Gefälschte digitale Impfzertifikate entdeckt

Nächste PM
Thomas Uhlemann

Am 26.10.2021 tauchten erste Berichte über digitale Impfzertifikate im Internet auf, die auf „ Adolf Hitler“ ausgestellt waren. Sowohl mit einer polnischen als auch mit einer französischen Signatur ist es Unbekannten gelungen, valide Impfzertifikate des „Grünen EU-Impfpasses“ auf beliebige Namen anzufertigen.

Dass gültige Impfzertifikate in digitaler Form im Internet zu finden sind, überrascht wenig. Bereits bei den Dokumenten in Papierform wurden Fälschungen bekannt. Diese waren unter anderem möglich, weil an Ausgabestellen, wie privaten Impfzentren, nicht ausreichend geprüft wurde.

Aktuell gibt es keine Anzeichen dafür, dass die Gesundheitssysteme in Polen, Frankreich oder Deutschland kompromittiert wurden.

Woher können die Zertifikate stammen und zu welchem Preis werden sie gehandelt?
Möglicherweise ist es Unberechtigten gelungen, an die privaten (FIDO) Schlüssel von Apotheken oder Arztpraxen zu gelangen. Deren Signaturen dieser Schlüssel werden als gültig erkannt. Damit kann lassen sich beliebige Zertifikate für das jeweilige Land ausstellen. Diese Signaturen werden derzeit in einschlägigen Internetforen für circa 300 Euro gehandelt.

Sind deutsche Arztpraxen ausreichend geschützt?

Gerade im Bereich der niedergelassenen Ärzte beobachten wir seit vielen Jahren, dass häufig immer noch vollkommen veraltete IT-Systeme eingesetzt werden. Diese sind nur unzureichend vor Fremdzugriffen geschützt. Das hat generell eklatante Auswirkungen auf die Sicherheit von Patientendaten und, wie im aktuellen Fall, auch auf die Sicherheit des Impfzertifikats. Für Hacker sind diese Netzwerke besonders attraktiv, da sie immer versuchen, das schwächste Glied anzugreifen.

Schlüssel immer noch in Deutschland gültig!

Andere Länder, wie beispielsweise Italien, haben bereits die Gültigkeit der Schlüssel zurückgezogen. Aktuelle Checks in Deutschland zeigen jedoch, dass sie weiterhin als valide gelten. Sowohl die verfügbaren offiziellen Apps „Corona-Warn App“ als auch „CovPassCheck“ (mit Stand 28.10. morgens) bestätigen nach wie vor deren Gültigkeit.

Das kann verheerende Folgen haben, insbesondere wenn es schnell gehen muss. Bei Überprüfungen im öffentlichen Raum, wie etwa am Flughafen oder bei der Einlasskontrolle in Clubs, werden in der Praxis selten bis nie der Personalausweis der jeweiligen Person verlangt. Stattdessen wird sich darauf verlassen, dass das scannende Gerät „Zertifikat gültig“ anzeigt. Das angestrebte Vertrauen in eine möglichst sichere Durchführung von Veranstaltungen und Reise ist also zutiefst erschüttert, wenn es – entgegen anderslautender Beteuerungen – eben innerhalb von 3 Tagen nicht gelungen ist, in Deutschland diese Schlüssel zu blockieren.

Was wären die Folgen?

Mittlerweile werden auf Code-Sharing Plattformen eine ganze Reihe von Schlüsseln und auch andere Zertifikate mit Phantasienamen wie „SpongeBobangeboten. Daher befürchten Experten, dass das Leck größer ist als bisher angenommen. Die Folgen wären dramatisch und würden im schlimmsten Fall dazu führen, dass die Funktionsweise und die Integrität des „Grünen EU-Impfpasses“ komplett in Frage gestellt werden könnte. Denkbar ist auch, dass es einzelnen Ländern, wie Polen und Frankreich, vorübergehend nicht gestattet ist, neue Zertifikate auszustellen. Das dadurch entstehende Chaos ist abzusehen.