https://www.faz.net/-gpf-ahdmu

Betrug mit Impfpässen : Corona-Zertifikat für Adolf Hitler

Bisher nur eine Demo-Version: Eine geplante Prüf-App für Corona-Zertifikate Bild: dpa

Ein Fälscher bietet für 300 Euro einen in der EU gültigen Impfnachweis an. Und besitzt womöglich Zugang zu einem Schlüssel, mit dem die QR-Codes erzeugt werden, die jeder Staat ausgibt. Hat er das gesamte System kompromittiert?

          3 Min.

          Adolf Hitler wurde mit Biontech geimpft, er bekam die zweite Dosis am 1. Oktober. Und er hat ein gültiges, von der französischen Regierung signiertes Impfzertifikat. Klingt wie Unsinn, ist auch Unsinn – aber möglicherweise gefährlicher. Denn mit dem Impfzertifikat, das in mehreren Internetforen und Telegram-Gruppen kursiert, wirbt ein Fälscher für seine Dienste. Und dieser Fälscher besitzt womöglich Zugang zu einem hochgeheimen Schlüssel, mit dem die QR-Codes erzeugt werden, die jeder EU-Staat ausgibt. Dann müssten alle Impfpässe, die damit erstellt wurden, neu ausgegeben werden. Bewiesen ist das nicht, es gibt auch andere Erklärungen. Für Aufsehen sorgt der Fall in den Niederlanden, wo das Nachrichtenprogramm von RTL am Mittwoch darüber berichtete.

          Thomas Gutschker
          Politischer Korrespondent für die Europäische Union, die Nato und die Benelux-Länder mit Sitz in Brüssel.

          Der Fernsehsender nahm nach eigenen Angaben Kontakt zu dem Fälscher auf. Der bot an, für 300 Euro ein gültiges individuelles Impfzertifikat auszustellen, und zwar polnischer oder französischer Herkunft. Da die Zertifikate EU-weit normiert sind, werden sie in allen anderen EU-Mitgliedsländern anerkannt. Gemäß dem Bericht hat das niederländische Gesundheitsministerium in dem Fall Ermittlungen aufgenommen. Es gehe dabei auch dem Verdacht nach, dass ein Schlüssel entwendet worden sein könnte. Eine andere Möglichkeit ist, dass der Fälscher mit Personen zusammenarbeitet, die befugt sind, selbst Impfpässe auszustellen. Dieser Kreis ist in jedem Land unterschiedlich groß. Während in Deutschland Apotheker dazu gehören, darf in Frankreich allein die gesetzliche Krankenversicherung solche Zertifikate ausstellen.

          Zertifikate für Mickey Mouse und Spongebob

          Im Forum des Internetdienstes GitHub kursierten am Donnerstag mehrere auf den Namen Adolf Hitler ausgestellte und gültige QR-Codes. Darunter war der besagte aus Frankreich mit dem fiktiven Geburtsdatum 1. Januar 1900, ausgestellt am 25. Oktober, außerdem einer mit dem Geburtsjahr 1930 aus Polen (vom 24.10.) und mit dem Geburtsjahr 1989 aus Mazedonien (27.10.). Weitere gefälschte Codes waren auf die Namen Mickey Mouse und Spongebob ausgestellt. Der Datenanalytiker Denys Vitali, der für Swisscom arbeitet, schrieb dort in einer ersten Analyse, dass die Wahrscheinlichkeit eher gering sei, dass ein Schlüssel gestohlen worden sei. Denn es kämen in der Regel Sicherheitsmodule zum Einsatz, die den Schlüssel auch für Administratoren verbergen.

          Plausibler sei, dass ein autorisierter Ersteller von Zertifikaten gehackt worden sei oder mit Fälschern kooperiere. Um den Nachweis eines gestohlenen Schlüssels zu erbringen, so Vitali, müsste ein Impfzertifikat auf einen Termin vor Beginn der Pandemie datiert werden – denn dies würden die Systeme normalerweise nicht zulassen. Ein solches Zertifikat ist bisher nicht aufgetaucht.

