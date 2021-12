Gefälschte digitale Impfnachweise sind die Eintrittskarte für Impfgegner in ein Leben mit wenig Einschränkungen. Da die 2G-Regeln zunehmend den Zugang zu Arbeit, Gastronomie und Einkaufen bundesweit beschränken, boomen gefälschte digitale Impfnachweise; darunter auch aus anderen europäischen Ländern.

Das BR-Politmagazin "Report München" hatte nachgewiesen, dass ein Abgleich gefälschter Codes EU-weit nicht erfolgt. Das führt dazu, dass ein gefälschter Code aus Frankreich in Deutschland weiter gilt, oder ein gefälschter deutscher QR-Code in Luxemburg: Die Möglichkeiten des betrügerischen Einsatzes sind geradezu grenzenlos.

Zum Artikel: Gebrauch gefälschter Impfnachweise nun eindeutig strafbar

Beer: "QR-Code sieht man Fälschung nicht an"

Anlässlich des morgigen EU-Justizrats erklärt die Vizepräsidentin des Europäischen Parlaments, Nicola Beer (Renew Europe, FDP): "Die EU-Justizminister dürfen auf ihrem morgigen Treffen die Chance nicht verpassen, sich des EU-weit zunehmenden Problems der gefälschten Covid19-Impfzertifikate anzunehmen."

Nicola Beer mahnt, es bedürfe dringend einer europäischen Koordinierung, die EU-Justizminister müssen unverzüglich nachbessern. Das Problem liege oft weit vor der Kontrolle am Eingang eines Geschäfts oder Restaurants. "Wird ein digitaler Impfnachweis erst einmal anhand falscher Daten oder gefälschter Unterlagen ausgestellt" – sei es durch Unwissen, Fahrlässigkeit oder leider auch Betrug – "dem QR-Code sieht man den gefälschten Boden nicht an, auf dem er entstanden ist. Das ist problematisch."

Online-Banking sicherer als Impfung nachweisen

Teil des Problems beim Generieren eines Impfnachweises sei auch die niedrigschwellige Authentifizierung – sogar Online-Banking sei engmaschiger gesichert, indem es mit dem TAN-System auf das Prinzip der Mehrfach-Authentifizierung aufbaue, beklagt die EU-Parlaments-Vizepräsidentin. "Hier gibt es konkrete Verbesserungsmöglichkeiten, die die EU-Justizminister jetzt angehen müssen."

Der IT-Sicherheitsexperte Thomas Siebert von der Firma G-Data fordert zudem, mehr Daten ins digitale Zertifikat aufzunehmen, um den Nutzern von gefälschten digitalen Zertifikaten auf die Schliche zu kommen: "Es sollten alle Daten ins digitale Zertifikat aufgenommen werden, die auch in den klassischen Impfnachweisen in Papierform zu finden sind."

IT-Experte: Mehr Daten im digitalen Nachweis nötig

Insbesondere die impfende Stelle (Arzt/Impfzentrum) und die Chargennummer des Impfstoffs sollten enthalten sein, so Siebert. Auch die Personen, die das Zertifikat ausgestellt oder die Impfungen durchgeführt haben, sollten identifizierbar sein. "Wenn Personen oder Stellen auffallen, die zu Unrecht Impfnachweise erstellt haben, müssen alle Impfnachweise von dieser Person oder Stelle gesperrt werden."

In den deutschen Apps gibt es seit Kurzem die Möglichkeit, Zertifikate zu sperren. Nach Thomas Sieberts Erkenntnissen werden zurzeit in Deutschland in der CovPassCheck-App die Zertifikate von zwei Stellen gesperrt. Das seien einerseits "Zertifikate einer von den zwei Sicherheitsforschern gegründeten fiktiven Apotheke, wo aber niemals tatsächlich genutzte Fälschungen produziert wurden. Und weiterhin die Zertifikate einer Münchner Apotheke, in der Mitarbeiter bei Fälschungen in größerem Stil erwischt wurden."

Sperrliste nicht annähernd vollständig

Es sei angesichts der nahezu täglichen neuen Meldungen über Fälschungen offensichtlich, dass mit diesen zwei Einträgen in der Sperrliste nur ein Bruchteil der gefälschten Zertifikate abgedeckt sei. Andere Länder pflegen eigene Sperrlisten, deren Einträge sich aber nicht auf der deutschen Sperrliste finden, so Thomas Siebert: "Diese Zertifikate gelten in ihren Heimatländern zwar als ungültig, in Deutschland werden sie weiterhin als gültig erkannt."