Digitaler Impfnachweis

Fake-Zertifikate: Selbst Adolf Hitler hat ein Impfzertifikat

Es kursieren immer mehr gefälschte Impfzertifikate: Das stellt ein Risiko dar und sollte dringend verfolgt werden. Aber: Es passiert wenig bis nichts. Es gibt auch kaum ernsthafte Kontrollen der Zertifikate.

Als die digitalen Impfzertifikate Anfang des Jahres eingeführt wurden, hieß es aus der Politik: Die digitalen Zertifikate sind sicher! Moderne digitale Technologie mache das Fälschen der Zertifikate nahezu unmöglich. Es sei denn – und das gilt damals wie heute –, jemand mit genügend krimineller Energie stellt die Zertifikate in einem Impfzentrum oder bei einem Arzt aus. Das allerdings wäre dann nicht ohne Risiko und definitiv eine Straftat.

Immer mehr Fake-Zertifikate in Umlauf

Nun, etliche Monate später, kursieren jede Menge Fake-Zertifikate. Ein gefälschtes Impfzertifikat ist sogar auf „Adolf Hitler“ ausgestellt. Ausgestellt in Italien – technisch gesehen korrekt und deshalb europaweit gültig. Unklar ist, ob für das Fake-Zertifikat der geheime Digitalschlüssel einer Ausgabestelle entwendet wurde oder ob es möglicherweise sogar gelungen ist, den QR-Code ohne solche Hilfsmittel zu fälschen.

Die Betrüger fühlen sich derart sicher, dass sie ihre Zertifikate auf Micky Maus, Spongebob oder andere Fantasienamen ausstellen. Das ist keine Fingerübung, sondern ein einträgliches Geschäft geworden. Wie die NZZ jüngst berichtet, tauchen seit der Einführung des Covid-Zertifikats im Internet, im Darknet oder auf Telegram immer häufige suspekte Angebote für gefälschte Impfzertifikate auf. Ein riesiger Schwarzmarkt ist entstanden. Denn durch 2G und 3G wächst der Bedarf nach virtuellen Eintrittskarten.

Besonders brisant: Offenbar gibt es offene Web-Interfaces des Gesundheitsamts Nordmazedonien. Hier lässt sich offensichtlich mit geringem Aufwand ein gültiges Zertifikat erzeugen, das auch bei uns gültig ist. Die dortigen Behörden haben bislang nicht reagiert.

Greenpass

Es mangelt an ernsthafter Überprüfung

Theoretisch wäre das alles noch nicht so tragisch, würden die QR-Codes auch wirklich gewissenhaft überprüft. Die Realität sieht allerdings anders aus: Meist schauen sich Mitarbeiter an den Zugangstüren die Details des Zertifikats kurz an: Handelt es sich um eine zweite Impfung? Wenn ja: Alles gut.

Ob der QR-Code echt ist, wird in Deutschland nach meiner Erfahrung praktisch nie überprüft. Dabei würde ein einfacher Scan des QR-Codes mit einem Smartphone oder einem geeigneten Gerät reichen: In Sekundenbruchteilen stünde fest, ob es sich wenigstens um ein gültiges Zertifikat handelt. Doch diese Mühe macht sich kaum jemand. Ich persönlich habe es nur in Italien und in Frankreich erlebt, dass die QR-Codes gescannt werden. Im Hotel, bei der Bahn, in Restaurants. Warum nicht auch bei uns? Das wäre eine wichtige Sicherheitsmaßnahme.

Auch kein Ausweis-Check

Das allein würde allerdings noch nicht verhindern, dass jemand einfach den gültigen QR-Code eines Familienmitglieds oder Freundes präsentiert – oder einen QR-Code, der auf Telegram für einige Euro gekauft wurde. Dafür wäre es notwendig, eine ernsthafte Überprüfung vorzunehmen: Stimmt der Name auf dem Zertifikat mit dem präsentierten Ausweis überein?

Das war eigentlich die Idee. Wird aber – aus nachvollziehbarer Bequemlichkeit – viel zu selten gemacht. Das ist kein Problem des Zertifikats, sondern im Umgang damit. Ein Fehler im System.

Angesichts wieder steigender Infektionszahlen sollten bei 2G und 3G die QR-Codes auf Gültigkeit überprüft und die Personalien überprüft werden. Anderenfalls ist das Impfzertifikat wertlos. Es ist Aufgabe des Staates, den rechtlichen Rahmen zu schaffen, damit ein digitales Impfzertifikat auch seinen Sinn und Zweck erfüllt. Wozu haben wir einen QR-Code, wenn in der Regel nur geprüft wird, ob in der Beschreibung die zweite Impfung erwähnt ist?

So ist das mit der Digitalisierung nicht gemeint.

 

Apotheken stellen das offizielle Zertifikat aus

SCHIEB+ Immer bestens informiert

Schieb+ Tarife
Nach oben scrollen