          Wissen war nie wertvoller

          Lesen Sie jetzt F+ 30 Tage kostenlos und erhalten Sie Zugriff auf alle Artikel auf FAZ.NET.

          JETZT F+ LESEN

          Den gesetzlichen Rahmen für den elektronischen Impfnachweis hat die EU im Frühjahr gesetzt. Dabei wurde auf „maximalen Datenschutz“ gesetzt, wie die EU-Kommission hervorhebt. Die Zertifikate enthalten nur Angaben über den Namen des Geimpften, sein Geburtsdatum, den Impfstoff, das Datum der Impfung und das Land, wo sie vorgenommen wurde. Der QR-Code enthält eine digitale Signatur, aus der ersichtlich ist, wer ihn generiert hat. Beim Scannen des Codes wird nur abgeglichen, ob diese Signatur authentisch ist. Die EU hat dafür eine Schnittstelle aufgebaut, über die alle Mitgliedstaaten miteinander vernetzt sind.

          Einzelne gefälschte Zertifikate können gesperrt werden. Gemäß einem Bericht der Nachrichtenagentur ANSA haben die italienischen Behörden dies für die Hitler-Pässe schon veranlasst. Sollte jedoch ein Fälscher tatsächlich über einen geheimen Schlüssel verfügen, mit dem er authentische digitale Signaturen erstellen kann, müssten alle Impfpässe neu ausgegeben werden, die damit erstellt wurden. Andernfalls könnten sich andere EU-Staaten weigern, Zertifikate aus dem betreffenden Land anzuerkennen.

          In mehreren europäischen Staaten laufen schon Ermittlungen wegen Betrugs mit Covid-Zertifikaten. Dabei handelt es sich einerseits um echte Zertifikate, die auf einen anderen Namen lauten. Da Veranstalter oder Restaurantbetreiber so gut wie nie die Identität einer Person überprüfen, die einen QR-Code vorzeigt, reicht das, um einer anderen Person Zutritt zu verschaffen. Zum Teil richten sich Ermittlungen aber auch gegen Personen, die selbst im Gesundheitswesen tätig sind und Impfpässe generieren können. So wurden in den Niederlanden Mitte September mehrere Mitarbeiter des Kommunalen Gesundheitsdienstes suspendiert, eine Person aus Alphen am Rhein wurde in Untersuchungshaft genommen.

          Weitere Themen

          „Waschanlage“ für falsche Impfpässe

          Unklare Rechtslage : „Waschanlage“ für falsche Impfpässe

          Die Polizei geht in Hessen und Baden-Württemberg mit Razzien gegen Impfpassfälscher vor. Doch eine mögliche Strafbarkeitslücke erschwert den Kampf gegen Handel und Betrug mit gefälschten Zertifikaten.

          Topmeldungen

          Will Demut zeigen: Cem Özdemir

          Künftiger Minister im Gespräch : Können Sie das, Herr Özdemir?

          Bei den Grünen rumort es im linken Flügel. Landwirtschaftsminister wird nicht Fachmann Anton Hofreiter, sondern Cem Özdemir. Ein Gespräch über Grabenkämpfe, die Vielfalt der Gesellschaft und Ernährungstipps.
          Amerika wird gebraucht: Olaf Scholz in Washington

          Amerika im Koalitionsvertrag : Die NATO ist unverzichtbar

          Auch die Ampel-Koalition sieht die Vereinigten Staaten als Vormacht der NATO. Und SPD und Grüne sind beweglich: Jetzt sollen bewaffnete Drohnen kommen und die nukleare Teilhabe gesichert werden.
          Neue Beschränkungen sorgen für Durcheinander am Johannesburger Flughafen.

          Südafrika im Corona-Taumel : Tourismus-Schock durch Omikron

          Gerade hat die Hauptsaison begonnen, aber nun wurde Südafrika abermals zum Virusvariantengebiet erklärt. Die neue Variante Omikron wurde hier zuerst entdeckt. An den Flughäfen des Landes herrscht Unmut.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.