DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Die Covid-19-Impfung kann Leben retten. Im Internet bieten Unbekannte gegen Bezahlung einen gefälschten Impfnachweis an. Das Problem: Er ist nicht als Fake erkennbar.
Die Covid-19-Impfung kann Leben retten. Im Internet bieten Unbekannte gegen Bezahlung einen gefälschten Impfnachweis an. Das Problem: Er ist nicht als Fake erkennbar.
Bild: keystone

Dealer im Internet verkaufen echte Covid-Zertifikate – das sind die Fakten

In der Ferien- und Reisezeit steigt die Nachfrage nach Covid-Zertifikaten. Nun verkaufen Kriminelle digitale Impfausweise, die nicht als Fake zu erkennen sind. Eine Recherche.
Cet article est également disponible en français. Lisez-le maintenant!
16.07.2021, 07:5219.07.2021, 12:58

Das Schweizer Covid-Zertifikat sei fälschungssicher, betonen die Verantwortlichen beim Bund und in den Kantonen. Tests durch unabhängige IT-Sicherheitsexperten ergaben keine gravierenden Schwachstellen oder Sicherheitslücken.

Also alles gut?

Nein. Wie watson-Recherchen zeigen, verkaufen Kriminelle im Darknet echte deutsche Impfzertifikate, die in der Schweiz gültig sind. Und niemand kann etwas dagegen tun.

Schlimmer noch: Die Schweiz hat noch technisch die Möglichkeit geschaffen, diese gekauften deutschen Zertifikate in Schweizer Light-Zertifikate zu «waschen».

Nun will der Bund reagieren.

Eine gefährliche Frage

Wie einfach kommt man an ein staatliches Impfzertifikat, wenn man nicht bereit ist, sich gegen Covid-19 impfen zu lassen? Diese Fragestellung stand am Anfang einer Recherche, die watson vor gut zwei Wochen startete.

Ferienzeit, Reisezeit. Nun liegen uns Informationen vor, dass ungeimpfte Personen mit relativ wenig Aufwand echte Covid-Impfzertifikate im Internet kaufen können.

Wir haben Kenntnis von Deals, die über eine verschlüsselte Messenger-App in weniger als 30 Minuten zustande kamen.

Das grosse Problem aus Schweizer Sicht: In Deutschland und anderen EU-Staaten generierte Zertifikate sind auch hierzulande gültig und nicht als Fake erkennbar – auch nicht von der Polizei oder von Gesundheitsfachleuten.

Und es gibt ein weiteres Problem, wie das Bundesamt für Informatik und Telekommunikation (BIT) bestätigt.

«Wir können keine ausländischen Zertifikate für ungültig erklären. Dies ist in der Verantwortung des ausstellenden Landes.»
BIT-Sprecherin Sonja Uhlmann

Wir geben im Folgenden keine Detailinformationen preis, die Rückschlüsse auf das kriminelle Angebot ermöglichen.

Es ist zu befürchten, dass Ungeimpfte, die das Virus in sich tragen, dank gefälschtem Impfpass auf Reisen oder an Gross-Events sehr viele ahnungslose Dritte infizieren.

Der Zertifikate-Dealer

Die Deals finden über Messenger-Apps mit Ende-zu-Ende-Verschlüsselung statt. In die Direktnachrichten haben Ermittlungsbehörden von aussen keinen Einblick.

Gegen Bezahlung von umgerechnet rund 150 Franken (in einer Kryptowährung) übermittelte ein anonym bleibender Verkäufer jeweils ein gültiges «EU digitales COVID-Impfzertifikat». Als PDF-Datei. Solche Zertifikate mit QR-Code können in der Schweiz und in EU-Staaten fürs Reisen und zu anderen Zwecken verwendet werden.

Staatliche Impfzertifikate gibts nicht nur auf Papier, sie können als PDF-Dokument versendet werden.
Staatliche Impfzertifikate gibts nicht nur auf Papier, sie können als PDF-Dokument versendet werden.
Bild: watson

Die digitalen Zertifikate wurden mutmasslich durch missbräuchlichen Zugriff auf ein entsprechendes IT-System des deutschen Apothekenverbandes generiert.

