Ein Einfallstor für Geheimdienste? Die grössten Mythen um das Covid-Zertifikat

Am 28. November stimmt die Schweiz über die im Frühling beschlossenen Anpassungen des Covid-19-Gesetzes ab. Nach dem ersten Referendum haben im Juni 60 Prozent der Stimmenden das Covid-19-Gesetz angenommen. Nun haben massnahmen­kritische Gruppen erneut das Referendum ergriffen.

Einer der Gründe für den Widerstand: das Covid-Zertifikat. Oder genauer: Artikel 6a. Er bildet die rechtliche Grundlage für das Impfzertifikat, das nun für das Betreten von Innenräumen obligatorisch ist. Um diesen Artikel ist eine Kontroverse entbrannt. Dabei erhalten impf­kritische Kreise Rücken­deckung von einer Gruppe linker, technologie­affiner Kritikerinnen wie der Schriftstellerin Sibylle Berg und bekannten Mitgliedern des Chaos Computer Clubs wie Hernani Marques. Diese fürchten eine totale Massenüberwachung.

Was ist da dran? Wir haben uns einige Argumente genauer angeschaut, die im Netz kursieren.

Doch zunächst eine grundsätzliche Klarstellung: Was ist ein Covid-Zertifikat?

Sachlich und rechtlich gesehen ist es der «Nachweis einer Covid-19-Impfung, einer Covid-19-Genesung oder eines Covid-19-Testergebnisses». Das Zertifikat ist so ausgestaltet, dass «nur eine dezentrale oder lokale Überprüfung der Authentizität und Gültigkeit von Nachweisen möglich ist». So steht es in Artikel 6a des Covid-Gesetzes.

Zentral dafür ist der QR-Code, ausgedruckt auf einem Blatt Papier oder digital in der App. Dieser enthält dieselben Angaben wie das Impfzertifikat selbst – nämlich Name, Geburtsdatum, Impfstoff und Impfdatum – und ist zusätzlich durch den Bund digital signiert, um die Echtheit zu belegen. Dies geschieht über einen vom Bundesamt für Informatik und Tele­kommuni­kation bereitgestellten Service. Zum Scannen, beispielsweise beim Besuch eines Restaurants oder bei Reisen ins Ausland, stellt der Bund eine App zur Verfügung, mit der die Gültigkeit des QR-Codes überprüft werden kann.

Hat also die Covid-Zertifikats-App eine staatliche Massen­überwachungs­möglichkeit geschaffen, die finsteren Mächten in die Hände spielen kann?

Die Antwort lautet: nein.

Schauen wir uns einige Behauptungen von Unterstützerinnen der Gegnerschaft genauer an, die auf Social-Media-Kanälen kursieren.

1. Jeder Scan der App wird vom Staat protokolliert

Rein technisch gesehen ist das zutreffend. Bei jedem Scan des Zertifikats wird dessen Gültigkeit geprüft und dazu ein Server beim Bundesamt für Informatik und Tele­kommunikation kontaktiert. Diese Abfrage ist rein lesend und bezieht sich aber nur auf die Gültigkeit der digitalen Unterschrift – die eigentlichen Daten des Impf­zertifikats werden nicht übermittelt. Was der Bund also erfährt, ist die IP-Adresse des zum Scannen verwendeten Geräts und der Zeitpunkt des Scans, aber nicht die Daten der geimpften Person. Überprüfen kann man das direkt im Quellcode der App und des Verifikations­dienstes. Den Quellcode dazu hat der Bund auf Github veröffentlicht.

2. Die Scan-App auf dem Smartphone kann manipuliert werden

Grundsätzlich wäre das möglich, da dank dem offenen Quellcode jeder eine eigene Version der Scan-App einsetzen könnte (dafür reicht eigentlich auch schon die Foto-App mit Scan-Funktion auf Ihrem Smartphone). Aber: Wenn die offizielle Version der Covid-Check-App in den App Stores manipuliert wäre, wäre das früher oder später aufgrund der vom Bund hergestellten Transparenz dieses Projekts aufgefallen. Die manipulierte Scan-App würde dann ja mehr Daten übermitteln als bei einem reinen Signatur-Check.

