Auf einem Tisch liegen die schriftlichen Dokumente für das EU-Impfzertifikat gegen Corona, darauf ein Impfpass und ein Handy, das die Zertifikate in digitaler Form anzeigt. | dpa
Exklusiv

Impfungen gegen Covid-19 Handel mit falschen Nachweisen nimmt zu

Stand: 30.11.2021 18:42 Uhr

Das Geschäft mit digitalen gefälschten Impfnachweisen läuft auf Hochtouren. Entsprechende QR-Codes aus dem In- und Ausland werden in Online-Foren gehandelt. Recherchen von report München zeigen zudem: Apps erkennen die Fälschungen oft nicht.

Von Sabina Wolf und Benedikt Nabben, BR

Gefälschte digitale Impfnachweise stehen bei Impfgegnern hoch im Kurs. Betrüger verschaffen sich über Komplizen in Apotheken Zugang und stellen QR Codes auf Bestellung aus.

report München hat verschiedene digitale Phantasie-QR Codes sowie betrügerisch erstellte Codes getestet, darunter auch einen aus einer Münchner Apotheke, die vergangenen Oktober von der bayerischen Polizei durchsucht wurde. Die Staatsanwaltschaft ermittelt. Eine Mitarbeiterin soll falsche elektronische Impfausweise ausgestellt haben. Diese und weitere Apotheken-Kennungen aus Bayern und Hessen konnten die Reporter auch in einem Online-Forum, in dem digitale Impfnachweise zum Kauf angeboten werden, feststellen.

Komplizen in der Apotheke

Eine Mitarbeiterin der Apotheke hatte Kriminellen einen Zugang in die Apotheken-IT verschafft. Nachts produzierten ihre Komplizen knapp 1000 digitale Impfnachweise auf die echten Namen von Impfgegnern. So stimmten die Personendaten der Besteller im Ausweis mit denen auf dem digitalen Impfnachweis überein. In der Apotheke wusste man von den Machenschaften nichts.

Obwohl der Fall bereits im Oktober aufflog, gelang es den Reportern noch bis Anfang vergangener Woche ein digitales Zertifikat der Apotheke in die CovPass-App hochzuladen. In der CovPassCheck-App erschien das Zertifikat als "valide" - also gültig. Erst nach Mitteilung an die Behörden wurde das Zertifikat in der CovPassCheck-App auf die schwarze Liste gesetzt und ist nun nicht mehr gültig. In einer Corona Prüf-App aus Luxemburg ist das Münchner Apotheken Zertifikat noch gültig.

Geheimhaltung zentral

Wie wichtig für die betrügerischen Aktivitäten die Geheimhaltung sei, beschreibt ein Insider in einem Impfpass-Forum. Man habe Zertifikate erstellt in Apotheken im "PLZ Bereich 8xxxx, einen in einer Apo[theke] in 6xxxx und zu guter Letzt eins vom Herr S. der ja in München […] war also PLZ 8xxxx". Der Insider warnt, man solle keinesfalls die Apothekenkennung publik machen. Es reiche, einen einzigen digitalen Impfnachweis "an die falsche Person zu verkaufen oder einen einzigen als Sample mit irgendeinem Schwachsinnsnamen public zu machen, und zack haben sie den Ersteller an den Eiern und können alle Zertifikate sperren die dieser Aussteller erstellt hat".

Unabhängig vom Fall der Münchner Apotheke beobachtet Thomas Siebert von der Bochumer IT-Sicherheitsfirma GData, dass kaum Einträge in den schwarzen Listen der Corona Warn App und der CovPass-App, vorhanden seien: "Die Konsequenz, wenn man keine Aktualisierung der Black Listen vornimmt, ist natürlich, dass die Leute, die mit einem zu Unrecht erlangten Zertifikat dann rumlaufen, grundsätzlich nicht erwischt werden können", so Siebert.

Bestellung aus dem Ausland

In einem Online-Forum gelang es zudem, mit Anbietern gefälschter digitaler Impfnachweise in Kontakt zu treten. Dort empfahl eine Person mit dem Pseudonym "Covidpass Meister" den Journalisten auf digitale Impfnachweise aus dem EU-Ausland auszuweichen, die seien zwar teurer, aber sicherer: "Die können nicht gesperrt werden so einfach." Nach einer Stichprobe von GData und report München erkannten weder die Corona Warn App noch die CovPassCheck-App ausländische Fälschungen.

