzertifikat sei eine „Einladung zur Fälschung“.
Dieser Einladung verleiht die Regierung derzeit mehr und mehr Nachdruck. Unfreiwillig natürlich, wie von einer Exekutive gewohnt, die ihr Handwerk nicht beherrscht. Ohne überhaupt zu wissen, wie viele Menschen hierzulande geimpft sind, führt man indirekten Impfzwang ein. Man erfindet für Ungeimpfte eine Einschränkung nach der anderen – Kostenpflicht für Schnelltests, Ausfall der Lohnfortzahlung bei Quarantäne, schließlich „2G“, also den kompletten Ausschluss Ungeimpfter von Teilen des öffentlichen Lebens. Und all das geschieht zur Eindämmung einer „vierten Welle“, die genauso wenig existiert wie eine „epidemische Lage von nationaler Tragweite“.
Nicht wenige geben dem Druck nach und lassen sich impfen, obwohl sie nicht überzeugt sind. Nicht wenige andere werden sich im Hinblick auf den leicht zu fälschenden Impfpass an IKEA erinnern. Speziell an einen der erfolgreichsten Slogans der Schweden: „Entdecke die Möglichkeiten!“
Gastbeiträge geben immer die Meinung des Autors wieder, nicht meine. Ich schätze meine Leser als erwachsene Menschen und will ihnen unterschiedliche Blickwinkel bieten, damit sie sich selbst eine Meinung bilden können.
Dieser Beitrag erschien zuerst auf Achgut.com.
Bild: ShutterstockText: Gast