Wie sicher ist der EU-Impfnachweis?
Bald schon soll es auch in Deutschland kommen: das digitale Covid-Zertifikat der EU. Vollständig Geimpfte, Genesene und negativ Getestete können sich dann bei der Einreise in ein anderes EU-Land damit ausweisen, Beschränkungen wie Quarantäne- oder Testpflichten sollen für sie wegfallen. Ein entspannter Sommerurlaub im europäischen Ausland rückt damit in greifbare Nähe. Doch wenn etwas so begehrt ist, dann wächst bei einigen auch die Motivation zum Betrug. Ist der digitale Impfnachweis also fälschungssicher?
Impfnachweise im Fokus der Fälscher
Bundesgesundheitsminister Jens Spahn (CDU) hatte bereits bei der Vorstellung des Vorhabens festgestellt, dass das Interesse der Fälscher sowohl dem gelben Impfbuch der WHO als auch dem geplanten digitalen EU-Impfnachweis gelten könnte. Und beide Dokumente sollen das Reisen vereinfachen.
Wer womöglich fälschen möchte, für den genügt – wie so oft – zunächst ein Blick ins Internet. Ein bedruckbares Etikett in der Größe des Impfstoff-Aufklebers lässt sich auf Online-Marktplätzen legal kaufen. Auch selbst bestückbare Stempel sind frei verfügbar. Der Chaos Computer Club (CCC) weist deshalb auf das Fälschungsrisiko hin: Weder das Chargenetikett der Corona-Impfung noch Arztstempel und Unterschrift im herkömmlichen Impfbuch weisen einer Stellungnahme zufolge besondere Sicherheitsmerkmale auf.
Gesundheitsminister Spahn wies zuletzt darauf hin, dass „Fehler- oder Fälschungsanfälligkeit“ mit Blick auf den digitalen Impfausweis vor allem beim Übertrag gegeben seien. Hintergrund ist, dass Bürgerinnen und Bürger, die schon vor Einführung des sogenannten Covpass vollständig geimpft worden sind, ihr digitales Zertifikat in Impfzentren, Arztpraxen und auch in Apotheken erhalten können. Die Apothekerin müsste also entscheiden, ob der analoge Impfeintrag im gelben Impfbuch echt ist. Spahn sagte dazu, dies könne man am Ende „nur nach fachlicher Augenscheinkontrolle machen“. Daher werde man eine Fälschung „nicht zu 100 Prozent ausschließen können“.
Mehr zum Thema: Covpass: Was ihr jetzt über den digitalen Impfnachweis wissen müsst
Apotheken sehen sich hingegen dazu in der Lage, Fälschungen zu erkennen. „Apotheker sind Arzneimittelexperten und Impfstoffe sind auch Arzneimittel“, sagte Christian Splett von der Bundesvereinigung Deutscher Apothekerverbände (ABDA). „Jede Apotheke muss jeden Tag 100 oder mehr Rezepte auf ihre Echtheit prüfen. Apotheker trauen sich daher zu, auch Impfausweise zu prüfen.“
Fälschungen sind kein Kavaliersdelikt
Betrügern drohen nach Angaben des Gesundheitsministeriums indes saftige Strafen: Den Verwendern eines gefälschten Impfausweises blüht demnach Freiheitsentzug von bis zu einem Jahr oder eine Geldstrafe. Den Erstellern drohen zwei Jahre im Gefängnis oder eine Geldstrafe. „Ich kann immer nur sagen, am Ende betrügt man sich selbst“, stellte Spahn fest. Doch verfängt der Appell an die Moral?
Die Tatsache, dass Corona-Beschränkungen auch für negativ Getestete fallen sollen, macht das Fälschen wohl vor allem für sogenannte Corona-Kritiker attraktiv. Der Vorsitzende der Gewerkschaft der Polizei (GdP) für die Bundespolizei, Andreas Roßkopf, stellte bereits klar, dass der Handlungsspielraum für die Beamten eher gering ist. Wer die Hürde in der Apotheke nehme, der sei relativ sicher, sagte er. „Wir können nur das aufdecken, was für uns nachweisbar ist.“
Die digitale Signatur, die hinter dem geplanten EU-Zertifikat in Form eines QR-Codes steckt, ist indes ein bewährtes Verfahren der IT-Sicherheit: die sogenannte „Public-Key-Infrastructure“ (PKI). Nach Angaben der EU-Kommission funktioniert das Prinzip wie Schlüssel und Schloss. Wurde der QR-Code – der Schlüssel – manipuliert, zeigt der Scanner eine Fehlermeldung und die Tür bleibt verschlossen.
Mehr zum Thema: Digitaler Impfpass löst nicht das Problem der Fälschbarkeit
Doch könnte man sich einen digitalen Impfnachweis nicht einfach ausborgen? Um dem vorzubeugen, soll dem Gesundheitsministerium zufolge bei jeder Kontrolle geprüft werden, ob die Daten im Impfnachweis mit denen im Personalausweis übereinstimmen. Ein Betrug wie zu Teenager-Zeiten an der Club-Tür sollte also fehlschlagen: Der CCC bescheinigt dem Versuch jedoch unter „Realbedingungen eine hohe Erfolgsaussicht“.
Wie viele gefälschte Impfausweise während der Reisesaison entdeckt werden, wird letztlich sowohl von den Kontrollen etwa an den Grenzen als auch beim Übertrag in den Apotheken abhängen. Der Sprecher des Apothekenverbands zeigte sich zuversichtlich. Jedoch fehlten derzeit „noch der gesetzliche Rahmen und technische Details“. Viel Zeit bleibt nicht mehr. Spätestens bis Ende des Monats soll der deutsche Covpass im Einsatz sein. dpa
Der Betreiber einer Telegramgruppe in der gefälschte Impfpässe für 50EUR verkauft wurden (der Käufer muss die Unterschrift selbst fälschen, es gibt nur eine Vorlage soweit ich das verstanden habe) hat innerhalb einer Woche min. 10000 EUR in bitcoin und Paysafekarten verdient. Die Interessenten, oftmals mit Klarnamen in der Gruppe, waren zum Teil im Coachingbereich tätig oder Inhaber:innen von Naturheilpraxen.
Der Betreiber hat die Interessenten immer mit überzeichneten Headlines aufgepeitscht (Impfbeschluss für Kinder ab 12 Jahre) oder beruhigt wenn diese besorgt waren ob der Impfpass auch in einen digitalen umgewandelt werden kann (Ja, es herrscht solches Chaos, keiner kontrolliert die Pässe am Flughafen – einfach in die Apotheke gehen und bestätigen lassen wenn es soweit ist).
Anonymous DE hat wohl auch einen Honeypot errichtet und dokumentiert, wie bereitwillig Interessenten Personal Ausweisnummern und Krankenkassenkarten rausgegeben haben, nur um einen gefälschten Impfnachweis aus dem Internet zu bekommen.