Ruck

Ich weiß gerade nicht, ob ich lachen oder nur noch heulen soll.

Digitalisierung und Kundenorientierung sind in Deutschland offenbar weiterhin Neuland. In den letzten Tagen erlebe ich am eigenen Leib, wie desolat die tatsächliche Situation in diesen Bereich wirklich ist. Und nach dem Eisbergprinzip kann meine subjektive Momentaufnahme der letzten fünf Tage nur bedeuten, dass unter der Oberfläche noch mehr ist. Das muss sich ändern, wenn wir uns nicht vollkommen lächerlich machen oder wegen Herzinfarkt reihenweise vom Bürostuhl kippen wollen. Das oft dümmliche Gelaber von Politikern und Nichtwissenden zu diesem Thema ist da weder hilfreich noch fachlich untermauert. Ach so: Breitbandausbau ist nicht Digitalisierung (sondern nur die notwendige Voraussetzung) und iPads für Schüler sind es auch nicht, wenn es keine wirklich digitalen Lerninhalte und interaktive Lernmedien darin gibt. Aber zurück zu meinen konkreten und aktuellen Erfahrungen…

Kostprobe gefällig?

Fall 1:

Die Sparkasse Aachen stellt zum Juli das HBCI-Verfahren ein. Das erfolgt ohne große Not, denn andere Banken wie VR-Bank oder Aachener Bank kündigen das Verfahren nicht ab. Blöd, dass man deshalb einen neuen Kartenleser kaufen und sich erst einmal schlau machen muss, welches Ersatzverfahren denn adäquat wäre. Für die Umstellung von HBCI auf Chip/TAN-USB hat mir die Sparkasse dann heute über ihr „Secure-Mail“-Portal 7 (in Worten sieben) E-Mails mit 10 Anhängen und insgesamt rund 80 Seiten DIN-A4 Formulare und Vertragstext geschickt. Schon blöd, dass meine Frau und ich mehrere Konten mit unterschiedlichen „Firmierungen“ dort betreiben. Die Benachrichtig über die Secure-Mail kommt dann via „noreply-Adresse“ und es hat keine 10 Minuten gedauert, bis ich den richtigen meiner drei Secure-Mail-Zugänge identifiziert und das Passwort zurückgesetzt hatte. Dann ist das Tageslimit leider zum wiederholten Mal falsch und nach einem Dutzend Unterschriften scheitert der Versuch, die eingescannten (!) Dokumente (22 Seiten), die ich ja wegen Unterschrift ausdrucken musste, wieder über Secure-Mail hochzuladen an der dortigen Begrenzung von 5 MB. Puls 180. Aber ich habe dann einfach den ganzen Mist als normale Mail an meinen Bankberater geschickt, der mir einen Teil der obigen Mails neben dem Weg über Secure Mail auch über die normale unverschlüsselte Mail geschickt hat. Er ist aber nach eigenem Bekunden unschuldig. Er ist nicht Mister Sparkasse. Das merke ich mir mal, wenn sich einer meiner Kunden beschwert. Ich bin dann auch unschuldig. Jetzt bin ich mal gespannt, ob die tatsächliche Umstellung des Verfahrens wenigsten reibungslos klappt. Das wäre das erste Mal.

Fall 2:

Die IHK Aachen verschickt PDFs zur Online Abstimmung an uns Vollversammlungsmitglieder. Darin sollen wir „online“ ankreuzen, ob wir bestimmte Beschlüsse unterstützen oder nicht. So weit so gut. Blöd, dass sich die PDF nicht bearbeiten lässt und so eine Abstimmung gar nicht möglich ist. Kein Problem. Einfach kurze Email zurück an „noreply…“. Ach nee, kurz „richtige“ E-Mail-Adresse raussuchen und Hinweis verschicken. Prompte Reaktion: „Danke für den Hinweis – haben wir sofort geändert“. Gerne. Jetzt kann ich wenigstens die Klicks „online“ machen und das Ergebnis direkt als PDF per Mail verschicken. Zum Glück ist das kein echtes Wahlverfahren, bei dem es auf etwas ankommen würde (Stichwort: Vertraulichkeit, Sicherheit, Zuordnungsfähigkeit zu einer bestimmten Person etc.).

