Das Schweizer Covid-Zertifikat sei fälschungssicher, betonen die Verantwortlichen beim Bund und in den Kantonen. Tests durch unabhängige IT-Sicherheitsexperten ergaben keine gravierenden Schwachstellen oder Sicherheitslücken.
Also alles gut?
Nein. Wie watson-Recherchen zeigen, verkaufen Kriminelle im Darknet echte deutsche Impfzertifikate, die in der Schweiz gültig sind. Und niemand kann etwas dagegen tun.
Schlimmer noch: Die Schweiz hat noch technisch die Möglichkeit geschaffen, diese gekauften deutschen Zertifikate in Schweizer Light-Zertifikate zu «waschen».
Nun will der Bund reagieren.
Wie einfach kommt man an ein staatliches Impfzertifikat, wenn man nicht bereit ist, sich gegen Covid-19 impfen zu lassen? Diese Fragestellung stand am Anfang einer Recherche, die watson vor gut zwei Wochen startete.
Ferienzeit, Reisezeit. Nun liegen uns Informationen vor, dass ungeimpfte Personen mit relativ wenig Aufwand echte Covid-Impfzertifikate im Internet kaufen können.
Wir haben Kenntnis von Deals, die über eine verschlüsselte Messenger-App in weniger als 30 Minuten zustande kamen.
Das grosse Problem aus Schweizer Sicht: In Deutschland und anderen EU-Staaten generierte Zertifikate sind auch hierzulande gültig und nicht als Fake erkennbar – auch nicht von der Polizei oder von Gesundheitsfachleuten.
Und es gibt ein weiteres Problem, wie das Bundesamt für Informatik und Telekommunikation (BIT) bestätigt.
Wir geben im Folgenden keine Detailinformationen preis, die Rückschlüsse auf das kriminelle Angebot ermöglichen.
Es ist zu befürchten, dass Ungeimpfte, die das Virus in sich tragen, dank gefälschtem Impfpass auf Reisen oder an Gross-Events sehr viele ahnungslose Dritte infizieren.
Die Deals finden über Messenger-Apps mit Ende-zu-Ende-Verschlüsselung statt. In die Direktnachrichten haben Ermittlungsbehörden von aussen keinen Einblick.
Gegen Bezahlung von umgerechnet rund 150 Franken (in einer Kryptowährung) übermittelte ein anonym bleibender Verkäufer jeweils ein gültiges «EU digitales COVID-Impfzertifikat». Als PDF-Datei. Solche Zertifikate mit QR-Code können in der Schweiz und in EU-Staaten fürs Reisen und zu anderen Zwecken verwendet werden.
Die digitalen Zertifikate wurden mutmasslich durch missbräuchlichen Zugriff auf ein entsprechendes IT-System des deutschen Apothekenverbandes generiert.
Der deutsche Apothekerverband schreibt watson:
Grundsätzlich darf nur ein autorisierter Personenkreis auf die Zertifikate-Generierungs-Funktion im entsprechenden Portal des Deutschen Apothekerverbandes zugreifen. Dieses verbindet sich mit dem Server des Robert Koch-Instituts (RKI), das auch als Ausstellerin auf dem Zertifikat fungiert.
Laut Auskunft des ABDA-Sprechers haben nur der Inhaber oder die Inhaberin der Apotheke und die durch sie angelegten Mitarbeitenden Zugriff aufs System. «Alle Prozesse werden geloggt und sind nachvollziehbar. In jedem Zertifikat ist der Ersteller des Zertifikates auslesbar.»
Das grosse Problem aus Schweizer Sicht: Die in Deutschland generierten Zertifikate sind auch hierzulande gültig und nicht als Fälschung erkennbar. Weder von blossem Auge, noch bei einer Überprüfung mit der offiziellen Prüf-App.
Die BIT-Sprecherin Sonja Uhlmann betont:
Kommt hinzu: Aus einem missbräuchlich erstellten EU-Zertifikat lässt sich ein einwandfreies Schweizer Light-Zertifikat generieren, wie die BIT-Fachleute bestätigen.