Der deutsche Apothekerverband schreibt watson:

«Wir haben bislang keinerlei Hinweise, dass in deutschen Apotheken Impfzertifikate ohne das Vorliegen der entsprechenden Rechtsgrundlage erstellt worden sein könnten.»
Reiner Kern, Leiter Kommunikation, Bundesvereinigung Deutscher Apothekerverbände (ABDA)

Grundsätzlich darf nur ein autorisierter Personenkreis auf die Zertifikate-Generierungs-Funktion im entsprechenden Portal des Deutschen Apothekerverbandes zugreifen. Dieses verbindet sich mit dem Server des Robert Koch-Instituts (RKI), das auch als Ausstellerin auf dem Zertifikat fungiert.

Laut Auskunft des ABDA-Sprechers haben nur der Inhaber oder die Inhaberin der Apotheke und die durch sie angelegten Mitarbeitenden Zugriff aufs System. «Alle Prozesse werden geloggt und sind nachvollziehbar. In jedem Zertifikat ist der Ersteller des Zertifikates auslesbar.»

Der Bund reagiert

Das grosse Problem aus Schweizer Sicht: Die in Deutschland generierten Zertifikate sind auch hierzulande gültig und nicht als Fälschung erkennbar. Weder von blossem Auge, noch bei einer Überprüfung mit der offiziellen Prüf-App.

Die BIT-Sprecherin Sonja Uhlmann betont:

«Wir können keine Verantwortung für ausländische Covid-Zertifikate übernehmen. Und auch nicht für Fälschungen, die im Ausland passieren.»

Kommt hinzu: Aus einem missbräuchlich erstellten EU-Zertifikat lässt sich ein einwandfreies Schweizer Light-Zertifikat generieren, wie die BIT-Fachleute bestätigen.

{
"1": "CH",
"4": 162641••••,
"6": 162624••••,
"-250": {
"1": {
"dob": "19••-••-••",
"nam": {
"fn": "••••••",
"gn": "••••",
"fnt": "••••••",
"gnt": "••••"
},
"ver": "1.0.0"
}
}
}
Aus dem deutschen Fake kann ein authentisches Schweizer Light-Zertifikat generiert werden.

Zur Erinnerung: Das datensparsame Light-Zertifikat ist auf Wunsch des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) entwickelt worden.

Das Light-Zertifikat ist zwar nur zwei Tage gültig. Es kann jedoch in dieser Zeit unter keinen Umständen widerrufen werden, wie auf Nachfrage von watson erklärt wird.

Bei der Risikoabschätzung kamen die Verantwortlichen zum Schluss, dass eine unwiderrufliche Gültigkeit von 48 Stunden vertretbar sei, heisst es beim Bund. Aufgrund der Recherchen zu den falschen deutschen Covid-Zertifikaten wollen die zuständigen Bundesämter nun aber über die Bücher.

«Das BIT ist dem Thema nachgegangen. Es klärt mit dem BAG, ob die Möglichkeit, ein Light-Zertifikat zu erstellen, auf in der Schweiz ausgestellte Zertifikate eingeschränkt wird.»
BIT-Sprecherin Sonja Uhlmann

Das Widerrufs-Dilemma

Bekanntlich haben sich die Europäische Union (EU) und die Schweiz auf höchster politischer Ebene geeinigt, ihre nationalen Zertifikate gegenseitig zu anerkennen.

Wer doppelt gegen Covid-19 geimpft ist, soll dies durch einfaches Vorweisen des QR-Codes (auf Papier oder auf dem Smartphone) belegen können. Erklärtes Ziel ist es, das Reisen innerhalb Europas zu erleichtern.

Damit ein in Deutschland ausgestelltes Covid-Zertifikat bei einer Überprüfung in der Schweiz als gültig erkannt wird, braucht es einen grenzüberschreitenden Datenverkehr. Die Staaten tauschen die auf ihren Servern gespeicherten (öffentlichen) Signaturschlüssel aus. Mit diesen kryptografischen Schlüsseln kann dann die Echtheit der Zertifikate bestätigt werden.

Hier kommt das Problem: Während die Schweiz beim Widerruf von falschen Zertifikaten auf chirurgische Präzisionsarbeit setzt und einen einzelnen Impfnachweis anhand seiner eindeutigen Kennung (sogenannte UVCI) sperren kann, setzt die EU und damit auch Deutschland auf Grobarbeit: Wenn ein Covid-Zertifikat gesperrt werden muss, kann das nur über die Revokation sämtlicher Impfnachweise erfolgen, die eine einzelne Apotheke oder ein Impfzentrum ausgestellt hat.

