Es waren gültige Impfzertifikate für Adolf Hitler, Micky Maus und Spongebob, die Golem zu einer Recherche nach der Herkunft dieser Nachweise veranlasst hatten. Dabei fanden die Kollegen heraus, dass offene Webinterfaces existieren, deren Beseitigung den verantwortlichen Behörden weit weniger prioritär scheint als wir erwarten dürften.

Das Gesundheitsministerium von Nordmazedonien ist eine dieser Behörden. Die meisten der gefälschten Impfzertifikate wurden mit einem Schlüssel des dortigen Gesundheitsministeriums signiert. Das ist insofern problematisch, als in Nordmazedonien ausgestellte Zertifikate in der EU anerkannt werden.

Auf Twitter tauschen sich findige Nutzende inzwischen recht fleißig darüber aus, wo welche offene Schnittstelle gefunden werden kann. Dabei war wiederum Nordmazedonien aufgefallen. Ein Twitterer hatte sich über das offene Interface nach eigenen Angaben selbst ein gefälschtes Zertifikat ausgestellt.

Golem konnte selbst zwei weitere offene Zertifikats-Websites von Nicht-EU-Ländern entdecken. Zwar informierten sie die zuständigen Behörden, die hielten die Entfernung der Zugänge aber offenbar bislang nicht für prioritär.

Ebenso im Umlauf befinden sich gefälschte Impfzertifikate aus Frankreich und Polen. Sogar das deutsche Robert Koch-Institut scheint betroffen. Jedenfalls existiert ein gefälschtes und vom RKI signiertes Zertifikat mit einem finnischen Textinhalt.

Das RKI wollte sich zu dem Vorgang nicht äußern. Das deutsche Gesundheitsministerium behauptet, über eine Lösung zu verfügen, „um alle gefälschten Zertifikate sperren zu können“, will aber aus taktischen Gründen keine Details nennen. Ebenso wollte sich das Spahn-Ministerium nicht zu der Frage äußern, warum die Covpass-Check-App gefälschte Zertifikate weiterhin als gültig anzeigt. Technisch ist das klar: Die Prüfung auf zurückgezogene Zertifikate ist schlicht nicht implementiert. Warum das so ist, darüber schweigt das Gesundheitsministerium.