Fall 3:

Die Städteregion Aachen verschickt offenbar grundsätzlich alle möglichen E-Mails mit einer „noreply“-Adresse, damit man bloß nicht direkt darauf antworten kann, wenn etwas nicht stimmt. Harmlos bei einer Online Terminanmeldung beim Straßenverkehrsamt. Richtig blöd, wenn eine (offenbar fehlerhafte) Terminstornierung für den zweiten Corona-Impftermin am Pfingstsonntag eintrudelt. Meine Frau hat sich dann die Mühe gemacht, „echte“ Emailadressen herauszusuchen, nachdem ihre Beschwerde wegen der unverständlichen Terminstornierung an die „noreply“-Adresse des Impfzentrums als unzustellbar zurückkam. Das hat dann ausgelöst, dass sehr schnell die Terminstornierung storniert wurde (unerklärlicher Systemfehler) und ein neuer Termin bestätigt wurde (zunächst als „echte“ Mail von Menschenhand und dann nochmal per Noreply-Mail). Gestern rief dann eine weitere Mitarbeiterin an und wollte das Thema nochmal klären. Zum Glück hatte sie den gleichen bestätigten zweiten Impftermin auch in ihrem System. Sie erklärte mir auch, dass die mehrfachen Nachfragen jetzt daran liegen, dass meine Frau ihre Beschwerde an mehrere Adressen geschickt hatte. Auf meinen Einwand, dass das daher kommen würde, wenn man u.a. die Stornomail mit einer „noreply“ Adresse verschickt, meinte sie nur: „Dafür kann ich nichts. Das macht die Städteregion bzw. Regio-IT immer so“. Genau das ist das Problem. Also auch „unschuldig“.

Fall 4: Tja und dann habe ich bei meiner Versicherung (Gothaer) letztes Wochenende per Mail angefragt, wie denn die Konditionen für die Versicherung eines Zweitfahrzeugs wären. Darauf erreicht mich sehr schnell am nächsten Werktag ein Anruf – dummerweise gerade nur unterwegs mit keiner Möglichkeit zum Mitschreiben (ich brauche einen Chauffeur). Auf meine Bitte, die Konditionen doch einfach kurz per E-Mail zu schicken, meinte die Dame nur: „Das geht leider nicht. Wir können das nur telefonisch oder per Post“. Ich habe dann nochmal entsetzt nachgefragt, ob das ihr Ernst sei, war dann aber zu perplex, um schlagfertig darum zu bitten, eine Eule oder eine Kutsche zu schicken. Wir einigten uns daher auf einen erneuten Anruf heute Vormittag. Den muss ich gerade verpasst haben, als ich die 10 Unterschriften für die Sparkasse nebenan von meiner Frau eingesammelt habe, denn gerade kamen zwei E-Mails der Gothaer-Versicherung. Überraschung: Die Gothaer kann doch E-Mail. In der 1. Mail steht:

Sehr geehrte Damen und Herren,
Sie haben eine neue Nachricht von Ihrer Gothaer erhalten.
Der Schutz Ihrer Daten ist uns sehr wichtig. Deshalb haben wir die Nachricht für Sie in einem sicheren elektronischen Postfach (Gothaer Webmailer) hinterlegt.
Sie können die Nachricht nach dem Login in den Gothaer Webmailer aufrufen und auch abspeichern.
Der Login zum Gothaer Webmailer ist erreichbar unter der Adresse: https://www.gothaer.de/app/webmailer/webmail_users/login...
Wenn Sie den Webmailer bislang noch nicht benutzt haben, erhalten Sie in einer weiteren E-Mail das Kennwort für den ersten Login.
 

