Für 300 Euro sind auf dem Schwarzmarkt in Frankreich gefälschte Impfbescheinigungen auf Basis des Covid-Zertifikats der EU zu bekommen. Dies meldet das Online-Portal "France Inter" unter Berufung auf einen 31-jährigen Erzieher, der sich so per Barbezahlung einen der begehrten QR-Codes zum Nachweis eines gültigen Impfschutzes gegen Covid-19 bei einem über Bekannte von Bekannten eingefädelten konspirativen Treffen gekauft haben soll. Die EU-Kommission hält das Instrument trotzdem für "vollkommen sicher".

Nicolas Baudelot, Mitgründer der häuslichen Pflegeplattform Medicalib, erläuterte das Prinzip hinter dem Täuschungsmanöver laut dem Bericht so: Ein Vermittler überbringt die für das Zertifikat benötigten persönlichen Daten an einen Angehörigen der Gesundheitsberufe wie einen Arzt, Apotheker, eine Krankenschwester oder Pfleger, der persönlichen Zugang zur nationalen Impfplattform hat. Dieser gibt die Informationen über seinen Rechner so ein, als ob er die betreffende Person gerade geimpft hätte. Fertig ist das nicht-authentische Zertifikat.

Impfstoff im Müll

Manchmal werde sogar extra eine Impfstoffdosis in den Müll geworfen, damit die Bestände mit der Zahl der angeblich geimpften Personen übereinstimmten, heißt es weiter. Der generierte QR-Code sei "echt", auch wenn damit eine falsche Aussage gemacht werde. Das ausdruckbare und einscannbare Signet sei von Ameli, der zuständigen französischen Zertifizierungsinstanz, validiert worden. Der Betrug lasse sich so im zweiten Gang nicht mehr nachweisen.

In Frankreich soll der Impfnachweis in Form des sogenannten "pass sanitaire" für Berufsgruppen wie Lehrer und Ausbilder verpflichtend werden. Diese Auflage treibt dem Bericht nach viele Impfgegner in die Hände von Betrügern. Ein schlechtes Gewissen hätten sie meist nicht, da die einschlägigen Vakzine nicht vor einer Ansteckung mit dem Coronavirus, sondern nur vor einem schweren Verlauf der davon ausgelösten Krankheit schützten.

Fälschungsgefahr auch in Deutschland?

Zuvor hatte es auch hierzulande Meldungen gegeben, wonach sich der EU-weite digitale Nachweis über eine Impfung recht einfach fälschen lässt und es Lücken in der Sicherheitskette gibt. Damals ging es vor allem darum, dass bereits frühzeitig Geimpfte den Eintrag aus ihrem herkömmlichen, gelben Impfpass etwa in Arztpraxen, Apotheken oder einem Impfzentrum ohne Verifikation auf das Covid-Zertifikat übertragen lassen konnten. Der "analoge" Nachweis im bisherigen Impfbuch sei mit überschaubarem Aufwand fälschbar, lautete die Befürchtung über einen anderen Ansatzpunkt für Betrug. Der Chaos Computer Club (CCC) machte das Bundesgesundheitsministerium für die Lücke verantwortlich.

Die EU-Kommission hatte die zunächst als "grünes digitales Zertifikat" betitelte Bescheinigung im März ins Spiel gebracht, um vor allem das Reisen innerhalb der Gemeinschaft zu erleichtern. Sie soll belegen, dass die Inhaber gegen das Coronavirus geimpft, genesen oder negativ getestet sind. Ende August twitterte die Kommission, dass bereits über 350 Millionen Covid-Zertifikate ausgestellt worden seien.

Zertifikate nicht fälschbar

Die neuen Berichte über Fälschungen habe man zur Kenntnis genommen und nehme die Angelegenheit "sehr ernst", erklärte ein Kommissionssprecher nun gegenüber dem Online-Magazin "Euractiv". Gegebenenfalls würden geeignete Maßnahmen ergriffen. Auch Europol verfolge das Thema des pandemiebezogenen Betrugs von Anfang an.

Zugleich betonte der Sprecher: "Es ist wichtig, zwischen der Sicherheit des digitalen EU-Covid-Zertifikats und der möglichen Fälschung von Impfbescheinigungen zu unterscheiden, die zur Erstellung des sicheren digitalen EU-Covid-Zertifikats verwendet werden." Der QR-Code selbst enthalte Sicherheitsmerkmale, die "nicht gefälscht werden" könnten. Die digitale Signatur des Strichcodes mit kryptografischen Schlüsseln trage dazu bei, "dass die Authentizität, Integrität und Gültigkeit der Zertifikate überprüfbar sind".

"Vertrauenskette" soll gegen Betrug helfen

Der Vertrauensrahmen, der die Infrastruktur für die zuverlässige und sichere Ausstellung und Überprüfung der digitalen Zertifikate bilde, beruhe auf einer Public-Key-Infrastruktur, lautet die Erklärung aus Brüssel. Dazu gebe es eine "Vertrauenskette" von den Gesundheitsbehörden oder vertrauenswürdigen Ämtern der Mitgliedstaaten zu den einzelnen Stellen, die die EU-Bescheinigungen ausstellten. Diese Struktur ermögliche "die Aufdeckung von Betrug, insbesondere von Fälschungen durch eine Person in der Vertrauenskette mithilfe einer geeigneten Anwendung".

Es sei aber "sehr wichtig, dass die Mitgliedstaaten robuste Kontrollen und Verfahren an den Stellen einrichten, an denen Zertifikate generiert werden", unterstrich der Sprecher. Nur so könnten die Behörden sicherstellen, dass die Ausstellung "gut geschützt ist". Jeder genutzte Impfnachweis müsse ordnungsgemäß überprüft werden.

(axk)