watson deckte vor einer Woche nach einer längeren Recherche auf, dass von Deutschland aus falsche Covid-Zertifikate über dubiose Internet-Kanäle verkauft werden. Diese Impfnachweise, wie sie im Nachbarland offiziell genannt werden, waren aus technischer Sicht «echt»: Kryptografische Überprüfungen konnten nicht aufzeigen, dass sie in betrügerischer Art und Weise generiert wurden und die Impfung einer Person vorgaukelten, die eigentlich ungeimpft war.
Das Bundesamt für Informatik und Telekommunikation (BIT) stellte sich während der Recherche stets auf den Standpunkt, dass es ausländische Covid-Zertifikate seien, für die man als Schweizer Behörde keine Verantwortung übernehmen könne.
In einem Punkt kündigte das BIT jedoch Besserung an – und die kam nun auch: Kurz nach dem Bericht wurde die Schweizer «Covid App» so umprogrammiert, dass aus ausländischen Impfnachweisen kein Covid-Light-Zertifikat nach schweizerischen Standards mehr generiert werden kann.
Ist damit die Sache erledigt? Nein. Denn bestehen blieb nach wie vor die Gefahr, dass Betrügerinnen und Betrüger falsche Impfnachweise generieren können.
Nun hat sich bestätigt: Die Schwachstelle «Mensch» lag beim deutschen Apothekenverband: Die Organisation entwickelte innert kürzester Zeit eine technische Infrastruktur, damit Apotheken in ganz Deutschland Impfnachweise ausstellen können. Ein solcher Zugang wurde auch dafür verwendet, um im Darknet gefälschte Covid-Zertifikate zu verkaufen.
Das war möglich, weil nicht immer genau geprüft wurde, ob ein angeblicher Apotheker vertrauenswürdig war – in einem Fall kam man zum Login, ohne wirklich eine Apotheke zu betreiben. Das deutsche «Handelsblatt» betrieb die Recherche von watson weiter und fand heraus, dass «mithilfe professionell gefälschter Dokumente» ein Gastzugang für das Impfzertifikats-System für einen nicht existierenden Apothekeninhaber erzeugt wurde. So wurden insgesamt zwei Impfzertifikate ausgestellt, wie nun der Apothekenverband schreibt.
Entdeckt wurde das durch die beiden IT-Sicherheitsexperten André Zilch und Martin Tschirsich, die bereits beim Schweizer Portal «MeineImpfungen.ch» eine ähnliche Recherche betrieben.
Dem Branchenverband und dem Bundesgesundheitsministerium wurde es nach diesem weiteren Problem zu bunt. Am Mittwoch wurde das Apothekenverbands-System zur Ausstellung der Impfnachweise heruntergefahren. Wann es zurückkommen soll, soll zu einem späteren Zeitpunkt in Absprache mit den Behörden entschieden werden.
Wie viele Gastzugänge missbräuchlich verwendet wurden, wird nun untersucht. Der deutsche Apothekenverband erstellte insgesamt 470 solcher «Gast-Logins» für Apotheken, die nicht Mitglied in einem Landesapothekerverband sind.
Ob der Zertifikats-Dealer, der die watson vorliegenden Fake-Zertifikate verkauft hatte, auch einen solchen Gastzugang verwendet hatte, ist unklar. Erste Untersuchungen zeigten bis Donnerstagmittag, dass es keine Hinweise für andere unberechtigte Zugänge gebe. Sollte sich das bestätigen, wäre klar, dass beim deutschen Apothekenverbands-Portal weitere Probleme existieren: watson-Informationen zufolge wurde das Fake-Zertifikat nicht im Rahmen der «Handelsblatt»-Recherche erstellt, sondern von einer Drittperson.
Unsere Recherchen ergaben, dass über verschlüsselte Messenger-Dienste mehrere Dealer Zertifikate anboten, die aus Deutschland stammten, bzw. dort generiert wurden.
Und dann wollte ich noch sagen: Petar, deine Artikel sind gut. Ich hoffe du bleibst noch ein bisschen bei Watson :-)
Und dass man lieber dubiosen Leuten im Darknet vertraut, als den Behörden und Ärzten.
Das zeugt doch von einer echten Angst vor der Impfung bzw. Misstrauen gegenüber der Zivilgesellschaft.
Eigentlich tun mir solche Menschen auch leid.
Wie kann man diese Leute zurückgewinnen?