DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bundesrat Alain Berset scannt sein Covid-Zertifikat vor einer Medienkonferenz. Mit der landesweiten «2G»-Verfügung werden die fälschungssicheren QR-Codes noch wichtiger.
Bundesrat Alain Berset scannt sein Covid-Zertifikat vor einer Medienkonferenz. Mit der landesweiten «2G»-Verfügung werden die fälschungssicheren QR-Codes noch wichtiger.Bild: keystone
Analyse

Viele falsche Impfzertifikate in der Schweiz im Umlauf – das sind die harten Fakten

Angesichts der jüngsten Enthüllungen fragt sich, wie gross die Dunkelziffer ist. Das Bundesamt für Gesundheit (BAG) verrät, was gegen Impf-Fälschungen und missbräuchlich erstellte Covid-Zertifikate unternommen wird.
20.12.2021, 10:5122.12.2021, 05:37

Der am Freitag von CH-Media-Journalisten publik gemachte Fall von Zertifikate-Betrügereien im Kanton St.Gallen ist der bislang grösste solche Fall. Mit Abstand. In der Schweiz. Und vielleicht auch im übrigen Europa, wo die QR-Codes ebenfalls verwendet werden könnten von Kriminellen.

Wie war es möglich, dass mutmasslich 6000 echte Zertifikate missbräuchlich erstellt wurden, bevor die Verantwortlichen einschritten und die Verdächtigen verhaften liessen? Ist das vom Bundesamt für Informatik und Telekommunikation (BIT) entwickelte IT-System, mit dem Zertifikate erstellt werden, ausreichend vor kriminellem Zugriff geschützt?

Details zum aktuellen Fall wird die Öffentlichkeit erst erfahren, wenn die St.Galler Gesundheitsbehörde oder die Justiz informiert. Zurzeit werde noch ermittelt, heisst es.

watson hat beim Bundesamt für Gesundheit (BAG), das als Herausgeberin der Zertifikate-Apps amtet und für die Kommunikation zum IT-System zuständig ist, nachgefragt. Und wir legen erstmals offen, wie viele Personen in Deutschschweizer Kantonen und im Tessin Zertifikate ausstellen dürfen.

Was passiert mit den falschen Zertifikaten?

Zunächst ist festzuhalten, dass das BAG den St.Galler Fall am vergangenen Freitag auf Anfrage von watson bestätigt hat. Der Bund werde alle missbräuchlichen Zertifikate widerrufen, also für ungültig erklären, sofern sie von den Verantwortlichen gemeldet werden. Mediensprecherin Nani Moras:

«Der Bund wurde vom Kanton St.Gallen über den Fall informiert und hat für den Staatsanwalt St.Gallen verschiedene Auswertungen gemacht. Wir werden im Auftrag des Kantons und nach Bestätigung, dass die Haftung beim Kanton bleibt, alle uns gemeldeten Zertifikate revozieren.»

Die Zahl der gesamthaft widerrufenen Zertifikate (in den Kantonen) wollte das BAG auf Anfrage nicht mitteilen.

«Zu Unrecht ausgestellte Zertifikate werden widerrufen, wenn sich der Verdacht auf Missbrauch erhärtet. Da aber auch viele andere Zertifikate widerrufen werden müssen (z.B. falscher Name), gibt die Zahl der Revokationen keinen Hinweis auf zu Unrecht ausgestellte Zertifikate.»

Was wird gegen missbräuchlich erstellte (echte) Zertifikate getan?

CH Media berichtete, der Bund sei derzeit daran, «eine Methode zu entwickeln, um Verdachtsfälle schneller und effektiver zu identifizieren». Dazu die BAG-Sprecherin:

«Bei der Erkennung möglicher Verhaltensmuster handelt es sich um organisatorische und technische Massnahmen: Wir tauschen uns wöchentlich mit den Kantonen aus und bieten eine Austauschplattform an, auf der Kantone Informationen rund um missbräuchlich ausgestellte Zertifikate teilen können.

