EU-ImpfnachweisFalsche Impfzertifikate zirkulieren im Internet

Gefälschte Corona-Impfnachweise, ausgestellt auf die Namen von Spongebob Squarepants oder Adolf Hitler, tauchen auf Twitter und in Darkweb-Foren auf. Die offensichtlichen Fälschungen werden vom EU-System als gültig gewertet. Das hat besorgniserregende Folgen.

Gefälschter Impfausweis für "Adolf Hitler"
Ein gültiger Impfausweis für „Adolf Hitler“. CC-BY 2.0 netzpolitik.org

Im Internet ist ein gefälschtes Impfzertifikat aufgetaucht, ausgestellt auf den Namen „Adolf Hitler“. Ein italienischer Twitter-Nutzer postete am Dienstag ein Bild des Zertifikats mit der Aufforderung, den QR-Code zu scannen. Der Impfpass wird als gültig erkannt und ist damit in der gesamten EU und allen Staaten, die EU-Ausweise akzeptieren, valide. Laut einem Update des Nutzers am Mittwoch soll das Zertifikat inzwischen nicht mehr gültig sein. Eine Überprüfung mit der deutschen App CovPassCheck zeigt das Zertifikat jedoch nach wie als grün und damit gültig an.

Unklar war zunächst, wie das gefälschte Zertifikat erstellt werden konnte. Denkbar wäre, dass dazu ein geheimer Schlüssel entwendet wurde, mit dem berechtigte Stellen wie etwa ärztliche Praxen oder Impfzentren die Echtheit der Impfung bescheinigen. Ebenso könnte eine Person, die in einer solchen Stelle arbeitet, die Dokumente erstellt haben.

Laut einem Post des italienischen Blogs Zerozone.it, der zuerst über den Fall berichtete, bescheinigt der gepostet Impfausweis für Adolf Hitler, dass dieser am 1. Oktober 2021 von einer französischen Stelle mit dem Impfstoff von Biontech geimpft wurde.

Laut der App CovPassCheck ein gültiges Impfzertifikat. - CC-BY 2.0 netzpolitik.org

Ausweise sollen nun annulliert sein

In Italien macht das Thema gerade Schlagzeilen. Dort ist der so genannte „Grüne Pass“, also der Nachweis über eine Impfung, seit Mitte Oktober nach einem Beschluss der Regierung notwendig, um zur Arbeit gehen zu dürfen.

Die italienische Nachrichtenagentur ANSA berichtet, dass die geheimen Schlüssel, mit denen das gefälschte Zertifikat erstellt wurde, inzwischen annulliert wurden. Damit würden allerdings alle Impfausweise, die von diesen Stellen bescheinigt wurden, ungültig. Unklar ist, wie die Behörden mit diesem Problem umgehen und was mit Betroffenen geschieht, die tatsächlich dort eine Impfung erhalten haben. In der deutschen CovPassCheck-App ist das Zertifikat zudem weiterhin gültig.

In dem System, das die Unternehmen SAP und Telekom im Auftrag der EU-Kommission entwickelt haben, ist vorgesehen, dass die Echtheit der die Impfung bescheinigenden QR-Codes mithilfe von zwei Schlüsseln überprüft wird (eine genaue technische Beschreibung des Systems findet sich hier). Der öffentliche Schlüssel kann von allen abgerufen werden, die digitale Impfausweise prüfen. Den privaten Schlüssel kennt dagegen nur die Stelle, die einen digitalen Impfnachweis ausstellt – er bleibt geheim. Nur wenn beide Schlüssel in dem Signatursystem zueinander passen, leuchtet der Impfausweis bei einer Überprüfung grün auf und ist damit gültig.

Stellen in Polen und Frankreich sollen Fakes signiert haben

Für die Sicherheit des gesamten Systems ist es also essentiell, dass diese privaten Schlüssel geheim bleiben. Ausgestellt werden sie von den jeweiligen Mitgliedstaaten für alle Einrichtungen, die in ihrem Land Impfungen digital bescheinigen dürfen. Laut den Vorgaben der EU-Kommission können die Mitgliedsstaaten ihre dafür vorgesehen Schlüssel selbst verwalten. In so einem Fall, darauf weisen die Spezifikationen hin, muss aber höchster Wert auf die Geheimhaltung gelegt werden. So sollten die Schlüssel auf einem Server aufbewahrt werden, der nicht mit dem Internet verbunden ist und zu dem keine Person einzeln Zugang hat.