3. Restaurants und Eventveranstalter wissen, wer bei ihnen ein- und ausgeht

Die Chance ist gross, dass sie das heute schon tun, etwa über die benötigten Daten, wenn man online einen Tisch reserviert oder ein Konzertticket kauft. Der zusätzliche Erkenntnis­gewinn durch «kopierte» Zertifikatsdaten wäre also praktisch null, zumindest unter der naheliegenden Annahme, dass ein Restaurant mit dem Datum der Impfung oder dem verwendeten Impfstoff nicht so viel anfangen kann. Und wenn ein Restaurant­besitzer oder eine Event­organisatorin Daten wie Namen oder gar Adresse über die Gäste erfahren möchte, dann gäbe es dazu bessere Möglichkeiten – sei das über eine Reservations­pflicht, über das «freiwillige» Sammeln von Kontaktdaten oder über VIP-Mitgliedschaften.

4. Google und Apple greifen die gescannten Zertifikate ab, um Bewegungsprofile zu erstellen

Dies ist mithin der abstruseste Vorwurf. Und zwar, weil Google und Apple dies wirklich nicht nötig haben: Sie wissen dank unserer Standortdaten, der eingebauten Tracking-Pixel und sehr vieler Kommunikations-Metadaten sowieso, wo wir uns befinden, was wir genau tun und mit wem wir uns treffen. Als Anbieter der Betriebssysteme iOS und Android sind sie auch im Bild über die Existenz der heruntergeladenen Zertifikate-App auf unseren Smartphones. Das Scannen vor Ort in einem Restaurant generiert also null Zusatz­information. Ganz abgesehen davon, dass Android und iOS dazu extra angepasst werden müssten, um in den Kameras der Smartphones automatisch Impf­zertifikate zu erkennen, auszulesen und für die Verwendung durch Google oder Apple abzuspeichern. Auch wenn sie theoretisch die technischen Möglichkeiten dazu hätten: Der Mangel an Erkenntnis­gewinn für die Tech­giganten und die Gefahr eines riesigen Reputations­schadens sprechen klar gegen solche Spähversuche.

5. Der Schweizer Nachrichtendienst bekommt die Daten vom US-Auslands­geheimdienst, der sie bei Google und Apple abgreift

Wie oben schon erwähnt, haben Google und Apple bereits ohne Zertifikate alle Daten, die den Schweizer Nachrichten­dienst interessieren könnten. Wenn jemand tatsächlich im Visier des Geheimdiensts ist, braucht es dazu keinen Umweg über die amerikanische NSA – da reichen die Daten der Mobilfunk­anbieter, verbunden mit einer eingeschleusten Spionage­software wie Pegasus. Wer also ein sehr heikles Treffen in einem Café plant, etwa als Journalistin, die sich mit einer schützenswerten Quelle trifft, sollte ohnehin das Smartphone zu Hause lassen und das Zertifikat nur als ausgedrucktes PDF mit dem QR-Code zum Treffen mitnehmen.

Fazit: Über die Zertifikats-App erfahren weder Google noch Apple noch sonst einer der üblichen Big-Tech-Verdächtigen irgendwelche neuen Dinge über uns, die sie nicht heute schon wissen.

Damit aus der Zertifikats­infrastruktur eine Schweizer «Massen­überwachungs­maschine» möglich wird, die auch nur ansatzweise an die Bewegungs­profile von Google herankommt, müsste sich ein böses Monster­konsortium aus allen Cafés, Bars, Restaurants, Messen und Kultur­veranstaltern bilden, das sich mit dem Bundesamt für Informatik und Tele­kommunikation verschwört und alle Daten in Echtzeit, digital und ohne Unterbrüche in eine grosse Datenbank überträgt. Kurz: Damit das Zertifikat zur Massen­überwachung eingesetzt werden könnte, brauchte es viel kriminelle Energie, eine digital top ausgerüstete Gastro- und Veranstalter­branche – und sehr viel Fantasie.

