Der am Freitag von CH-Media-Journalisten publik gemachte Fall von Zertifikate-Betrügereien im Kanton St.Gallen ist der bislang grösste solche Fall. Mit Abstand. In der Schweiz. Und vielleicht auch im übrigen Europa, wo die QR-Codes ebenfalls verwendet werden könnten von Kriminellen.
Wie war es möglich, dass mutmasslich 6000 echte Zertifikate missbräuchlich erstellt wurden, bevor die Verantwortlichen einschritten und die Verdächtigen verhaften liessen? Ist das vom Bundesamt für Informatik und Telekommunikation (BIT) entwickelte IT-System, mit dem Zertifikate erstellt werden, ausreichend vor kriminellem Zugriff geschützt?
Details zum aktuellen Fall wird die Öffentlichkeit erst erfahren, wenn die St.Galler Gesundheitsbehörde oder die Justiz informiert. Zurzeit werde noch ermittelt, heisst es.
watson hat beim Bundesamt für Gesundheit (BAG), das als Herausgeberin der Zertifikate-Apps amtet und für die Kommunikation zum IT-System zuständig ist, nachgefragt. Und wir legen erstmals offen, wie viele Personen in Deutschschweizer Kantonen und im Tessin Zertifikate ausstellen dürfen.
Zunächst ist festzuhalten, dass das BAG den St.Galler Fall am vergangenen Freitag auf Anfrage von watson bestätigt hat. Der Bund werde alle missbräuchlichen Zertifikate widerrufen, also für ungültig erklären, sofern sie von den Verantwortlichen gemeldet werden. Mediensprecherin Nani Moras:
Die Zahl der gesamthaft widerrufenen Zertifikate (in den Kantonen) wollte das BAG auf Anfrage nicht mitteilen.
CH Media berichtete, der Bund sei derzeit daran, «eine Methode zu entwickeln, um Verdachtsfälle schneller und effektiver zu identifizieren». Dazu die BAG-Sprecherin:
In den bisher bekannten Missbrauchsfällen hat das BAG festgestellt, dass die Zertifikate von autorisierten Ausstellerinnen und Ausstellern erstellt wurden, heisst es. Das Zertifikatssystem wird darum weiterhin als fälschungssicher bezeichnet. Das BAG redet nicht von gefälschten Zertifikaten, sondern von zu Unrecht ausgestellten Zertifikaten. Werde in einem Impfzentrum ein Testzertifikat ausgestellt, erkenne das IT-System eine solche Abweichung und löse einen Alarm aus.
Nachdem es bereits Anfang Oktober Medienberichte gab zu mutmasslich grösseren Fällen missbräuchlich erstellter Impfzertifikate in Westschweizer Kantonen (siehe Übersicht unten), fragte watson schon damals beim Bund nach.
Allerdings wollten die Verantwortlichen nicht verraten, welche Kontrollmechanismen implementiert wurden, um das Generieren echter Fake-Zertifikate zu bekämpfen.
«Über Massnahmen und Kontrollmechanismen erteilen wir aus Gründen der Sicherheit keine Informationen», sagte BAG-Sprecher Grégoire Gogniat. «Allfällige Auffälligkeiten» würden den Kantonen gemeldet, damit sie diese prüfen und «mit dem betroffenen Aussteller in Kontakt treten» könnten.
Ferner bearbeite das BIT Anfragen von Kantonen bei möglichem Missbrauchsverdacht. Vor einer Prüfung und der Weitergabe der Daten werde von der Rechtsabteilung geprüft, ob Anfrage, Bearbeitung und Weitergabe rechtens seien.
Aufgrund der neuen Antworten hat watson nachgefragt, ob man daraus schliessen müsse, dass der Bund die bisherigen Kontrollmechanismen als ungenügend erachte? Darauf antwortet nun die BAG-Sprecherin:
Die Kontrollen würden seit September stetig ausgebaut, teilte das BAG der Nachrichtenagentur Keystone-SDA mit.