Zur Erinnerung: Das datensparsame Light-Zertifikat ist auf Wunsch des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) entwickelt worden.
Das Light-Zertifikat ist zwar nur zwei Tage gültig. Es kann jedoch in dieser Zeit unter keinen Umständen widerrufen werden, wie auf Nachfrage von watson erklärt wird.
Bei der Risikoabschätzung kamen die Verantwortlichen zum Schluss, dass eine unwiderrufliche Gültigkeit von 48 Stunden vertretbar sei, heisst es beim Bund. Aufgrund der Recherchen zu den falschen deutschen Covid-Zertifikaten wollen die zuständigen Bundesämter nun aber über die Bücher.
Bekanntlich haben sich die Europäische Union (EU) und die Schweiz auf höchster politischer Ebene geeinigt, ihre nationalen Zertifikate gegenseitig zu anerkennen.
Wer doppelt gegen Covid-19 geimpft ist, soll dies durch einfaches Vorweisen des QR-Codes (auf Papier oder auf dem Smartphone) belegen können. Erklärtes Ziel ist es, das Reisen innerhalb Europas zu erleichtern.
Damit ein in Deutschland ausgestelltes Covid-Zertifikat bei einer Überprüfung in der Schweiz als gültig erkannt wird, braucht es einen grenzüberschreitenden Datenverkehr. Die Staaten tauschen die auf ihren Servern gespeicherten (öffentlichen) Signaturschlüssel aus. Mit diesen kryptografischen Schlüsseln kann dann die Echtheit der Zertifikate bestätigt werden.
Hier kommt das Problem: Während die Schweiz beim Widerruf von falschen Zertifikaten auf chirurgische Präzisionsarbeit setzt und einen einzelnen Impfnachweis anhand seiner eindeutigen Kennung (sogenannte UVCI) sperren kann, setzt die EU und damit auch Deutschland auf Grobarbeit: Wenn ein Covid-Zertifikat gesperrt werden muss, kann das nur über die Revokation sämtlicher Impfnachweise erfolgen, die eine einzelne Apotheke oder ein Impfzentrum ausgestellt hat.
Der deutsche IT-Sicherheitsexperte Thomas Siebert von der Firma G DATA hat sich intensiv mit den digitalen Impfausweisen auseinandergesetzt. In einem Ende Juni veröffentlichten Beitrag im Firmenblog schrieb er von massiven Schwächen – und meinte damit vor allem auch das Problem, das in Deutschland und anderen EU-Staaten einzelne Covid-Zertifikate nicht für ungültig erklärt werden können.
Bekannt sei ihm etwa, dass alle Apotheken in Deutschland denselben Signierungsschlüssel verwenden, um für die Kundschaft Zertifikate zu generieren. «Man müsste also – wenn eine einzige Apotheke flächig falsche Impfnachweise erstellt hat – sämtliche in Apotheken ausgestellten Impfnachweise zurückrufen. Und in Apotheken dürften bisher ein grosser Teil der in Deutschland ausgestellten Impfnachweise erstellt worden sein.»
Jede darüber hinausgehende Sperrmöglichkeit – wie sie etwa die Schweiz basierend auf der eindeutigen Kennung praktiziere – sei momentan nicht spezifiziert und damit auch nicht «interoperabel». Wenn die Schweiz ein Zertifikat auf diese Weise sperre, würde das Zertifikat also z.B. in den deutschen Apps nach wie vor als gültig erkannt.
Das Ausmass der gefälschten digitalen Covid-Zertifikate, die als echt durchgehen, lässt sich nicht einschätzen.
Handelt es sich bei dem Zertifikate-Dealer, auf den wir bei unseren Recherchen gestossen sind, um einen Einzelfall?
Es gibt zwei Möglichkeiten: Entweder ist watson zufällig auf den ersten und einzigen Zertifikate-Dealer Deutschlands gestossen, oder es gibt mehrere Kriminelle, die über unbekannte Kanäle echte Zertifikate generieren können.