Der deutsche IT-Sicherheitsexperte Thomas Siebert von der Firma G DATA hat sich intensiv mit den digitalen Impfausweisen auseinandergesetzt. In einem Ende Juni veröffentlichten Beitrag im Firmenblog schrieb er von massiven Schwächen – und meinte damit vor allem auch das Problem, das in Deutschland und anderen EU-Staaten einzelne Covid-Zertifikate nicht für ungültig erklärt werden können.

Bekannt sei ihm etwa, dass alle Apotheken in Deutschland denselben Signierungsschlüssel verwenden, um für die Kundschaft Zertifikate zu generieren. «Man müsste also – wenn eine einzige Apotheke flächig falsche Impfnachweise erstellt hat – sämtliche in Apotheken ausgestellten Impfnachweise zurückrufen. Und in Apotheken dürften bisher ein grosser Teil der in Deutschland ausgestellten Impfnachweise erstellt worden sein.»

Jede darüber hinausgehende Sperrmöglichkeit – wie sie etwa die Schweiz basierend auf der eindeutigen Kennung praktiziere – sei momentan nicht spezifiziert und damit auch nicht «interoperabel». Wenn die Schweiz ein Zertifikat auf diese Weise sperre, würde das Zertifikat also z.B. in den deutschen Apps nach wie vor als gültig erkannt.

Wie schlimm ist es wirklich?

Das Ausmass der gefälschten digitalen Covid-Zertifikate, die als echt durchgehen, lässt sich nicht einschätzen.

Handelt es sich bei dem Zertifikate-Dealer, auf den wir bei unseren Recherchen gestossen sind, um einen Einzelfall?

Es gibt zwei Möglichkeiten: Entweder ist watson zufällig auf den ersten und einzigen Zertifikate-Dealer Deutschlands gestossen, oder es gibt mehrere Kriminelle, die über unbekannte Kanäle echte Zertifikate generieren können.

Zu missbräuchlichen Zugriffen auf IT-Systeme, mit denen Covid-Zertifikate in Deutschland generiert werden, liegen watson keine zahlenmässigen Angaben oder Statistiken vor.

Das Bundesgesundheitsministerium in Bonn konnte auf Anfrage keine Details preisgeben und verwies auf die Strafen, die Zertifikats-Dealern und Käufern drohen.

«Die Polizeiliche Kriminalitätsstatistik (PKS) Deutschlands weist Impfausweise als Gegenstände einer Fälschung von Gesundheitszeugnissen nicht gesondert aus. Die Fälschung von Impfpässen ist strafbewehrt. Das gilt für analoge wie für digitale Impfdokumente. So kann die Nutzung unrichtiger Dokumente dieser Art mit Freiheitsstrafe von bis zu einem Jahr oder mit Geldstrafe geahndet werden. Das Ausstellen unrichtiger Dokumente wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe geahndet.»
Sebastian Gülde, Mediensprecher

Weiter verweist das Bundesgesundheitsministerium in seiner Stellungnahme auf «Sicherheitsinstrumente», die mögliche Insider-Täter abschrecken sollen. Apotheker müssten «für den Fall missbräuchlicher Abrechnungen nicht nur mit strafrechtlichen Konsequenzen, sondern auch dem Entzug der Approbation rechnen».

Die Apotheker seien «zur monatlichen mengenmässigen Abrechnung der erbrachten Leistungen» verpflichtet. Eine konkrete Datenerfassung über einzelne geimpfte Personen erfolge «aus Gründen der Datensparsamkeit» nicht.

Schweizer System gilt weiterhin als sicher

Ist damit aufgedeckt, dass das auf Papier und digital ausgelieferte Covid-Zertifikat alles andere als «fälschungssicher» ist? Mitnichten! Das System nach Schweizer Umsetzung erlaubt nach wie vor nur gültige und kryptografisch überprüfbare Zertifikate.

Schliesst das BIT die missbräuchliche Verwendung des Systems zur Generierung von Covid-Zertifikaten – zum Beispiel in einer Apotheke – aus?

Missbräuche liessen sich nie 100-prozentig ausschliessen, sind sich die Verantwortlichen beim Bund einig. Jedoch verfüge die Schweiz über ein sehr sicheres System und ein Missbrauch sei unwahrscheinlich.

Auch könnte man anhand von Server-Protokolldaten jederzeit nachvollziehen, falls eine fehlbare Fachperson missbräuchlich falsche Impfnachweise ausgestellt hätte.

