Digitale ZertifikateStaat hat gefälschten Impfnachweisen wenig entgegenzusetzen

Viele Bundesländer wollen den steigenden Corona-Inzidenzen besonders bei Ungeimpften mit 2G-Regelungen entgegenwirken. Doch die Probleme mit gefälschten Impfnachweisen sind weiter ungelöst.

Schaufenster einer Apotheke mit Apotheken-Logo und einem Aushang: "Digitaler Impfnachweis: Hier in der Apotheke"
Mit dem Impfpass in die Apotheke, mit dem digitalen Zertifikat wieder raus: ein System mit Sicherheitslücken. – Alle Rechte vorbehalten IMAGO / Future Image

Mit dem Impfpass in die Apotheke: Viele Deutsche gelangten auf diesem Weg zu ihrem digitalen Impfzertifikat. Wer vor dem Start des digitalen Nachweises geimpft wurde oder seinen digitalen Nachweis nicht direkt von der Arztpraxis oder dem Impfzentrum bekam, konnte sich in den Apotheken seinen QR-Code ausstellen lassen. Die Aufkleber im Impfpass mit Unterschrift der Impfärzt:innen genügten als Nachweis für eine Impfung gegen das Corona-Virus.

Doch von Anfang an meldeten Expert:innen Zweifel an der Sicherheit des Systems an. Immer wieder gab es Berichte über Lücken, die impfunwillige Menschen ausnutzen könnten, um auch ohne Spritze an ein gültiges Zertifikat zu gelangen.

So könnten Menschen versucht sein, den analogen Nachweis zu fälschen und damit in der Apotheke ein gültiges digitales Zertifikat zu ergaunern. Angebote für gefälschte Impfpässe oder Aufkleber kursieren schon seit Längerem im Netz. Für die Apotheken ist es nicht immer einfach, echte von gefälschten Impfaufklebern zu unterscheiden.

Erfundene Apotheke konnte gültige Zertifikate ausstellen

Doch auch die IT-Systeme selbst waren anfällig für Angriffe. Im Juli war es zwei IT-Experten gelungen, eine Apotheke zu erfinden und sich so einen Zugang zum Webportal des Deutschen Apothekerverbandes (DAV) zu verschaffen. Mit diesem Zugang konnten sie digitale Impfnachweise ausstellen, die die CovPass-Check-App als gültig erkannte. Der DAV schaltete sein Portal in Folge dessen erstmal vollständig ab, viele Apotheken konnten über Wochen keine Impfnachweise ausstellen.

Diese Sicherheitslücke ist mittlerweile geschlossen, da die Impfnachweise nicht mehr einfach nur über das Webportal des DAV ausgestellt werden. Stattdessen benötigt man einen Zugang zur Telematik-Infrastruktur, dem geschützten Netzwerk des Gesundheitssystems. Schon im Sommer gab es aber Hinweise darauf, dass die Lücke auch von Kriminellen ausgenutzt worden war, da in der Schweiz gültige, aber gefälschte deutsche Impfzertifikate aufgetaucht waren.

Die IT-Sicherheitsexperten Martin Tschirsich und André Zilch wiesen damals gegenüber netzpolitik.org darauf hin, dass im System keine Möglichkeit vorgesehen war, gültige Zertifikate im Nachhinein zurückzuziehen, wenn eine Fälschung ans Licht kommt. Das liegt daran, dass an einem Zertifikat lange Zeit nicht ablesbar war, wer es ausgestellt hatte. Der Signaturschlüssel für die ausgebende Stelle war für alle Apotheken in Deutschland gleich.

Frühe Zertifikate nicht zurückverfolgbar

Erst seit Ende Juni kann man an einem Zertifikat erkennen, welche Apotheke es ausgestellt hat, mithilfe des sogenannten Unique Vaccination Certificate Identifier, kurz UVCI. Dieser Code enthält neben dem Land und einer zufälligen ID für jedes einzelne Zertifikat seitdem auch eine Herausgeberkennung. Alle Zertifikate, die nach dem 29. Juni ausgestellt wurden, können also anhand dieser Herausgeberkennung zurückgezogen werden. Die digitalen Impfnachweise, die vor diesem Datum ausgestellt wurden, lassen sich aber nicht zu einer Apotheke zurückzuverfolgen. Um hier ganz sicher zu gehen, müssten alle frühen Impfnachweise ungültig gemacht und neu ausgestellt werden. Das würde Millionen von Menschen betreffen.

Wenn bekannt wird, dass in einer Apotheke Nachweise gefälscht wurden, wie beispielsweise kürzlich im Fall einer Münchener Apotheke, könnten alle Nachweise dieser Stelle für nichtig erklärt werden. Wer tatsächlich geimpft ist und seinen Nachweis aus dieser Apotheke hat, muss sich dann einen neuen digitalen Nachweis besorgen – in einer anderen Apotheke. Denn weiterhin ist es nicht vorgesehen, unter Fälschungsverdacht stehende Zertifikate einzeln zurückzuziehen.