Beispielsweise hat gerade ein Kanton eine Liste von Impfzentren geteilt, in deren Namen Impfungen zu Unrecht bestätigt worden sind (Impf-Fälschungen). Andere Kantone können nun bei einem Impfnachweis eines solchen Impfzentrums spezifisch nachfragen, ob die Impfung tatsächlich verabreicht worden ist.

Zudem gibt es automatisierte Prüfregeln, die im System hinterlegt sind. Wenn etwa ein Impfzentrum plötzlich Testzertifikate ausstellt oder umgekehrt, dann gibt es eine Alarmmeldung beim BIT.»

In den bisher bekannten Missbrauchsfällen hat das BAG festgestellt, dass die Zertifikate von autorisierten Ausstellerinnen und Ausstellern erstellt wurden, heisst es. Das Zertifikatssystem wird darum weiterhin als fälschungssicher bezeichnet. Das BAG redet nicht von gefälschten Zertifikaten, sondern von zu Unrecht ausgestellten Zertifikaten. Werde in einem Impfzentrum ein Testzertifikat ausgestellt, erkenne das IT-System eine solche Abweichung und löse einen Alarm aus.

Hat der Bund die Problematik unterschätzt?

Nachdem es bereits Anfang Oktober Medienberichte gab zu mutmasslich grösseren Fällen missbräuchlich erstellter Impfzertifikate in Westschweizer Kantonen (siehe Übersicht unten), fragte watson schon damals beim Bund nach.

Allerdings wollten die Verantwortlichen nicht verraten, welche Kontrollmechanismen implementiert wurden, um das Generieren echter Fake-Zertifikate zu bekämpfen.

«Über Massnahmen und Kontrollmechanismen erteilen wir aus Gründen der Sicherheit keine Informationen», sagte BAG-Sprecher Grégoire Gogniat. «Allfällige Auffälligkeiten» würden den Kantonen gemeldet, damit sie diese prüfen und «mit dem betroffenen Aussteller in Kontakt treten» könnten.

Ferner bearbeite das BIT Anfragen von Kantonen bei möglichem Missbrauchsverdacht. Vor einer Prüfung und der Weitergabe der Daten werde von der Rechtsabteilung geprüft, ob Anfrage, Bearbeitung und Weitergabe rechtens seien.

Aufgrund der neuen Antworten hat watson nachgefragt, ob man daraus schliessen müsse, dass der Bund die bisherigen Kontrollmechanismen als ungenügend erachte? Darauf antwortet nun die BAG-Sprecherin:

«Die Anforderungen an das Zertifikatssystem haben sich laufend weiterentwickelt. Beim Start stand im Vordergrund, das System rasch zur Verfügung zu stellen und Auslandsreisen zu erleichtern. Eine zentrale Anforderung war auch der Datenschutz. Entsprechend wurde ein System gewählt, das keine persönlichen und medizinischen Daten zentral speichert. Dadurch ist es dem Bund nicht möglich, direkter bei zu Unrecht ausgestellten Zertifikaten zu intervenieren oder zu kontrollieren. Für die Kontrolle sind die Kantone zuständig.»
Nani Moras, Mediensprecherin BAG

Die Kontrollen würden seit September stetig ausgebaut, teilte das BAG der Nachrichtenagentur Keystone-SDA mit.

Wie viele Personen können in der Schweiz Covid-Zertifikate ausstellen?

Hierzu muss man wissen, dass es sogenannte Superuser gibt: Das sind verantwortliche Fachpersonen, die von den Kantonen dem Bund (BIT) gemeldet werden und die im IT-System berechtigt sind, ihrerseits weitere Personen namentlich anzumelden, die dann Zertifikate erstellen können. Zum Beispiel kann so ein Apothekenbetreiber (als Superuser) mehreren Angestellten ermöglichen, sich beim IT-System des Bundes zu registrieren (sogenanntes «Onboarding»).