Hierzu muss man wissen, dass es sogenannte Superuser gibt: Das sind verantwortliche Fachpersonen, die von den Kantonen dem Bund (BIT) gemeldet werden und die im IT-System berechtigt sind, ihrerseits weitere Personen namentlich anzumelden, die dann Zertifikate erstellen können. Zum Beispiel kann so ein Apothekenbetreiber (als Superuser) mehreren Angestellten ermöglichen, sich beim IT-System des Bundes zu registrieren (sogenanntes «Onboarding»).
Die allermeisten dieser Personen dürften sich streng an die Vorgaben halten und nur Zertifikate an tatsächlich Geimpfte, Genesene oder Getestete ausstellen. Einen Überblick über sämtliche Missbrauchsfälle scheint beim Bund allerdings niemand zu haben.
In einem Mediengespräch, das watson am 25. August 2021 mit Vertretern des BIT führte, wurde die Zahl von 7000 Superusern (für das Zertifikate-System) genannt. Es fand also eine deutliche Bereinigung der Superuser-Zahl statt. Die Aussteller-Zahl blieb hingegen relativ konstant, bzw. wuchs im Vergleich zum August (8000 Personen) leicht an.
Das BAG will nicht öffentlich kommunizieren, wie viele Superuser sowie Ausstellerinnen und Aussteller in einzelnen Kantonen registriert sind. Eine watson-Umfrage in der Deutsch- und Südschweiz zeigt, dass die Zahlen stark variieren. Wobei einzelne Kantone keine vollständigen Angaben machten.
In der Westschweiz konnten gemäss Medienberichten vom Oktober 2300 Personen auf das IT-System zugreifen und sind damit in der Lage, Impfzertifikate zu erstellen.
Das wissen wir nicht.
Öffentliche Informationen dazu sind Mangelware.
Tatsache ist, dass die Kontrollmöglichkeiten in den Kantonen begrenzt sind. Eine Person, die in grossen Test- und Impfzentren in der Deutschschweiz arbeitete, bestätigt gegenüber watson, dass es kein Vier-Augen-Prinzip beim Ausstellen gebe. Sie könnte jederzeit echte Zertifikate mit Fantasienamen generieren, dies würde nicht durch Vorgesetzte überprüft.
Die Problematik sogenannter «Gefälligkeitszertifikate» erachtet die Person, die anonym bleiben will, als klein. In Einzelfällen könne dies zwar durchaus vorkommen, aber:
Das weiss die Öffentlichkeit nicht.
Die bis anhin publik gemachten Fälle lassen eine relativ grosse Dunkelziffer befürchten. Gemäss Schätzungen von watson dürften in der Schweiz eine tiefe fünfstellige Zahl von missbräuchlichen Covid-Zertifikaten im Umlauf sein.
Eine grössere Anzahl ungeimpfter Personen könnte sich demnach Zugang zu Veranstaltungen und öffentlichen Orten verschaffen, wo nur Geimpfte/Genesene zugelassen sind. Ungeimpfte können sich dank missbräuchlich erstellter Zertifikate in Restaurants aufhalten und ins Ausland reisen.
Zum Vergleich: In der Schweiz sind bislang schon über 9,3 Millionen Impfzertifikate ausgestellt worden. Hinzu kommen laut BAG-Website knapp 620'000 Zertifikate für Genesene.
In diversen Kantonen laufen Strafuntersuchungen, wie die folgende chronologische Übersicht zeigt. Es sind nur Fälle aufgelistet, die (echte) Impfzertifikate betreffen, die mutmasslich in Test- oder Impfzentren missbräuchlich erstellt wurden.
CH-Media-Journalisten machen am 17. Dezember den bis dato grössten Betrugsfall in Zusammenhang mit Schweizer Covid-Zertifikaten publik. «6000 missbräuchliche Zertifikate» seien ausgestellt worden, Verdächtige in U-Haft.
Laut Gesundheitsdepartement des Kantons St.Gallen war davor in zwei Fällen Anzeige wegen Zertifikatsbetrug erstattet worden. Zwei weitere Fälle seien in Abklärung.
