Gefälschte Impfpässe: Schwachpunkt Mensch
4. November 2021Europäische Polizeibehörden haben bereits mehrere Netzwerke aufgedeckt, die Impfausweise fälschen. Diese tragen angebliche COVID-19-Impfungen in Impfausweise ein oder stellen entsprechende digitale Zertifikate für einen sogenannten grünen Pass aus. Das Zertifikat gilt als Nachweis, dass der Inhaber genesen, geimpft oder kürzlich negativ getestet ist.
Doch trotz der Ermittlungserfolge ist es weiterhin kinderleicht, sich ein gefälschtes Impfzertifikat zu organisieren. Denn Polizeibehörden melden eine wachsende Zahl sichergestellter Fälschungen.
Im Oktober machten in Europa ganz offensichtlich gefälschte Impfzertifikate Schlagzeilen: Sie lauten auf Namen wie Adolf Hitler, geboren am 1. Januar 1990, Spongebob und Mickey Mouse. "Vermutlich haben Fälscher diese Zertifikate erstellt, um ihren Kunden zu beweisen, dass sie gültige Impfzertifikate generieren können", sagt Hanno Böck, der für dieIT-News-Plattform "golem.de" zu dem Fall recherchiert.
Digitale Zertifikate keine Lösung
Die digitalen Impfnachweise sind in der EU, aber auch in assoziierten Staaten wie der Schweiz und Norwegen gültig. Mit ihrer Einführung sollte unter anderem die einfache Fälschbarkeit analoger Impfausweise wie des bekannten gelben Hefts behoben werden. Doch die Zertifikate von Mickey Mouse und Co. legen offen, dass dies - wenn überhaupt - nur in Teilen gelungen ist.
Für Matthias Marx war das vorhersehbar. "Mich überrascht vor allem die Überraschung, die der Fall auszulösen scheint", sagt er der DW. Marx ist Mitglied im Chaos Computer Club (CCC) und Co-Autor einer Sachverständigenauskunft zum Thema, die der Hacker-Verein Mitte Mai für den Gesundheitsausschuss des Bundestags angefertigt hat, als dieser über die Einführung des grünen Passes diskutierte. Darin wies der CCC die Abgeordneten darauf hin, dass auch eine fälschungssichere Verschlüsselung nicht verhindern könne, dass einzelne Zertifikate gefälscht werden. Zum Beispiel, wenn das System nicht durch angemessene Sorgfalt vor unautorisiertem oder missbräuchlichem Zugriff geschützt wird.
IT-Systeme nicht sicherer als ihre User
Nach Böcks Recherchen für "golem.de" wurden die meisten Impfpässe von Mickey Mouse und Co. vom Gesundheitsministerium Nordmazedoniens ausgestellt, dessen Impfpässe auch in der EU gültig sind. Es sind aber auch gefälschte Zertifikate im Umlauf, die aus den EU-Ländern Deutschland, Frankreich und Polen stammen.
Die Mehrzahl der Codes wurde demnach über reguläre Online-Interfaces erstellt, also Websites, über die autorisierte Nutzer - etwa Apotheker oder Krankenhausmitarbeiter - digitale Impfzertifikate Impfpässe ausstellen. Betreiber der Interfaces sind die ausstellenden Behörden - in Deutschland also das Robert-Koch-Institut.
Böck zufolge sind einige der Seiten noch nicht einmal mit einem Passwort geschützt. "Ich habe heute Morgen noch einmal nachgesehen", sagt er der DW am 3. November: "Auf zwei Nicht-EU-Länder trifft das immer noch zu, andere haben mittlerweile nachgebessert." Welche das sind, gebe er nicht preis, bis die Gefahr gebannt sei, um weiterem Missbrauch keinen Vorschub zu leisten, sagt Böck: "Wer die Seiten findet, kann sich einfach durchklicken und ein Impfzertifikat ausstellen."