Zu missbräuchlichen Zugriffen auf IT-Systeme, mit denen Covid-Zertifikate in Deutschland generiert werden, liegen watson keine zahlenmässigen Angaben oder Statistiken vor.
Das Bundesgesundheitsministerium in Bonn konnte auf Anfrage keine Details preisgeben und verwies auf die Strafen, die Zertifikats-Dealern und Käufern drohen.
Weiter verweist das Bundesgesundheitsministerium in seiner Stellungnahme auf «Sicherheitsinstrumente», die mögliche Insider-Täter abschrecken sollen. Apotheker müssten «für den Fall missbräuchlicher Abrechnungen nicht nur mit strafrechtlichen Konsequenzen, sondern auch dem Entzug der Approbation rechnen».
Die Apotheker seien «zur monatlichen mengenmässigen Abrechnung der erbrachten Leistungen» verpflichtet. Eine konkrete Datenerfassung über einzelne geimpfte Personen erfolge «aus Gründen der Datensparsamkeit» nicht.
Ist damit aufgedeckt, dass das auf Papier und digital ausgelieferte Covid-Zertifikat alles andere als «fälschungssicher» ist? Mitnichten! Das System nach Schweizer Umsetzung erlaubt nach wie vor nur gültige und kryptografisch überprüfbare Zertifikate.
Schliesst das BIT die missbräuchliche Verwendung des Systems zur Generierung von Covid-Zertifikaten – zum Beispiel in einer Apotheke – aus?
Missbräuche liessen sich nie 100-prozentig ausschliessen, sind sich die Verantwortlichen beim Bund einig. Jedoch verfüge die Schweiz über ein sehr sicheres System und ein Missbrauch sei unwahrscheinlich.
Auch könnte man anhand von Server-Protokolldaten jederzeit nachvollziehen, falls eine fehlbare Fachperson missbräuchlich falsche Impfnachweise ausgestellt hätte.
Die BIT-Sprecherin verweist auf die Aufsichtspflicht der Kantone. Diese stünden in der Verantwortung und bestimmten auch die Personen, die die Covid-Zertifikate ausstellen dürfen. Die Kantone seien auch gesetzlich verpflichtet, die Aussteller zu beaufsichtigen. Das heisst, die Verantwortlichen müssen dafür besorgt sein, dass nur vertrauenswürdige Personen Zugriff auf das System erhalten.
Juristisch betrachtet ist das Ausstellen falscher Covid-Zertifikate eine Urkundenfälschung. Das Schweizer Strafgesetzbuch sieht für Urkundenfälschungs-Delikte bis zu fünf Jahre Gefängnis vor. Das gilt nicht nur für die Zertifikate-Ersteller, sondern auch für Leute, die solche Fakes verwenden.
Allerdings sei in der Rechtslehre noch unklar, ob Art. 252 des Strafgesetzbuches bei der Verwendung falscher Covid-Zertifikate zur Anwendung komme, erklärt ein Jurist des Bundesamtes für Gesundheit. Letztlich sei es an den Gerichten, dies zu beurteilen und darüber zu entscheiden.
Das Schweizer Covid-Zertifikate-System ist so konzipiert, dass neben den Ausstellerinnen und Ausstellern auch das BIT und die Kantone Covid-Zertifikate widerrufen können.
Rund 1 Prozent der ausgestellten Zertifikate wurden bisher widerrufen, «typischerweise wegen unvollständigem oder falschem Namen oder aufgrund von Verschreibern».
Was das missbräuchliche Generieren von Zertifikaten in der Schweiz betrifft, sind den Verantwortlichen beim Bund bislang keine Vorkommnisse bekannt, wie es heisst.
Machtlos bleiben die Behörden vorerst wie im vorliegenden Fall bei ausländischen Fake-Zertifikaten.
Fazit: Der Staat bezeichnet die Covid-Zertifikate als fälschungssicher. Die Bürgerinnen und Bürger müssen wissen, was das konkret bedeutet. Und niemand sollte sich wegen eines solchen Dokuments in falscher Sicherheit wiegen und auf bewährte Corona-Vorsichtsmassnahmen verzichten.