Nur schon der träge Kantönligeist und die logistischen Probleme der Gastro­nomie beim Contact Tracing – ganz zu schweigen von der Unmöglichkeit, so etwas über längere Zeit geheim zu halten – entkräften diese Befürchtungen.

Bleibt das Zertifikat für immer?

Einen bemerkenswerten Kritikpunkt haben die Gegner des Impf­zertifikats allerdings. So befürchtet Christian Grothoff, Professor für IT-Sicherheit, dass das Zertifikat – wenn einmal eingeführt – auch bleiben wird. Und tatsächlich: Anders als bei der Swiss-Covid-App – Stichwort: Proximity Tracing, Artikel 60a, Absatz 8 – scheinen Bundesrat und Parlament es unterlassen zu haben, den Betrieb der Zertifikats­infrastruktur an gesetzlich festgeschriebene Bedingungen zu knüpfen. Ist die Pandemie einmal zu Ende, wäre es aus rechts­staatlicher Sicht wichtig, festzuhalten, dass dafür geschaffene Server nicht für andere Zwecke eingesetzt werden dürfen. Bezüglich der Swiss-Covid-App steht im Epidemien­gesetz etwa ausdrücklich, dass eine «Deaktivierung und Deinstallation aller Komponenten» erfolgen müsse, sobald die App nicht mehr erforderlich sei. Beim Zertifikat gibt es keinen entsprechenden Passus.

Zumindest auf den ersten Blick nicht.

Effektiv wurde ein vorläufiges Ablaufdatum festgesetzt – und zwar in der Fussnote beim bereits erwähnten Artikel 6a. Dort steht, dass der Artikel bis am 31. Dezember 2022 gültig ist.

Jonas Montani, Sprecher des Bundesamts für Gesundheit, bestätigt dies auf Anfrage der Republik: «Mit Ende der Gültigkeits­dauer von Art. 6a Covid-19-Gesetz per Ende 2022 entfällt die notwendige gesetzliche Grundlage für den Betrieb des Zertifikats­systems, entsprechend muss der Betrieb des Systems beendet werden.» Sollte die Pandemie noch vor dem Jahr 2023 zu Ende sein, käme der Grundsatz der Verhältnis­mässigkeit zum Zug. «Dieser Grundsatz verlangt», sagt Montani, «dass eine staatliche Tätigkeit vorbehältlich anders­lautender expliziter Vorgaben eingestellt werden muss, wenn sie nicht mehr geeignet oder nicht mehr erforderlich ist, um das verfolgte Ziel zu erreichen.»

Es gibt also ein Ablaufdatum für die Zertifikats­infrastruktur, das abgeleitet wird aus staats­politischen Grundsätzen und einer Fussnote. Dennoch: Eine explizite Nennung der Deaktivierung der Infrastruktur analog zur Swiss-Covid-App hätte wohl einen Teil der Bedenken besser ausräumen können.

Es gibt aktuell viele berechtigte und brisante Datenschutz­bedenken in einer durch­digitalisierten Gesellschaft – sei es die kommerzialisierte Daten­wirtschaft, die Überwachung durch Geheimdienste und Strafverfolgungs­behörden oder eine drohende flächendeckende automatische Gesichts­erkennung im öffentlichen Raum.

Die Gefahr, die von der Infrastruktur für das Covid-Zertifikat ausgeht, ist im Vergleich dazu verschwindend klein.

Hinweis: Wir haben in der ersten Version dieses Beitrags mögliche missverständliche Stellen nachträglich präzisiert.