  • Schweizweit sind es rund 3600 Superuser, wie das Bundesamt für Gesundheit (BAG) auf Anfrage mitteilt.
  • Zudem sind «rund 8400 Personen» im IT-System mit dem Status «enrolled» erfasst, das heisst, sie dürfen als sogenannte Ausstellerinnen, bzw. Aussteller, gültige Zertifikate (Geimpfte, Genesene, Getestete) generieren.

Die allermeisten dieser Personen dürften sich streng an die Vorgaben halten und nur Zertifikate an tatsächlich Geimpfte, Genesene oder Getestete ausstellen. Einen Überblick über sämtliche Missbrauchsfälle scheint beim Bund allerdings niemand zu haben.

In einem Mediengespräch, das watson am 25. August 2021 mit Vertretern des BIT führte, wurde die Zahl von 7000 Superusern (für das Zertifikate-System) genannt. Es fand also eine deutliche Bereinigung der Superuser-Zahl statt. Die Aussteller-Zahl blieb hingegen relativ konstant, bzw. wuchs im Vergleich zum August (8000 Personen) leicht an.

Das BAG will nicht öffentlich kommunizieren, wie viele Superuser sowie Ausstellerinnen und Aussteller in einzelnen Kantonen registriert sind. Eine watson-Umfrage in der Deutsch- und Südschweiz zeigt, dass die Zahlen stark variieren. Wobei einzelne Kantone keine vollständigen Angaben machten.

  • In Appenzell Innerrhoden gab es im Oktober 4 Superuser sowie 17 Ausstellerinnen und Aussteller.
  • In Ausserrhoden ist nur die Ausstellerzahl bekannt: 81.
  • Aus Basel-Landschaft liegen watson keine Aussteller-Zahlen vor. «Wir können die Angaben für die Institutionen machen, nicht für Personen», heisst es. Im Oktober waren demnach 25 Apotheken, 100 Arztpraxen, 10 weitere Institutionen (Impfzentren, Labore, Spitäler, mobile Ärzteteams) sowie das Kantonale Covid-Management für die Ausstellung von Covid-Zertifikaten akkreditiert. In gewissen Abständen werde eine Re-Akkreditierung dieser Institutionen durchgeführt.
  • Im Kanton Basel-Stadt gab es rund 140 Superuser sowie 260 Aussteller (Stand: Mitte Oktober 2021).
  • In Glarus meldete die Gesundheitsdirektion auf Anfrage 8 Superuser sowie 45 Aussteller (Stand: Oktober).
  • Im Kanton Graubünden gab es 382 Superuser sowie 555 Aussteller, wobei nicht alle das Onboarding abgeschlossen haben, wie Mitte Oktober mitgeteilt wurde.
  • Im Kanton Luzern gab es Mitte Oktober laut Gesundheits- und Sozialdepartement rund 170 Superuser sowie rund 250 Ausstellerinnen und Aussteller.
  • In Nidwalden gab es im Oktober 82 Ausstellerinnen und Aussteller. Und die Superuser? «Es handelt sich um ganz wenige Personen innerhalb der kantonalen Verwaltung, die sich im laufenden Austausch befinden.»
  • Im Kanton Obwalden waren 4 Superuser sowie 45 Aussteller registriert, als watson letzten Monat anfragte.
  • Im Kanton Schaffhausen können rund 45 Arztpraxen und Apotheken (unterschiedliche Anzahl Mitarbeitende, variierend von 1 bis 4) Covid-Zertifikate ausstellen. Zudem seien die Spitäler Schaffhausen, das Kantonale Abklärungszentrum (13 Mitarbeitende), das Kantonale Impfzentrum (30 Mitarbeitende) und ein Mitarbeiter der kantonalen Informatik dazu autorisiert, hiess es im Oktober.
  • Im Kanton Schwyz gab es diesen Herbst 24 Superuser sowie 214 Aussteller (Stand: 14. September 2021).
  • In Solothurn waren 144 Superuser sowie 232 Aussteller beim Bund registriert (Stand: 12. Oktober 2021).
  • In St.Gallen fehlen die Angaben.
  • Im Tessin ist die Zahl der Superuser unbekannt, im Oktober waren 861 Aussteller registriert.
  • Im Thurgau gab es 3 Superuser sowie 191 Ausstellerinnen und Aussteller (Stand: 11. Oktober 2021).
  • In Uri waren es 3 Superuser und 38 Aussteller.
  • In Zug waren es 13 Superuser sowie 170 Aussteller (Stand: 21. Oktober 2021).
  • In Zürich ist die Zahl der Superuser nicht bekannt. Es gebe rund 2000 Ausstellerinnen und Aussteller von Covid-Zertifikaten: Ärztinnen und Ärzte, Apothekerinnen und Apotheker sowie Laborleiterinnen und Laborleiter», teilte ein Sprecher der Gesundheitsdirektion im Oktober mit.

