Spaß mit Barcodes

Jan Schejbal hatte mit Hilfe des Freeware-Programms bcTester herausgefunden, dass der linke Barcode, der beim postalischen Zurücksenden des Fragebogens im Adressfenster sichtbar ist, die vollständige Fragebogen-Nummer enthält. So kann also jeder, der dieses Adressfeld zu Gesicht bekommt, die Nummer des im Brief enthaltenen Fragebogens erfassen.

Harmlos. Harmlos?

Auch der rechte 2D-Barcode, der beim Versenden des Fragebogens an den Befragten nebst Postanschrift im Sichtfenster des Briefumschlags sichtbar ist, enthält diese Nummer in codierter und von jedem dechiffrierbarer Form.

Laut bcTester-Diagnose handelt es sich um DataMatrix-Codes, die die 12stellige Fragebogen-Nummer an einer bestimmten Stelle in richtiger Reihenfolge und im Klartext beinhalten. Derartige Codes lassen sich mit Hilfe von Freewareprogrammen (Beispiel BarCode Generator) auch leicht selber erzeugen.

Diese Information wird aber dann erst “spannend”, wenn man zugleich auch in den Besitz des “Aktivierungscodes” für die Online-Beantwortung des Fragebogens gelangt. Uns wurde mehrfach davon berichtet, dass die von manchen Landesstatistikämtern verwendeten Versandbriefumschläge es ohne große Probleme ermöglichen, diesen Aktivierungscode bei geschlossenem Umschlag zu lesen.

Und selbst bei dem uns zur Verfügung stehenden Original-Satz GWZ-Formular samt Orignal-Versandbriefumschlag aus Niedersachsen, wo das eigentlich nicht der Fall ist, konnten wir diesen Aktivierungscode dank etwas Fingerspitzengefühls bei verschlossenen Briefumschlag lesen:

Missbrauch ist möglich

Das bedeutet, dass Missbrauch der etwa 17,5 Millionen versendeten GWZ-Fragebögen möglich und mit geringem Aufwand durchführbar ist. Voraussetzung dafür ist, dass man den Briefumschlag mit dem Fragebogen ein einziges mal in die Hand bekommen haben muss. Das Auslesen des 2D-Barcodes sollte mit Hilfe jedes Smartphones möglich sein, könnte also “vor Ort” vorgenommen werden.

Fehler, Fragen und Vermutungen

Wir hatten schon zuletzt auf einen Zeitungsartikel hingewiesen, in dem das Statistikamt Nord von Problemen und Fehlern bei der automatischen Verarbeitung der per Post eingehenden GWZ-Fragebögen berichtet. Schon ein handgeschriebener Briefumschlag anstelle des vorgegebenen Fensterumschlags (mit Barcode) führe dazu, dass die automatischen Briefverarbeitungsanlagen Probleme bekommen und (vermutlich) eine aufwendige manuelle Bearbeitung der Umschläge erforderlich macht.

Was passiert dann wohl, wenn die automatischen Briefverarbeitungsanlagen Post erhalten, die zwar den 2D-Barcode im Adressfeld, aber keinen Fragebogen enthalten?

Und wie gehen diese Anlagen mit Briefumschlägen um, die einen Barcode gleichen Systems an der korrekten Stelle aufgedruckt haben, die darin verborgene Fragebogennummer allerdings ungültig ist?

Fragen über Fragen …