Blacklist mit nur zwei Einträgen

Die CovPass-Check-App, mit der Veranstalter:innen in Deutschland die Gültigkeit des digitalen Impfnachweises prüfen können, führt seit Ende Juli eine Blacklist mit Apotheken, deren Nachweise nicht mehr anerkannt werden. Diese Blacklist hat aktuell aber nur zwei Einträge: einen Test-Eintrag und den der fiktiven „Sonnen-Apotheke“ aus dem Hack von Tschirsich und Zilch.

Die Blacklist wurde in den Quellcode der CovPass-Check-App mit aufgenommen. Diese App wird allerdings nur in Deutschland verwendet, um das EU-weit gültige Impfzertifikat zu überprüfen. Die Apps anderer Staaten bekommen also nicht automatisch die Information, dass gewisse Zertifikate in Deutschland nicht mehr gültig sind. Sie müsste sich die Informationen aus dem öffentlichen Quellcode der CovPass-Check-App selbst herausholen.

Seit Anfang dieser Woche warnt die Corona-Warn-App ihre Nutzer:innen per Push-Mitteilung, wenn ihre Impfnachweise ihre Gültigkeit verlieren. Sie hat aber ihre eigene Blockliste, die sich aus den Servern der Corona-Warn-App speist. Die Prüfung eines Zertifikats gegenüber dieser Blockliste ist aber noch nicht fertig implementiert.

Auch aus anderen EU-Ländern tauchen immer wieder gefälschte, digitale Impfnachweise auf. Diese Nachrichten sind beunruhigend, da ein Großteil der Hygienekonzepte, die derzeit genutzt werden, auf der Kontrolle des Impfnachweises basieren. Eine 2G-Veranstaltung klingt angesichts steigender Inzidenzen vor allem von Ungeimpften gleich viel weniger sicher, wenn man sich bewusst macht, dass auch diese Personen sich mit einem gefälschten Impfpass Zutritt zu solchen Veranstaltungen verschaffen könnten.

Ein großes Problem bei der Überprüfung vom Impfnachweisen sind allerdings nicht nur gefälschte Zertifikate, sondern die nur selten ausgeführte Identititätsüberprüfung bei der Einlasskontrolle zu 2G-Orten. Ohne die Kontrolle eines Ausweises kann jeder Mensch einfach irgendein gültiges Zertifikat oder einen Screenshot davon nehmen und so in Bereiche gelangen, in denen eigentlich 2G gilt. 

17 Ergänzungen

    1. Das war mir tatsächlich gar nicht bewusst. Vielen Dank für den Hinweis! Ich werde in Zukunft darauf achten.

      1. Hallo Frau Ballweber,

        wie schon Herr Engstrand schreibt, ist der Hintergrund dieses Begriffs keineswegs rassistisch. Was für Master/Slave gut sein mag, ist für Blacklist/Whitelist nichts als gut gemeint. Schwarze und weiße Mächte, Gut und Böse als Analogie von Licht und Dunkel gab es schon lange, lange Zeit bevor der erste Portugiese auf ein Boot gestiegen ist. Diese abergläubischen Hintergründe mögen zu Rassismus geführt haben, umgekehrt war das aber sicher nicht der Fall. Wenn Sie also künftig auf diese Begriffe verzichten, tun Sie das nicht gegen Rassismus, sondern für die überambitionierten Marcs dieser Welt. Was ja auch okay ist.

        Herzliche Grüße

        Ein weißer alter Mann

        1. Hallo,
          ich bin bislang eigentlich immer ganz gut damit gefahren, als weißer Mensch nicht selbst zu entscheiden, was rassistisch ist und was nicht, sondern diese Entscheidung den Betroffenen zu überlassen. Das ist zumindest meine Herangehensweise und ich fühle mich nicht eingeschränkt, wenn ich künftig stattdessen den Begriff „Blockliste“ oder Ähnliches verwende.

    2. „Der Hintergrund des Begriffs ist ja durchaus rassistisch“ – liegt im Auge der Betrachterin. Richtig ist, das wir hinterfragen sollten, warum wir bestimmte Begriffe verwenden und an welcher Stelle wir auf Befindlichkeiten Rücksicht nehmen sollten.

      Blacklist, oder schwarze Liste kommt aus dem übertragenen Zusammenhang das man „Dingen im Dunkeln“ nicht trauen sollte.

        1. Aus Blacklist wird Sperrliste und aus Whitelist die Ausnahmeliste. Ganz einfach. So versteht es dann auch jede:r Ü60, wobei sich diese Personengruppe hier wohl nicht so häufig aufhält. ;-)

    1. Tut sie das?
      In dem Artikel wird nur spekuliert. Aber warum sollte jemand im Krankenhaus seinen gefälschten Impfausweis zeigen? Noch werden ungeimpfte behandelt, auch wenn immer mehr auch dies gerne unterbinden würden. Insofern begebe ich mich doch nicht in das Risiko – auch wenn es aktuell nicht bestraft wird – das die Fälschung entdeckt wird.

