Mit einem neuen Feature in der Corona-Warn-App (CWA) sollen Nutzer:innen ihre Impf- oder Testzertifikate schon beim Kauf eines Tickets oder vor Besuch einer Veranstaltung vorzeigen können. Das Versprechen: Mit der neuen Version 2.15 geht es bald am Einlass einer Veranstaltung oder eines Fluges schneller, weil nur noch die Identität, aber nicht mehr das Zertifikat geprüft werden muss. Das Zertifikat wird dafür von einem Dienstleister geprüft und dem Veranstalter als gültig in dessen System angezeigt.

Eigentlich soll die Dienstleistung „Validierungsdienste“ allen interessierten Anbietern offen stehen. Nach einer Prüfung durch das Gesundheitsministerium sollen Unternehmen das Feature Fluglinien, Geschäften oder Veranstaltern gegen Zahlung anbieten können, heißt es dazu im FAQ der Corona-Warn-App. Mit dem Wettbewerb wolle man eine möglichst schnelle Verbreitung unterstützen.

Doch schon die Entstehungsgeschichte des neuen Dienstes wirft Fragen auf: Die Telekom-Tochter T-Systems war als eine Entwicklerin der Corona-Warn-App schon frühzeitig über die Pläne informiert – und konnte diesen Vorteil offenbar nutzen, um vor anderen Konkurrenten einen solchen Dienst zu programmieren.

Anja Lehmann, Professorin für IT-Sicherheit und Identitätsmanagement beim Hasso-Plattner-Institut kritisiert dieses Vorgehen: „Hier hat meiner Meinung nach T-Systems eine Infrastruktur zur Pandemiebekämpfung für eigene kommerzielle Interessen ausgenutzt und von dem Vorteil profitiert, an der Entwicklung der CWA beteiligt gewesen zu sein. Das ist ja genau, was wir auch bei Luca befürchten.“ Das Feature sei zudem nicht öffentlich entwickelt und vorab kommuniziert worden.

Fraglich ist in der Sache auch die Rolle des ehemaligen Abteilungsleiters für Digitalisierung und Innovation im Gesundheitsministerium Gottfried Ludewig. Er war im Ministerium für die Entwicklung der Corona-Warn-App zuständig und wechselt nun nach Informationen von Kontraste zu einer Tochterfirma der Telekom.

„Schadet dem Ruf der Corona-Warn-App“

Unabhängig von diesen Entwicklungen im Hintergrund könnte das neue Feature aber auch auf anderen Wegen das Vertrauen in die Corona-Warn-App beschädigen. Populär geworden war die CWA ursprünglich vor allem, weil ihre Architektur die Anonymität der Nutzer:innen gewährleistet. Laut dem FAQ würden die Daten auf den Servern der Validierungsdienste nicht aufgehoben. Die Prüfung finde „on-the-fly im Arbeitsspeicher des Servers“ statt, Informationen zu den Zertifikaten oder andere persönliche Daten würden nicht gespeichert. Auch müssen die Nutzer:innen erst explizit einwilligen, bevor die Prüfung ihres Zertifikates beim Ticketkauf stattfindet.

Doch das Versprechen, dass keine persönlichen Daten die App verlassen, sei nun gebrochen, sagt Anja Lehmann. Schließlich würden für die Validierung Impf- und Testnachweise an einen externen Dienstleister geschickt. Damit sei dem Validierungsdienst auch bekannt, bei welchem Dienstleister eine Person ein Ticket kauft.

„Solche Aktionen schaden dem Ruf der CWA, was natürlich sehr schade ist, da die Kritik nur einen kleinen Teil der App betrifft“, so Lehmann. Hier wäre eine transparente Entwicklung besonders wichtig gewesen.

Eigentlich sinnvoll

Dabei findet Lehmann das neue Feature eigentlich sinnvoll. Denn die aktuelle Situation, dass man sein vollständiges Impfzertifikat an verschiedenste Seiten hochladen oder per Screenshot verschicken muss, sei auch keine vernünftige Lösung. Das größte technische Problem am Feature sei, dass Kontextinformationen bei einem zentralen Anbieter anfallen – also die Informationen, wer wann und wo Tickets bucht. „Das wäre für den Dienst aber nicht notwendig, hier gibt es bessere Ansätze“, sagt Lehmann.

Eine grundsätzlich bessere Lösung seien „anonymous credentials“. Bei diesen könnten die Nutzer:innen etwa bei jedem Vorzeigen selbst entscheiden, welche der Informationen sie offenbaren möchten. Aber selbst mit den aktuellen Zertifikaten könnte man bessere Lösungen bauen, welche ohne die Kontextinformationen auskommen, die aktuell bei T-Systems anfallen, so Lehmann weiter.

„Trend personalisierter Tickets wird zementiert“

Ein weiteres Problem: Das System begünstigt, dass Menschen Tickets für alle möglichen Anwendungen schon vor dem Besuch kaufen müssen, weil die jeweiligen Veranstalter:innen sich davon Erleichterungen beim Einlass versprechen. Die anonyme Abendkasse, an der kurz auf den Personalausweis und das Impfzertifikat geschaut, aber nichts gespeichert wird, dürfte damit noch mehr als bisher außer Mode kommen.

Die Folge ist, dass bei den Veranstalter:innen komplette Listen der Gäste vorliegen. Damit wird vorgehalten, wer bei welchem Fußballspiel, Konzert oder Kinofilm war. Das Verfahren könnte den anhaltenden Trend personalisierter Tickets auch nach der Pandemie zementieren, befürchtet Linus Neumann, Sprecher des Chaos Computer Clubs im Podcast Logbuch:Netzpolitik.

„Wenn wir überall namentlich erfasst werden, dann weckt das Begehrlichkeiten“, sagt Neumann gegenüber netzpolitik.org. Gerade habe man das an der Nutzung von Luca-Daten durch die Polizei gesehen. „Solche Szenarien werden wir häufiger haben, je mehr die Teilnahme am Leben personalisiert gespeichert wird.“ Anbieter:innen und Veranstalter:innen, die bisher kein personalisiertes Ticketing haben, sollten es auch nicht einführen. Zudem müsse es immer auch möglich sein, ohne die Nutzung eines Validierungsdienstes Einlass zu erhalten. „Sonst verschwindet das nach der Pandemie nicht mehr.“