Von der Fälschung betroffen sind nun alle Staaten, die ihre Impfausweise im Rahmen der EU über ein gemeinsames System verwalten. Die undichten Stellen scheinen jedoch in Frankreich und Polen zu liegen. Der Autor des Beitrags auf zerozone.it hat das gefälschte Impfzertifikat mit Hilfe der rumänischen App gescannt. Diese zeigt nicht nur den Namen und die Gültigkeit des Impfstatus an, sondern alle im QR-Code enthaltenen Informationen, etwa auch den Impfstoff und die ausstellende Stelle. Laut dieser Auswertung soll das Zertifikat am 25. Oktober von einer französischen Krankenversicherung ausgestellt worden sein: der Caisse Nationale d’Assurance Maladie (CNAM). Ein weiterer Impfausweis, der noch im Umlauf sein soll, wurde laut dem Beitrag von einer polnischen Stelle signiert.

QR Code Impfausweis Spongebob
Auch Spongebob ist schon mit BionTech geimpft – zumindest laut dieser Fälschung. - CC-BY 2.0

Impfnachweis für Mickey Mouse und Spongebob

Im Laufe des vergangenen Tages sind in Darkweb-Foren wie 4Chan weitere gefälschte Impfausweise aufgetaucht, ausgestellt auf die Namen „Mickey Mouse“ und „Spongebob Squarepants“. In diesen Foren wird bereits seit längerer Zeit das Rezept diskutiert, nach denen die Impfausweise erstellt werden. Das Interesse an gefälschten Ausweisen ist groß.

In einem anderen Forum bietet ein Anbieter seit heute gefälschte EU-Impfausweise zum Kauf, Kostenpunkt 290 Dollar aufwärts. Auch auf anderen Seiten im Darkweb werden solche Ausweise angeboten.

In der EU-Kommission soll heute Vormittag bereits ein Krisentreffen zum Thema stattgefunden haben. Auf Anfrage sagt ein Sprecher der Kommission, man habe von den „mutmaßlich betrügerischen Manipulationen“ Kenntnis und verfolge die Berichterstattung. „Wir verfolgen die Entwicklungen dieses Vorfalls aufmerksam und stehen in Kontakt mit den zuständigen Behörden der Mitgliedsstaaten, die den Vorfall untersuchen und Abhilfemaßnahmen einleiten.“ Der Vorfall habe „keine Auswirkungen auf die Sicherheit und Integrität des EU-Gateway, das von der Kommission verwaltet wird.“

4 Ergänzungen

  1. Ich finde es überraschend, dass das eine Nachricht ist. Seit Monaten werden falsche Zertifikate über Telegram vertickt. So lange die Taler bezahlt werden, interessiert es die Verkäufer nicht, welche Namen auftauchen. Als Demo wurden früh auch offensichtlich falsche Zertifikate (d.h. z.B. für Mickey Mouse ausgestellte Zertifikate) geteilt.

  2. Vielleicht noch darauf hinweisen nicht alles was nach QR-Code aussieht und bei 3 nicht auf dem Baum ist, einscannen?
    Angriffe auf diesen Weg sind denkbar. Es sind ja auch nur Daten, die verarbeitet werden…

    1. Prinzipiell ist es richtig, dass auch über QR-Codes Angriffe stattfinden können.
      Von der CovPassCheck-App erwarte ich aber, dass sie sich nicht einfach durch einen speziell gestalteten QR-Code angreifen lässt. Falls doch wäre das ein schwerwiegender Bug, der auch sicher wieder behoben wird.
      Das Risiko wird nicht höher sein, als beim Surfen im Internet. Da rufst du auch fremde Inhalte auf und hoffst darauf, dass die Sandbox deines Browsers dich vor Angriffen schützt.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.