In der Westschweiz konnten gemäss Medienberichten vom Oktober 2300 Personen auf das IT-System zugreifen und sind damit in der Lage, Impfzertifikate zu erstellen.

  • 169 im Kanton Neuenburg
  • 178 im Kanton Jura
  • 323 im Kanton Freiburg
  • 350 im Kanton Bern
  • 500 im Kanton Genf
  • 858 im Kanton Wallis
  • Kanton Waadt laut RTS nicht bekannt.

Wie gut kommen die Kantone ihrer Aufsichtspflicht nach?

Das wissen wir nicht.

Öffentliche Informationen dazu sind Mangelware.

Tatsache ist, dass die Kontrollmöglichkeiten in den Kantonen begrenzt sind. Eine Person, die in grossen Test- und Impfzentren in der Deutschschweiz arbeitete, bestätigt gegenüber watson, dass es kein Vier-Augen-Prinzip beim Ausstellen gebe. Sie könnte jederzeit echte Zertifikate mit Fantasienamen generieren, dies würde nicht durch Vorgesetzte überprüft.

Die Problematik sogenannter «Gefälligkeitszertifikate» erachtet die Person, die anonym bleiben will, als klein. In Einzelfällen könne dies zwar durchaus vorkommen, aber:

«Wir arbeiten ja, um die Pandemie zu beenden und nicht um sie zu verlängern.»
Zertifikate-Ausstellerin
Insider-Informationen?
watson-Redaktor Daniel Schurter ist weiterhin über die verschlüsselte Messenger-App Threema auch anonym zu erreichen. Seine «Threema ID» lautet: ACYMFHZX. Oder du schreibst an daniel.schurter [at] protonmail.com. Wer sich beim Schweizer Secure-Mail-Anbieter (kostenlos) registriert, kann verschlüsselte E-Mails verschicken.

Wie gross ist das Problem der missbräuchlich erstellten (echten) Zertifikate?

Das weiss die Öffentlichkeit nicht.

Die bis anhin publik gemachten Fälle lassen eine relativ grosse Dunkelziffer befürchten. Gemäss Schätzungen von watson dürften in der Schweiz eine tiefe fünfstellige Zahl von missbräuchlichen Covid-Zertifikaten im Umlauf sein.

Eine grössere Anzahl ungeimpfter Personen könnte sich demnach Zugang zu Veranstaltungen und öffentlichen Orten verschaffen, wo nur Geimpfte/Genesene zugelassen sind. Ungeimpfte können sich dank missbräuchlich erstellter Zertifikate in Restaurants aufhalten und ins Ausland reisen.

Zum Vergleich: In der Schweiz sind bislang schon über 9,3 Millionen Impfzertifikate ausgestellt worden. Hinzu kommen laut BAG-Website knapp 620'000 Zertifikate für Genesene.

Welche Missbrauchsfälle sind bekannt?

