Studie: Großes Angebot an gefälschten Impfzertifikaten im Darknet

Viele der im Dark Web feilgebotenen Covid-Impfnachweise sind ungültig, haben Forscher herausgefunden. Einige – auch aus der EU – ließen sich aber verifizieren.

Lesezeit: 5 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 621 Beiträge

(Bild: MikeDotta/Shutterstock.com)

Von
  • Stefan Krempl

Anbieter im Darknet haben sehr schnell den weltweiten Bedarf an Impfstoffen gegen Covid-19 und zugehörige Nachweise über erfolgte Immunisierungen erkannt. Es ist ihnen gelungen, einen neuen Untergrundmarkt für den Handel mit digitalen Impfnachweisen aus dem Boden zu stampfen, der unter anderem das Covid-Zertifikat der EU unterwandert. Zu dieser Schlussfolgerung kommen vier dänische IT-Sicherheitsforscher in einer jetzt veröffentlichten Studie.

Bei der Untersuchung handelt es sich um ein sogenanntes Preprint. Andere Wissenschaftler haben die Ergebnisse also noch nicht überprüft. Laut der Analyse nutzen entsprechende Darkweb-Händler im großen Stil "das mangelnde Vertrauen eines Teils der Weltbevölkerung" in die verfügbaren Impfstoffe gegen Covid-19 sowie den Unmut einiger Betroffener über die Corona-Einschränkungen für Ungeimpfte aus.

Das Team der Cybersicherheitsgruppe der Universität Aalborg in Kopenhagen überprüfte die Angebote von Impfnachweisen auf 17 Marktplätzen und zehn kleineren Verkaufsstellen auf Darknet-Plattformen. "Es ist uns gelungen, eine Reihe von Zertifikaten zu entdecken, die wir verifizieren können", schreiben die Autoren. Dies werfe die Frage auf, ob mutwillige Personen Zugang zu staatlichen Gesundheitssystemen hätten, die solche Nachweise ausstellen. Mindestens ein Anbieter habe offenbar in Italien registrierte digitale EU-Covid-Zertifikate verkauft. Diese wurden von Prüf-Apps aus Frankreich und Dänemark als gültig anerkannt.

Viele der Anbieter behaupten laut der Analyse, die Zertifikatssysteme quasi aus der Ferne gehackt zu haben oder über Insider zu verfügen, die in einer Gesundheitseinrichtung wie einem Impfzentrum oder in Apotheken arbeiten und deren Schnittstellen missbrauchen. Nicht immer sei dies nachvollziehbar: Oft handle es sich um reine, ungültige Fakes und damit um doppelten Betrug.

In einem konkreten Fall eines Angebots auf dem russischen Marktplatz Hydra seien in der Beschreibung aber sogar "der genaue Standort und das Krankenhaus" bezeichnet gewesen, "von dem aus auf das System zugegriffen wurde", führen die Forscher aus. Eine andere Möglichkeit sei, dass Kriminelle einen oder mehrere private Schlüssel für das europäische System gestohlen haben, die an die angeschlossenen Gesundheitseinrichtungen ausgegeben wurden. Dann wäre es schwierig, diese Schlüssel zu widerrufen, da dadurch auch eine große Anzahl legitimer Zertifikate ungültig würde.

Im offenen Teil des Internets, im Darknet sowie auf Telegram sind bereits wiederholt gefälschte Impfzertifikate aufgetaucht, die teils auf Micky Maus, SpongeBob oder gar auf Adolf Hitler ausgestellt wurden. Das Schweizer Bundesamt für Informatik und Telekommunikation (BIT) erklärte Ende Oktober, dass es solche Nachweise inzwischen im Rahmen einer Online-Überprüfung sperren könne. Die elektronische Signatur der Schweizer Covid-Zertifikate sei fälschungssicher. Um systematisch gegen Fake-Nachweise vorzugehen, sei es aber wichtig, dass betroffene Staaten die entsprechenden Signaturschlüssel von der EU-Trust-Liste entfernen ließen.

Auch das hiesige Bundesgesundheitsministerium soll inzwischen eine Sperrlösung gefunden haben. Beide Behörden halten sich bedeckt rund um die Funktionsweise der eingesetzten Methode.

Laut der neuen Studie konzentrieren sich die Offerten vor allem auf europäische Länder und die USA, wo einzelne Bundesstaaten auf Covid-Zertifikate setzen. Es gebe aber auch Angebote etwa für Brasilien, Kanada, Mexiko, Australien und Russland. Die Preise variierten stark, wobei das billigste Zertifikat bei 39 US-Dollar gestartet sei und das teuerste mit fast 2800 US-Dollar zu Buche geschlagen habe. Letzteres habe sowohl einen physischen als auch einen digitalen Nachweis umfasst, der in Großbritannien registriert worden sei. Zumindest ein einschlägiger Untergrund-Shop habe in einem Video drei spezifische QR-Codes gezeigt und auf bereits über 1700 Verkäufe verwiesen.

Die meisten Märkte akzeptieren den Verfassern zufolge die Kryptowährungen Bitcoin und Monero. Eine kleinere Anzahl nehme auch Ethereum, Cardano, Litecoin und Zcash an. Die Wissenschaftler hoffen, mit den Resultaten das Bewusstsein für die vorgefundene Situation schärfen zu können. Die zuständigen Behörden sollten die Sicherheit der derzeitigen Systeme zur Ausstellung von Impfnachweisen weiter untersuchen.

Hierzulande hatte das Landgericht Osnabrück Anfang November eine Strafbarkeitslücke gefunden. Wer in einer Apotheke einen gefälschten Impfausweis vorlegte, um ein digitales Impfzertifikat zu bekommen, machte sich demnach nicht strafbar, meinten die Richter. Die Ampel-Fraktionen verständigten sich in Folge darauf, das Strafgesetzbuch nachzubessern. In der Gesetzesbegründung heißt es, dass Gesundheitszeugnisse wie Impfpässe in aller Regel Urkunden seien. Damit kommt der Straftatbestand der Urkundenfälschung zur Anwendung. Es drohen bis zu fünf Jahre Haft. