Betrug mit Impfpässen

Corona-Zertifikat für Adolf Hitler

Von Thomas Gutschker, Brüssel
28.10.2021
, 14:30
Bisher nur eine Demo-Version: Eine geplante Prüf-App für Corona-Zertifikate
Ein Fälscher bietet für 300 Euro einen in der EU gültigen Impfnachweis an. Und besitzt womöglich Zugang zu einem Schlüssel, mit dem die QR-Codes erzeugt werden, die jeder Staat ausgibt. Hat er das gesamte System kompromittiert?
ANZEIGE

Adolf Hitler wurde mit Biontech geimpft, er bekam die zweite Dosis am 1. Oktober. Und er hat ein gültiges, von der französischen Regierung signiertes Impfzertifikat. Klingt wie Unsinn, ist auch Unsinn – aber möglicherweise gefährlicher. Denn mit dem Impfzertifikat, das in mehreren Internetforen und Telegram-Gruppen kursiert, wirbt ein Fälscher für seine Dienste. Und dieser Fälscher besitzt womöglich Zugang zu einem hochgeheimen Schlüssel, mit dem die QR-Codes erzeugt werden, die jeder EU-Staat ausgibt. Dann müssten alle Impfpässe, die damit erstellt wurden, neu ausgegeben werden. Bewiesen ist das nicht, es gibt auch andere Erklärungen. Für Aufsehen sorgt der Fall in den Niederlanden, wo das Nachrichtenprogramm von RTL am Mittwoch darüber berichtete.

ANZEIGE

Der Fernsehsender nahm nach eigenen Angaben Kontakt zu dem Fälscher auf. Der bot an, für 300 Euro ein gültiges individuelles Impfzertifikat auszustellen, und zwar polnischer oder französischer Herkunft. Da die Zertifikate EU-weit normiert sind, werden sie in allen anderen EU-Mitgliedsländern anerkannt. Gemäß dem Bericht hat das niederländische Gesundheitsministerium in dem Fall Ermittlungen aufgenommen. Es gehe dabei auch dem Verdacht nach, dass ein Schlüssel entwendet worden sein könnte. Eine andere Möglichkeit ist, dass der Fälscher mit Personen zusammenarbeitet, die befugt sind, selbst Impfpässe auszustellen. Dieser Kreis ist in jedem Land unterschiedlich groß. Während in Deutschland Apotheker dazu gehören, darf in Frankreich allein die gesetzliche Krankenversicherung solche Zertifikate ausstellen.

Zertifikate für Mickey Mouse und Spongebob

Im Forum des Internetdienstes GitHub kursierten am Donnerstag mehrere auf den Namen Adolf Hitler ausgestellte und gültige QR-Codes. Darunter war der besagte aus Frankreich mit dem fiktiven Geburtsdatum 1. Januar 1900, ausgestellt am 25. Oktober, außerdem einer mit dem Geburtsjahr 1930 aus Polen (vom 24.10.) und mit dem Geburtsjahr 1989 aus Mazedonien (27.10.). Weitere gefälschte Codes waren auf die Namen Mickey Mouse und Spongebob ausgestellt. Der Datenanalytiker Denys Vitali, der für Swisscom arbeitet, schrieb dort in einer ersten Analyse, dass die Wahrscheinlichkeit eher gering sei, dass ein Schlüssel gestohlen worden sei. Denn es kämen in der Regel Sicherheitsmodule zum Einsatz, die den Schlüssel auch für Administratoren verbergen.

Plausibler sei, dass ein autorisierter Ersteller von Zertifikaten gehackt worden sei oder mit Fälschern kooperiere. Um den Nachweis eines gestohlenen Schlüssels zu erbringen, so Vitali, müsste ein Impfzertifikat auf einen Termin vor Beginn der Pandemie datiert werden – denn dies würden die Systeme normalerweise nicht zulassen. Ein solches Zertifikat ist bisher nicht aufgetaucht.

Wissen war nie wertvoller

Lesen Sie jetzt F+ 30 Tage kostenlos und erhalten Sie Zugriff auf alle Artikel auf FAZ.NET.

JETZT F+ LESEN

Den gesetzlichen Rahmen für den elektronischen Impfnachweis hat die EU im Frühjahr gesetzt. Dabei wurde auf „maximalen Datenschutz“ gesetzt, wie die EU-Kommission hervorhebt. Die Zertifikate enthalten nur Angaben über den Namen des Geimpften, sein Geburtsdatum, den Impfstoff, das Datum der Impfung und das Land, wo sie vorgenommen wurde. Der QR-Code enthält eine digitale Signatur, aus der ersichtlich ist, wer ihn generiert hat. Beim Scannen des Codes wird nur abgeglichen, ob diese Signatur authentisch ist. Die EU hat dafür eine Schnittstelle aufgebaut, über die alle Mitgliedstaaten miteinander vernetzt sind.

Einzelne gefälschte Zertifikate können gesperrt werden. Gemäß einem Bericht der Nachrichtenagentur ANSA haben die italienischen Behörden dies für die Hitler-Pässe schon veranlasst. Sollte jedoch ein Fälscher tatsächlich über einen geheimen Schlüssel verfügen, mit dem er authentische digitale Signaturen erstellen kann, müssten alle Impfpässe neu ausgegeben werden, die damit erstellt wurden. Andernfalls könnten sich andere EU-Staaten weigern, Zertifikate aus dem betreffenden Land anzuerkennen.

In mehreren europäischen Staaten laufen schon Ermittlungen wegen Betrugs mit Covid-Zertifikaten. Dabei handelt es sich einerseits um echte Zertifikate, die auf einen anderen Namen lauten. Da Veranstalter oder Restaurantbetreiber so gut wie nie die Identität einer Person überprüfen, die einen QR-Code vorzeigt, reicht das, um einer anderen Person Zutritt zu verschaffen. Zum Teil richten sich Ermittlungen aber auch gegen Personen, die selbst im Gesundheitswesen tätig sind und Impfpässe generieren können. So wurden in den Niederlanden Mitte September mehrere Mitarbeiter des Kommunalen Gesundheitsdienstes suspendiert, eine Person aus Alphen am Rhein wurde in Untersuchungshaft genommen.

ANZEIGE
Quelle: F.A.Z.
Autorenporträt / Gutschker, Thomas
Thomas Gutschker
Politischer Korrespondent für die Europäische Union, die Nato und die Benelux-Länder mit Sitz in Brüssel.
  Zur Startseite
Verlagsangebot
Verlagsangebot
ANZEIGE