In diversen Kantonen laufen Strafuntersuchungen, wie die folgende chronologische Übersicht zeigt. Es sind nur Fälle aufgelistet, die (echte) Impfzertifikate betreffen, die mutmasslich in Test- oder Impfzentren missbräuchlich erstellt wurden.

Kanton St.Gallen

CH-Media-Journalisten machen am 17. Dezember den bis dato grössten Betrugsfall in Zusammenhang mit Schweizer Covid-Zertifikaten publik. «6000 missbräuchliche Zertifikate» seien ausgestellt worden, Verdächtige in U-Haft.

Laut Gesundheitsdepartement des Kantons St.Gallen war davor in zwei Fällen Anzeige wegen Zertifikatsbetrug erstattet worden. Zwei weitere Fälle seien in Abklärung.

Kanton Bern

Die Berner Kantonspolizei nimmt im Dezember zwei Personen fest, die im Spital von Moutier gearbeitet haben. Dies, weil die Verdächtigen mutmasslich Covid-Zertifikate gefälscht haben. Zwei Personen befänden sich in Untersuchungshaft. Erste Ermittlungen ergaben laut Mitteilung der Berner Kantonspolizei vom 17. Dezember, dass mehr als 100 mutmasslich gefälschte Zertifikate ausgestellt worden seien.

Kanton Freiburg

Wie interne Kontrollen ergeben haben, sind im Testzentrum Granges-Paccot, das vom Kantonsspital Freiburg (HFR) betrieben wird, gefälschte Zertifikate ausgestellt worden. Nun laufe eine Untersuchung, um das Ausmass der Fälschungen zu ermitteln und die fehlbaren Personen zu identifizieren, teilt das Freiburger Spital am 13. Dezember mit.

Kanton Schaffhausen

Von Ende September bis Mitte Oktober erhält die Schaffhauser Polizei vom Bundesamt für Polizei (Fedpol) und dem Kantonalen Impfzentrum (KIZ) Hinweise, wonach ein KIZ-Mitarbeiter womöglich mehrere Hundert Impfzertifikate missbräuchlich erstellt und an Personen verkauft habe, die nie die dafür notwendigen Impfungen erhalten hätten.

Die Schaffhauser Kantonspolizei habe in den vergangenen Wochen sechs Personen wegen Handels mit gefälschten Covid-Zertifikaten festgenommen, berichten die «Schaffhauser Nachrichten» am 24. November.

Kanton Waadt

Die Waadtländer Kantonspolizei geht davon aus, dass etwa hundert falsche Zertifikate an Personen ausgestellt wurden, die weder geimpft noch getestet waren, wie sie am 8. Oktober mitteilt. Mitarbeitende von Apotheken werden verdächtigt, falsche Impfzertifikate ausgestellt und teils gegen Geld an Bekannte und Angehörige weitergegeben zu haben.

Kanton Genf

In Genf war eine Bande von Zertifikats-Dealern am Werk, vier Personen wurden festgenommen, darunter Mitarbeiter des Zivilschutzes, die in einem Impfzentrum arbeiteten, wie der Genfer Generalstaatsanwalt Olivier Jornot am 8. Oktober an einer Medienkonferenz informiert. Die Fälle in Genf und Waadt hätten nicht miteinander zu tun, heisst es.

Und Zürich, der grösste Kanton?

Eine aktuelle Antwort der kantonalen Gesundheitsdirektion liegt watson nicht vor. Ende November hiess es:

«Uns sind bislang keine konkreten Vorkommnisse von gefälschten Zertifikaten bekannt.

Der Kanton Zürich würde bei einem Verdacht auf mutmassliche Urkundenfälschung unmittelbar handeln und Anzeige erstatten.

Im Rahmen der stichprobenartigen Kontrollen der Testzentren wird stets auch der Prozess der Zertifikatsausstellung angeschaut.»
Mediensprecher Jérôme M. Weber

Ich dachte, die Zertifikate seien fälschungssicher?

Ja, das sind sie. Bis heute hat es niemand geschafft, das zugrundeliegende Verschlüsselungsverfahren zu knacken. Jemand müsste den streng geschützten geheimen Schlüssel stehlen, mit dem Zertifikate digital signiert werden.

Der im Zertifikat (QR-Code) enthaltene öffentliche Schlüssel besteht aus einer Zahlen- und Buchstabenfolge. Anhand dieses Schlüssels lässt sich (mithilfe der Zertifikate-Prüf-App) prüfen, ob ein Zertifikat auf dem Weg zwischen dem Aussteller und der Kontrolle manipuliert wurde. Denn dann würde der öffentliche Schlüssel nicht zu den Daten (Name und Geburtsdatum) passen, die beim Erstellen erfasst und mit dem geheimen Schlüssel verschlüsselt wurden.

Natürlich gebe es aber Stellen im Ausstellungsprozess, in denen ein solches Zertifikat trotzdem gefälscht werden könne, hält higgs.ch in einem lesenswerten Beitrag fest.

Zum Beispiel könnte ein unseriöser Arzt Impfungen bestätigen, die gar nicht stattgefunden haben oder ein Testzertifikat ausstellen, obwohl kein Test durchgeführt wurde.

Solange ihm das nicht nachgewiesen werde, bleibe seine Signatur gültig. Eine weitere Schwachstelle sei die Übertragung bereits stattgefundener Impfungen aus nicht fälschungssicheren Dokumenten (Impfbüchlein), so higgs.ch.

Und jetzt du!

Welche Erfahrungen hast du gemacht in Zusammenhang mit mutmasslich falschen Covid-Zertifikaten? Sollte man Käufer solcher Fake-Zertifikate den Behörden melden? Schreib uns via Kommentarfunktion, oder auch via E-Mail.

Quellen

Mit Material der Nachrichtenagentur Keystone-SDA

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Das Schweizer Covid-Zertifikat auf dem Smartphone

1 / 23
Das Schweizer Covid-Zertifikat auf dem Smartphone
quelle: keystone / anthony anex
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

So wird dein Weihnachtsessen mit der Firma heuer aussehen

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

267 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
x4253
20.12.2021 10:58registriert Juli 2016
"Sollte man Käufer solcher Fake-Zertifikate den Behörden melden?"
Ja sollte man. Mal abgesehen dass es eine Straftat ist, diese Leute sabotieren aktiv die Bemühungen aus dem Schlamassel in dem wir sitzen rauszukommen.
Ich hoffe jeder einzelne der ein solches Fake Zertifikat gekauft hat, wird vor den Kadi gezogen. Dürften einige auf die Welt kommen wenn sie feststellen, dass Urkundenfälschung nicht einfach ein Witz ist.
57227
Melden
Zum Kommentar
avatar
Forest
20.12.2021 11:16registriert April 2018
Gefälschte Zertifikat zu kaufen ist ziemlich dumm.

1. Man zahlt dafür

2. Früher oder später kommt man sowieso in Kontakt mit dem Virus
32614
Melden
Zum Kommentar
avatar
Frechsteiner
20.12.2021 11:04registriert März 2019
Exfreund von meiner Schwester, sieht aus wie sein positiver Kollege. Positiver Kollege geht mit ID vom Ex-Freund zum Coronatest, natürlich nochmals positiv und jetzt hat der Exfreund auch ein Genesenzertifikat.

So wird es natürlich schwierig

Ist zum Glück der Ex
24710
Melden
Zum Kommentar
267
Replay-TV: Sunrise und Salt verlangen Zusatzgebühr für werbefreies Fernsehen

Wer bei Sunrise auch künftig weiterhin die TV-Werbung überspulen möchte, der wird dafür schon bald eine zusätzliche Gebühr bezahlen müssen. «Es wird voraussichtlich im Spätsommer soweit sein, dass wir diesen Schritt bekannt geben», sagte CEO André Krause am Donnerstag im Rahmen einer Pressekonferenz in Opfikon zur Nachrichtenagentur AWP.

Zur Story