In der zweiten Mail (direkt dahinter) kommt dann:

Wir haben Ihnen für die Erstanmeldung im Gothaer Webmailer ein Initialkennwort erstellt.
Den Link zum Gothaer Webmailer erhalten Sie in einer separaten E-Mail. Bitte prüfen Sie auch Ihren SPAM-Ordner auf Erhalt der Nachricht.
Das Initialkennwort für Ihren Gothaer Webmailer-Zugang lautet: …

Als Addendum dann noch ein Link zum BSI zur Vergabe sicherer Passwörter (das ist der Treppenwitz schlechthin).

Ich musste lachen. Nun, tatsächlich muss man nach dem ersten Login eine eigenes (sicheres) Passwort vergeben. Aber das Versenden eines Initialpasswortes in einer separaten Mail suggeriert eine Sicherheit, die es nicht gibt. Das ist fast so dumm, wie echte Passwörter in einer separaten Mail zu verschicken, um den Anhang in einem passwortverschlüsselten Anhang der vorherigen Mail „abzusichern“ (unter anderem vom Gesundheitsamt der Stadt Aachen so als Verfahren zur Übermittlung personenbezogener Daten mir gegenüber vorgeschlagen – aber das ist Fall 5).

Zurück zur Gothaer:
(Die Gothaer hat übrigens nicht angerufen. Sie hat es nur behauptet, aber das kommt gleich).
Nachdem ich nun also ein eigenes Passwort eingegeben hatte und die Gothaer somit immer noch nicht weiß, ob ich tatsächlich der Thomas Käfer bin, konnte ich die so wichtige Mail nun endlich lesen. Da war nicht etwa ein Angebot enthalten, sondern dass hier:



Und jetzt – die Spannung steigt: Was verbirgt sich hinter der HTML-Datei, die man eigentlich aus Sicherheitsründen eher nicht öffnen sollte?

Das hier: Leider konnten wir Sie telefonisch nicht erreichen. Gerne klären wir Ihr Anliegen in einem persönlichen Gespräch.


Nachdem ich mich wieder vom Boden aufgerappelt, den umgestürzten Stuhl aufgerichtet und meine Tränen getrocknet hatte, dachte ich mir: Jetzt reicht es …

Aber es reicht noch nicht (Übrgens habe ich die Sache dann mit ein "paar" Telefonaten, darunter mit einer unfassbaren dummen Mitarbeiterin (diesmal bei Check24) regeln können - aber das ist kein digitales Thema).

Kommen wir zum Schluss noch zum Thema „Fälschen von Covid-Testergebnissen“ unserem heutigen Fall 6:

Den nachfolgenden Text habe ich am 14.05.2021 an die Kaiser-Apotheke Würselen, den Betreiber der Software-Lösung des dort verwendeten Covid-Tests (no-q.info) und den Sprecher des Gesundheitsamtes der Städteregion Herrn Ziemons mit der Bitte um Stellungnahme vor Veröffentlichung meiner Befunde geschickt.

Ich lasse mich seit einigen Wochen brav jede Woche im Testzentrum in der Kaiser-Apotheke in Würselen testen. Da ich mich hauptberuflich mit Datenschutz und IT-Sicherheit befasse, wurde meine Neugier geweckt, wie gut denn die Testbescheinigungen vor Manipulationen geschützt sind. Das neuerdings das Geburtsdatum als Passwort genutzt wird, ist nett, aber – wenn wir mal ehrlich sind – kein wirksamer Schutz. Am Anfang gab es nicht mal diesen trivialen Passwortschutz.

Schlimmer noch ist, dass die PDF nach Eingabe des Passwortes dann vollkommen ungeschützt ist und problemlos in gängigen Programmen wie Adobe Acrobat o.ä. komplett editiert und verfälscht werden kann.

Ich habe mal als Fingerübung mein letztes Testergebnis in 10 Minuten beliebig modifiziert und könnte mir damit nun täglich neue negative Testbescheinigungen auszustellen. Das Ergebnis dieser – hier bewusst plumpen – Urkundenfälschung habe ich Ihnen mal beigefügt. Wenn dann ein Kontrolleur (wie mutmaßlich praktisch jeder Laden- oder Restaurantbesitzer) so ein Blatt Papier vorgelegt bekommt (ohne die hier offensichtlichen plumpen Modifikationen), wird er in der Mehrzahl der Fälle den QR-Code gar nicht prüfen und die Urkunde als echt hinnehmen.