Die Berner Kantonspolizei nimmt im Dezember zwei Personen fest, die im Spital von Moutier gearbeitet haben. Dies, weil die Verdächtigen mutmasslich Covid-Zertifikate gefälscht haben. Zwei Personen befänden sich in Untersuchungshaft. Erste Ermittlungen ergaben laut Mitteilung der Berner Kantonspolizei vom 17. Dezember, dass mehr als 100 mutmasslich gefälschte Zertifikate ausgestellt worden seien.
Wie interne Kontrollen ergeben haben, sind im Testzentrum Granges-Paccot, das vom Kantonsspital Freiburg (HFR) betrieben wird, gefälschte Zertifikate ausgestellt worden. Nun laufe eine Untersuchung, um das Ausmass der Fälschungen zu ermitteln und die fehlbaren Personen zu identifizieren, teilt das Freiburger Spital am 13. Dezember mit.
Von Ende September bis Mitte Oktober erhält die Schaffhauser Polizei vom Bundesamt für Polizei (Fedpol) und dem Kantonalen Impfzentrum (KIZ) Hinweise, wonach ein KIZ-Mitarbeiter womöglich mehrere Hundert Impfzertifikate missbräuchlich erstellt und an Personen verkauft habe, die nie die dafür notwendigen Impfungen erhalten hätten.
Die Schaffhauser Kantonspolizei habe in den vergangenen Wochen sechs Personen wegen Handels mit gefälschten Covid-Zertifikaten festgenommen, berichten die «Schaffhauser Nachrichten» am 24. November.
Die Waadtländer Kantonspolizei geht davon aus, dass etwa hundert falsche Zertifikate an Personen ausgestellt wurden, die weder geimpft noch getestet waren, wie sie am 8. Oktober mitteilt. Mitarbeitende von Apotheken werden verdächtigt, falsche Impfzertifikate ausgestellt und teils gegen Geld an Bekannte und Angehörige weitergegeben zu haben.
In Genf war eine Bande von Zertifikats-Dealern am Werk, vier Personen wurden festgenommen, darunter Mitarbeiter des Zivilschutzes, die in einem Impfzentrum arbeiteten, wie der Genfer Generalstaatsanwalt Olivier Jornot am 8. Oktober an einer Medienkonferenz informiert. Die Fälle in Genf und Waadt hätten nicht miteinander zu tun, heisst es.
Eine aktuelle Antwort der kantonalen Gesundheitsdirektion liegt watson nicht vor. Ende November hiess es:
Ja, das sind sie. Bis heute hat es niemand geschafft, das zugrundeliegende Verschlüsselungsverfahren zu knacken. Jemand müsste den streng geschützten geheimen Schlüssel stehlen, mit dem Zertifikate digital signiert werden.
Der im Zertifikat (QR-Code) enthaltene öffentliche Schlüssel besteht aus einer Zahlen- und Buchstabenfolge. Anhand dieses Schlüssels lässt sich (mithilfe der Zertifikate-Prüf-App) prüfen, ob ein Zertifikat auf dem Weg zwischen dem Aussteller und der Kontrolle manipuliert wurde. Denn dann würde der öffentliche Schlüssel nicht zu den Daten (Name und Geburtsdatum) passen, die beim Erstellen erfasst und mit dem geheimen Schlüssel verschlüsselt wurden.
Natürlich gebe es aber Stellen im Ausstellungsprozess, in denen ein solches Zertifikat trotzdem gefälscht werden könne, hält higgs.ch in einem lesenswerten Beitrag fest.
Zum Beispiel könnte ein unseriöser Arzt Impfungen bestätigen, die gar nicht stattgefunden haben oder ein Testzertifikat ausstellen, obwohl kein Test durchgeführt wurde.
Solange ihm das nicht nachgewiesen werde, bleibe seine Signatur gültig. Eine weitere Schwachstelle sei die Übertragung bereits stattgefundener Impfungen aus nicht fälschungssicheren Dokumenten (Impfbüchlein), so higgs.ch.
Welche Erfahrungen hast du gemacht in Zusammenhang mit mutmasslich falschen Covid-Zertifikaten? Sollte man Käufer solcher Fake-Zertifikate den Behörden melden? Schreib uns via Kommentarfunktion, oder auch via E-Mail.
Mit Material der Nachrichtenagentur Keystone-SDA