Die BIT-Sprecherin verweist auf die Aufsichtspflicht der Kantone. Diese stünden in der Verantwortung und bestimmten auch die Personen, die die Covid-Zertifikate ausstellen dürfen. Die Kantone seien auch gesetzlich verpflichtet, die Aussteller zu beaufsichtigen. Das heisst, die Verantwortlichen müssen dafür besorgt sein, dass nur vertrauenswürdige Personen Zugriff auf das System erhalten.

Juristisch betrachtet ist das Ausstellen falscher Covid-Zertifikate eine Urkundenfälschung. Das Schweizer Strafgesetzbuch sieht für Urkundenfälschungs-Delikte bis zu fünf Jahre Gefängnis vor. Das gilt nicht nur für die Zertifikate-Ersteller, sondern auch für Leute, die solche Fakes verwenden.

Allerdings sei in der Rechtslehre noch unklar, ob Art. 252 des Strafgesetzbuches bei der Verwendung falscher Covid-Zertifikate zur Anwendung komme, erklärt ein Jurist des Bundesamtes für Gesundheit. Letztlich sei es an den Gerichten, dies zu beurteilen und darüber zu entscheiden.

Art. 252 StGB
Gemäss Art. 252 des Schweizer Strafgesetzbuches (StGB) «wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft, wer in der Absicht, sich oder einem anderen das Fortkommen zu erleichtern, Ausweisschriften, Zeugnisse, Bescheinigungen fälscht oder verfälscht, eine Schrift dieser Art zur Täuschung gebraucht oder echte, nicht für ihn bestimmte Schriften dieser Art zur Täuschung missbraucht.»

Wie viele Widerrufe gab es schon?

Das Schweizer Covid-Zertifikate-System ist so konzipiert, dass neben den Ausstellerinnen und Ausstellern auch das BIT und die Kantone Covid-Zertifikate widerrufen können.

Rund 1 Prozent der ausgestellten Zertifikate wurden bisher widerrufen, «typischerweise wegen unvollständigem oder falschem Namen oder aufgrund von Verschreibern».

Was das missbräuchliche Generieren von Zertifikaten in der Schweiz betrifft, sind den Verantwortlichen beim Bund bislang keine Vorkommnisse bekannt, wie es heisst.

Machtlos bleiben die Behörden vorerst wie im vorliegenden Fall bei ausländischen Fake-Zertifikaten.

Fazit: Der Staat bezeichnet die Covid-Zertifikate als fälschungssicher. Die Bürgerinnen und Bürger müssen wissen, was das konkret bedeutet. Und niemand sollte sich wegen eines solchen Dokuments in falscher Sicherheit wiegen und auf bewährte Corona-Vorsichtsmassnahmen verzichten.

Quellen

Das Wichtigste in Kürze
watson-Recherchen zeigen, dass auch Ungeimpfte mit relativ wenig Aufwand ein falsches Covid-Impfzertifikat im Internet kaufen können. Gegen Bezahlung von rund 150 Franken (in einer Kryptowährung) übermittelte der anonyme Verkäufer ein gültiges «digitales COVID-Zertifikat». Dieses kann in der Schweiz und in EU-Staaten fürs Reisen und zu anderen Zwecken verwendet werden. Die Herkunft der missbräuchlich erstellten Zertifikate ist nicht klar. Der deutsche Apothekerverband sagt, es würden ihm keine Kenntnisse zu Missbräuchen vorliegen.
DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das Schweizer Covid-Zertifikat auf dem Smartphone

1 / 23
Das Schweizer Covid-Zertifikat auf dem Smartphone
quelle: keystone / anthony anex
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Die fiesesten Fragen an unseren watson-Walliser Sergio

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Ehe für alle: Der Schweiz blüht im Herbst ein Regenbogen-Meer 🏳️‍🌈

Im Herbst dürfte es zur Abstimmung über die «Ehe für alle» kommen. Das Ja-Lager plant bereits eine bunte Kampagne.

Es ist nicht lange her, dass man an Balkonen, Fassaden und Zäunen landauf, landab die Flaggen für die Konzern-Initiative sehen konnte. Sie prägten das Schweizer Strassenbild während des Abstimmungskampfs im vergangenen November. Und werden zum Inbegriff einer Basiskampagne.

Seit watson am Mittwochabend berichtet hatte, dass das «Ehe für alle»-Referendum kurz vor der Unterschriften-Einreihung steht, drehen die Kampagnenräder in links-liberalen, queeren Milieus. Es wird gedacht, geplant und …

Artikel lesen
Link zum Artikel