Fälschungen durch autorisiertes Personal
Eine weitere Unsicherheit geht vom autorisierten Personal selbst aus. Laut der Polizei in Deutschland kommen zwar die meisten Hinweise auf gefälschte Papier-Impfpässe aus Apotheken, weil dort Kunden die gefälschten Papiere vorzeigen, um ein digitales Zertifikat zu erhalten. Andererseits sind gut gemachte Fälschungen nicht ohne weiteres zu erkennen, sodass denkbar ist, dass beispielsweise Apotheken unwissentlich bei der Digitalisierung gefälschter Impfpässe helfen.
Marx geht aber auch davon aus, dass die Motivation für eingehende Plausibilitätsprüfungen nicht bei allen autorisierten Personen gleich hoch ist. "Und dann gibt es ja auch unter Apothekern und Ärzten Impfkritiker, und einige von ihnen sehen es offenbar als legitim an, Impfpässe zu fälschen und damit Zusatzeinnahmen zu generieren." Ende Oktober hatte die bayrische Polizei unter anderem eine Apotheke durchsucht, um einen mutmaßlichen Fälscherring aufzudecken.
Anreize zur Fälschung steigen
All das haben Marx und andere vom CCC kommen sehen: "Je strenger die Regeln für Nicht-Geimpfte werden, desto höher ist der Anreiz, sich eine Fälschung zu besorgen. Und dann entsteht auch ein Angebot."
Und die Anreize steigen zusehends: In Deutschland ist seit Ende August ein Antigen-Schnelltest nur noch 24 statt 48 Stunden gültig. Der aber ist in vielen Situationen vorgeschrieben, etwa im Restaurant, im Kino, bei Konzerten oder für Besuche in Kranken- und Pflegeeinrichtungen. Seit Oktober müssen die Tests zudem selbst bezahlt werden. Manche Geschäfte und Veranstalter gewähren Nicht-Geimpften überhaupt keinen Zutritt mehr. In den Bundesländen Hessen und Niedersachsen ist dies theoretisch sogar in Lebensmittelgeschäften möglich.
In anderen Ländern der Europäischen Union ist das Leben ohne COVID-19-Impfung oder -Genesung noch eingeschränkter: In Italien darf niemand mehr ohne grünen Pass den Arbeitsplatz aufsuchen. In Frankreich dürfen bestimmte Berufsgruppen, darunter Gesundheitspersonal, Feuerwehrleute und Polizisten, nur noch geimpft arbeiten, Ungeimpfte werden entgeltlos suspendiert.
Alle Impfzertifikate zurück auf null?
Laut Bundesgesundheitsministerium können gefälschte Zertifikate aus Deutschland ungültig gemacht werden. Warum das bisher nicht geschehen ist, wollte das Ministerium der DW auf Anfrage nicht mitteilen. Mit dem vom RKI ausgestellten Zertifikat kann sich Mickey Mouse (Stand 3.11.21) weiterhin als geimpft ausweisen.
Dies wäre allerdings ohnehin nur eine Lösung für Zertifikate, von denen bekannt ist, dass sie erschwindelt sind, nicht aber, um die Masse der Fälschungen ungültig zu machen. Im Nachrichtensender n-tv sagte der Sicherheitsexperte Rüdiger Trost von der Firma F-Secure: "Es gibt eigentlich nur eine saubere Lösung: Alle Impfzertifikate müssen zurückgezogen werden."
Der Faktor Mensch entscheidet
Ungefähr dies ist offenbar mit dem Schlüssel geschehen, der den Fake-Zertifikaten zugrunde liegt, die in Nordmazedonien ausgestellt wurden. "Das bedeutet aber auch, dass auch alle regulär erstellten Zertifikate nun ungültig sind, die mit demselben Schlüssel erstellt wurden", erklärt IT-Journalist Böck.
In Deutschland oder Frankreich könnte ein solcher Schritt bedeuten, dass sich Millionen rechtmäßige Inhaber eines digitalen Impfpasses ein neues Zertifikat ausstellen lassen müssten. Dann ginge das ganze Prozedere von vorne los, vermutlich auch das der Fälschungen. Insbesondere dann, wenn Behörden und autorisierte Personen ihr Verhalten nicht ändern. An der Sicherheit der Zertifikate-Schlüssel liegt es den Experten zufolge jedenfalls nicht, dass so viele Fälschungen in Umlauf sind.