Digitale Impfzertifikate haben gegenüber dem gelben Impfausweis Vorteile. Europaweit kann man sich mit dem QR-Code als vollständig geimpft ausweisen. Doch im Netz kursieren gefälschte Zertifikate. Demnach wurden auch Micky Maus, SpongeBob und Hitler vollständig geimpft.
Laut dem offensichtlich gefälschten Zertifikat ist Adolf Hitler mit dem fiktiven Geburtsdatum 1.1.1900 doppelt mit Biontech geimpft. Sicherheitsexperten gehen in einer ersten Analyse nicht davon aus, dass bei den aufgetauchten Zertifikaten ein hochgeheimer digitaler Schlüssel gestohlen wurde, berichtet Deutschlandfunk-Nova-Netzreporter Andreas Noll. "Wahrscheinlich ist vielmehr, dass eine ausstellende Einrichtung – das sind in Deutschland Ärzte oder Apotheken – mit den Fälschern zusammengearbeitet hat."
Wegen des Datenschutzes gibt es keine weiteren Sicherheitsmechanismen
Möglich wäre auch, dass das IT-System der ausstellenden Einrichtung gehackt wurde. Bisher ist noch unklar, aus welchem Land die aufgetauchten Fälschungen kommen. Zwar hat der "geimpfte Hitler" ein Zertifikat der französischen Krankenkasse. Dass der Code deswegen in Frankreich generiert wurde, sei aber nicht zwingend, erklärt unser Netzreporter. "Denn aus Datenschutzgründen gibt es keine weiteren Sicherheitsmechanismen, die zum Beispiel Name oder Geburtsdatum auf Plausibilität prüfen."
Impfzertifikate sind nach Sperrung noch im Verkehr
Gefälschte Zertifikate können offenbar gesperrt werden. "Das führt aber nicht zwingend dazu, dass sie aus dem Verkehr sind", sagt Andreas. Denn im Alltag fallen solche Fälschungen unter Umständen überhaupt nicht auf. Und: Nicht alle Apps unterstützen die Funktion "gesperrte Zertifikate überprüfen", so unser Reporter.
App schlägt keinen Alarm
Die deutsche CovPass-App beispielsweise schlägt trotz zahlreicher Updates keinen Alarm, wenn Andreas testweise den QR-Code aus dem Netz mit Hitlers vermeintlicher Impfung scannt. "Vielmehr zeigt CovPass an, dass Hitler am 1. Oktober seinen zweiten Shot gekriegt hat." Auch die Impfausweise von Micky Maus und SpongeBob konnte Andreas mit der deutschen CovPass-App verifizieren.
Wie genau die Sperrung einzelner Zertifikate funktioniert, wollte die IT-Seite golem.de wissen und hat beim Bundesgesundheitsministerium nachgefragt. Doch das Ministerium wollte darüber keine Auskunft geben.
"Das Gesundheitsministerium sagt, man habe eine Lösung gefunden, um gefälschte Zertifikate sperren zu können. Das wolle das Ministerium nicht weiter kommunizieren, um keine Nachahmer zu motivieren."
Im Alltag jedenfalls wird zumindest in Deutschland der Code häufig gar nicht zur Überprüfung eingescannt, meint Andreas. "Da checkt dann maximal einer, ob es zwei Impfungen waren oder nicht." Bei so einem Augen-Check würde ein Mickey-Maus- oder Hitler-Zertifikat dann vielleicht wegen des Namens auffallen, aber wohl kein gefälschtes Zertifikat mit einem geläufigen Vor- und Nachnamen. "Häufig wird ja auch nicht nach dem Personalausweis gefragt."
Gefälschte Codes für 300 Euro
Das Interesse an diesen gefälschten Zertifikaten steigt offenbar. Es gibt Berichte, dass man gefälschte QR-Codes für 300 Euro im Darknet bekommt. Richtig problematisch werde es, wenn es tatsächlich Kriminellen gelungen sein sollte, an die privaten Schlüssel für das Verschlüsselungssystem zu gelangen, sagt Andreas.
"Dann könnten beliebige Impfzertifikate auch ohne einen Apotheker oder Arzt ausgestellt werden."
Um das System in einem solchen Fall wieder sicher zu machen, müssten alle Schlüssel neu erzeugt werden. Die alten Schlüssel würden dann als nicht mehr vertrauenswürdig klassifiziert, sagt Sicherheitsexperte Rüdiger Trost von der Firma F-Secure. Alle geimpften Personen müssten dann neue Impf-Zertifikate bekommen. Solange sich der Betrug mit den Zertifikaten aber in Grenzen hält, wird das aber wohl eher nicht passieren.