 

Aber auch das wäre kein wirkliches Problem , wenn dies Anbieter mit krimineller Energie als Dienstleistung im Netz anbieten würden. Denn den QR-Code könnte ich als Kür auf einer von mir als Hacker bereitgestellten Website, die an https://verify.no-q.info/  angelehnt ist (um nicht zu sagen kopiert) und die z.B. https://verify.noq.info heißen könnte, ebenfalls beliebig als valide bestätigen lassen. Dazu übergibt man im QR-Code einfach in der gewünschten URL den Namen und das Testdatum als get-parameter. Den Übergabeparamater kann man dann genauso kodieren wie die offensichtlich simpel mit Base64 codierten Übergabeparameter der originalen QR-Codes. Die Webseite braucht dann nur die wahlfrei übergebenen Parameter wieder zu dekodieren und genauso wie auf der Original-Website formatiert auszugeben. Wetten, dass kaum ein Kontrolleur diesen Betrug erkennt? Denn wer weiß schon, dass das Testergebnis auf verifiy.no-q.info (mit Bindestrich) verifiziert werden muss und nur das dann als valide Echtheitsprüfung gilt? Und dafür ist auch im Alltag keine Zeit!

Die Website https://verify.no-q.info/ enthält keinerlei Anbieterkennung oder Impressum und damit ist für den Prüfenden ohnehin nicht zu erkennen, ob das Ergebnis der QR-Code-Prüfung vertrauenswürdig bzw. echt ist.

Warum wird keine wirklich offizielle und eindeutig zuzuordnende Adresse (wie z.B. www.rki.de) benutzt? Und warum wird überhaupt ein so unsicheres Verfahren wie eine einfach zu fälschende oder selbst zu erstellende PDF als Testnachweis benutzt? Warum wird so etwas nicht mit der offiziellen Corona-App gekoppelt, sodass eine Manipulation nahezu ausgeschlossen werden kann? Die Corona-App gibt es nun seit über einem Jahr und der Nutzen ist mehr als fraglich. Das ärgert mich umso mehr, als dass wir im April 2020 mit der Cyber-Security Fokusgruppe des digihub Aachens auf Basis meiner Initiative ein Konzept für eine Corona-App vorgestellt haben, die wohl nur einen Bruchteil der jetzigen Kosten verursacht hätte, aber dennoch hinsichtlich Datenschutz und IT-Sicherheit wohl deutlich besser gewesen wäre, als das, was wir jetzt vorfinden. Im Konzept wurden damals schon genau die jetzt hochkommenden Probleme thematisiert, aber das ist wieder ein anderes Thema. Nur kann man jetzt nicht sagen, „das war ja alles überraschend und wir mussten schnell eine Lösung haben“. Die Probleme und Herausforderungen sind seit Monaten, wenn nicht seit gar seit Anfang der Pandemie bekannt.

Dennoch müsste die Corona-App längst flächendeckend zum Verarbeiten und Nachweis von Testergebnissen eingesetzt werden können, aber das ist wohl immer noch Utopie. Denn auch die QR-Codes, die ich auf meinen Testergebnissen erhalte, werden nach wie vor von der aktuellen Corona-Warn-App nicht erkannt. Das ist umso unverständlicher, als das auf der Website von https://www.no-q.info/ genau mit der Kompatibilität zur Corona-Warn-App geworben wird. Warum funktioniert mein Test-Ergebnis damit nicht?

Und beim Blick auf die Nachlässigkeit, wie die Testergebnisse verwaltet und wenig fälschungssicher verteilt werden, brauchen wir nicht ernsthaft über fälschungssichere Impfnachweise nachzudenken.

In Anbetracht der massiven Einschränkungen mit der wir Bürger seit über einem Jahr konfrontiert werden, würde ich mir endlich mal mehr Professionalität beim Einsatz der IT-Werkzeuge zur Bekämpfung der Pandemie wünschen.