      1. Diesen Artikel als reine Spekulation abzutun ist eine sehr oberflächliche Beurteilung.
        Die Corona-Patienten im Krankenhaus werden alle gleich behandelt, ob geimpft oder ungeimpft, da muß niemand den Impfausweis vorlegen…..

        „Impfdurchbrüche würden genau so behandelt wie Fälle von ungeimpften Corona-Patienten. „Der Impfstatus hat keinen Einfluss auf die Behandlung. Man impft nicht während einer Infektion.“ Den Impfausweis müsse niemand anschauen. Falls er gefälscht ist, fällt das also nicht auf“.

  1. PS: Zum Testen gehört natürlich auch der Test, wie sich die Antikörper denn über die Zeit entwickeln. Genesen, vs Geimpft, vielleicht ergibt sich daraus zumindest die Lüftung des Allgemeinzustands. Wir brauchen in erster Linie mehr Informationen um nicht mehr wie die letzten 2 Jahre mehr oder weniger Blind zu agieren, bisher haben nur totale Lockdowns (bedingt) und so plötzliche Anomalien wie die Jahreszeiten für Entspannung gesorgt.

  2. Sehr geehrte Frau Ballweber,

    ich schätze die Arbeit von netzpolitik.org sehr und würde soweit gehen, sie als eine der letzten Bastionen von echtem Journalismus mit kritischer Berichterstattung bezeichnen. Zuletzt war es regelrecht erleichternd, dass der Fokus auf netzpolitischen Themen erhalten blieb und nicht vom alles bestimmenden Thema überlagert wurde.

    Ihr Artikel ist in diesem Zusammenhang gut gelungen und beschränkt sich auf den Kern der rechtlich-technischen Einordnung.

    In welchem Punkt ich Sie aber kritisieren möchte ist die Nutzung des letztens Links/Quelle https://www.tagesspiegel.de/politik/sieben-tage-inzidenz-im-vergleich-erleben-wir-wirklich-eine-pandemie-der-ungeimpften/27799076.html . Dieser Artikel beim Tagesspiegel ist aus meiner Sicht maximal ein Kommentar, ganz schlechter Stil, ich mag ihn gar nicht journalistisch nennen, der lediglich fragt und dann diese wichtigen Fragen lapidar abtut, um zu spekulieren. Als Quellen für die darin enthaltenen Behauptungen sind lediglich Selbstreferenzen verlinkt.

    Ich finde, wenn Sie diese Behauptung „steigender Inzidenzen vor allem von Ungeimpften“ verwenden, dann sollten Sie sich, nicht zuletzt mit dem Blick auf die so hohe Qualität der Arbeit von netzpolitik.org, die Mühe machen diese Behauptung mit wirklichen Quellen, im Idealfall mehreren (ggf. auch internationalen) zu belegen. Anderenfalls könnten sie den Satz auch ganz streichen. Denn eine 2G-Veranstaltung ist nicht nur deshalb ggf. „viel weniger sicher“, weil im einzelnen Menschen mit gefälschtem Zertifikat Zutritt zu der Veranstaltung verschaffen könnten, sondern auch deshalb, weil sich auch geimpfte Personen untereinander anstecken können, insbesondere dann, wenn sie sich in einer falschen Sicherheit wähnen und die sonstigen Regeln vernachlässigen.

    Freundliche Grüße
    Robert

    1. @Robert: Die Auswirkung von Impfungen auf das individuelle Infektionsrisiko, den potentiellen Krankheitsverlauf und auf das Ausbreitungsgeschehen sind sehr komplex. Die vielen Aspekte und gegenseitigen Abhängigkeiten können wir hier nicht behandeln. Dafür empfehle ich beispielsweise den NDR-Podcast „Das Coronavirus-Update“.
      Aber es gibt einen ganz einfachen rein phänomenologischen Ansatz. Wenn wir uns die Karte der Gebiete ansehen, in denen extrem hohe Inzidenzen auftreten (z.B. Bayern und Sachsen) und sie vergleichen mit der Karte der Impfquoten, sehen wir was? Es gibt eine hohe Korrelation zwischen niedrigen Impfquoten und hohen Inzidenzen; die beiden Werte laufen umgekehrt proportional (aber nicht linear).

      1. Danke für die Veröffentlichung und die Antwort. Darf ich zur Klarstellung nachfragen, ob Sie, Herr Schmees, Teil des netzpolitik.org-Teams sind? Ihrem Text entnehme ich das implizit („wir“), aber auf der Teamseite sind Sie nicht aufgeführt. Gern dürfen Sie mir die Info, über Ihre Zusammenarbeit mit netzpolitik.org auch per Mail zusenden. Vielen Dank.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.