Für IT-Experte Siebert liegt der Fehler in der von der EU vorgegebenen Spezifikation digitaler Impfnachweise: "Es gibt massive Probleme im Prozess des Widerrufens von Zertifikaten. Es ist so, dass zwischen den europäischen Ländern teilweise Unterschiede bestehen, wie das Ganze gehandhabt wird. Jedes Land pflegt im Prinzip eigene Prozesse eigene schwarze Listen von beispielsweise Apotheken, die unrechtmäßig Zertifikate ausgestellt haben."

Forderung nach Rückruf

Wie ein Rückruf digitaler Impfnachweise, ob national oder international, aussehen könnte, ist unklar. Das, so Thomas Siebert, könne jetzt zu einem Bumerang werden.

EU-Parlaments-Vizepräsidentin Nicola Beer fordert die Möglichkeit für einen europaweiten Rückruf gefälschter digitaler Impfnachweise. Im Interview mit report München sagt sie: „Ein Blick auf die Zahlen in manchen deutschen Regionen zeigt, wir bewegen uns da in Sachen Fälschung im mittleren dreistelligen Bereich - da müssen alle Alarmlichter leuchten. Die Lage ist europaweit derart zugespitzt, wir können uns schlicht nicht erlauben, dass sich einige den Impfnachweis mit drei Klicks im Internet erschleichen und erkaufen."

Noch keine Lösung in Sicht

Das für das CovPass-System zuständige Bundesgesundheitsministerium räumt auf Anfrage ein, dass es bisher noch keine Lösung zum Problem grenzüberschreitender Einsätze digitaler Impfnachweise gibt: "Eine europäisch interoperable Lösung zur Sperrung einzelner Impfzertifikate wird aktuell erstellt", so ein Sprecher des Ministeriums. Bis wann, ist nicht bekannt.

Da die Speicherung der Daten wie auch der erstellten PDF-Dokumente, so die Bundesvereinigung Deutscher Apothekerverbände, nicht vorgesehen und mangels Rechtsgrundlage auch nicht zulässig ist, können die Besteller bereits betrügerisch ausgestellter Zertifikate nicht mehr ausfindig gemacht werden.

"Schlupfloch schließen"

Nicola Beer erklärt, sie wolle den Datenschutz zwar nicht über Bord werfen, "aber Kriminellen würde das Handwerk schon um einiges erschwert, wenn nicht nur die Authentifizierung mehrstufig gesichert wäre, sondern wenn in Europa die eine Hand wüsste, was die andere tut: Derzeit werden Fälschungen nur national gesperrt - ein grenzüberschreitender Abgleich der sogenannten Backlists fehlt. Was in Deutschland gesperrt ist, wird ggf. in Frankreich oder Slowenien als gültig ausgelesen. Dieses IT-Schlupfloch müssen wir dringend schließen und den europaweiten Rückruf möglich machen."

Beer fordert für die EU-Kommission ein zentrales Sperr-Register: "So könnten Mitgliedsstaaten jeweils auf national gelistete Fälschungen reagieren und im eigenen Land auch aus dem Verkehr ziehen. Damit würden wir europaweit nötige Schrauben anziehen in der Sicherheitsstruktur." Zudem fordert die Vizepräsidentin des Europa-Parlamentes ein EU-weit möglichst angeglichenes Sanktionsniveau.

Geschäft dürfte zunehmen

Nach Meinung von Experten wird der Handel mit betrügerischen digitalen Impfnachweisen weiter zunehmen. Denn viele Apotheker werden mittlerweile beim leisesten Verdacht skeptisch, wenn Impfbücher, die dubios erscheinen, in der Apotheke vorgelegt werden.

Eine Apothekerin erklärt, sie stelle gar keine digitalen Impfzertifikate mehr aus. "Fälschungen sind vor allem Dingen im Oktober und richtig viele jetzt im November aufgetreten. Wurde immer, immer mehr jeden Tag. Bis zum Schluss dann circa 80 Prozent der vorgelegten Impfpässe wirklich nicht mehr echt aussahen und sich auch nachweislich als Fälschung herausgestellt haben."

Über dieses Thema berichtete "report München" am 30. November 2021 ab 21:45 Uhr im Ersten.