Und jetzt das Positive an dem negativen Test:

Sowohl die Kaiser-Apotheke als Betreiber des Testzentrums als auch der Software-Anbieter Vertical Life aus Südtirol haben sich sehr schnell und konstruktiv zurückgemeldet. So wurde umgehend ein Impressum auf die Verifikationsseite hinzugefügt (wenn auch nicht auf allen Seiten) und die PDF ist seither schreibgeschützt und kann nicht mehr auf einfachster Weise direkt manipuliert werden. Zudem verwies der Software-Hersteller darauf, dass das Formular den Vorgaben der Corona- Schutzverordnung des Landes NRW entspricht. Dort wird eine gewisse Formfreiheit bejaht und auch die Möglichkeit zum Bestätigen per Online-Formular erlaubt. Der Vordruck sieht jedoch trotzdem anders aus und beinhaltet vor allem einen Hinweis auf die Strafbarkeit der Fälschung einer solchen Bestätigung, die übrigens gerade vom Bundestag nochmals mit schärferen Strafen auch im Fall eines gefälschten Impfausweises unterstrichen wurde. Das ist gut und wichtig, damit jedem klar wird, dass das einfache Manipulieren kein Kavaliersdelikt ist. Dieser Hinweis fehlt leider nach wie vor auf dem Corona-Testergebnis von Vertical (wie vermutlich in vielen anderen selbst entworfenen Formularen). Vor Gericht wäre wahrscheinlich aber spannend, wie scharf das Gesetzesschwert dann wäre, wenn es dem Urkundenfälscher zu leicht gemacht wird…

Und Vertical-Life gab mir gleich noch eine Anleitung mit, wie denn das Testergebnis auch mit der Corona-Warn-App verknüpft werden kann: https://www.coronawarn.app/de/blog/2021-05-11-how-to-rapid-test-integration/

Das ist leider etwas schwerfällig beschrieben bzw. aus der Benutzerführung der Warn App nicht sofort klar ersichtlich. Man muss die Warn App dazu entweder autorisieren und das Testprofil dann vor dem Test beim Testzentrum vorzeigen oder die Mitarbeiter im Testzentrum müssen den Zugriff auf die Warn-App explizit freischalten, wenn man das bei der Testbuchung nicht bereits selber gemacht hat. Für mich als Informatiker war das offenbar schon zu kompliziert, denn es hat dann nur einmal geklappt, als der Mitarbeiter dies vor Ort explizit freigeschaltet hat. Mit der Testregistrierung aus der Corona-Warn-App konnte man dort nichts abfangen. Und tatsächlich haben wir in der Registrierungsmaske bei der Terminbuchung auch nichts gefunden. Da sollte man also noch nachbessern…

Fazit: Die Reaktion des Betreibers der Tests war vorbildlich und lösungsorientiert. Das habe ich auch schon anders erlebt. Die Städteregion Aachen hat sich zu dem Thema bisher nicht geäußert. Tja… vielleicht schicke ich ihr den Text hier nochmal an eine noreply-Adresse…

Die Lösung mit den Testergebnissen per PDF ist aber nach wie vor nicht optimal und krankt daran, dass es keine offizielle und einheitliche Form und Verifikationsmöglichkeit zur Echtheitsprüfung gibt. Denn letztlich kann ich mir so eine PDF ja auch komplett selber bauen. Das ist zwar strafbar, schützt aber nicht vor Missbrauch und von der Unsicherheit beim Test des Tests. Schließlich gestaltet ja auch nicht jeder von uns seine eigenen Banknoten und behauptet dann, die wären echt…

So, ich rufe jetzt mal bei der Gothaer an und versuche mein Glück erneut. Bin gespannt, auf welchem Weg ich die EVB Nummer bekomme…

Aber wenn gleich der nächste mit so einem Digitalisierungs-Rohrkrepierer um die Ecke kommt, platzt hier eine Bombe oder ich.

Durch Deutschland muss endlich ein Digitalisierungs-Ruck gehen.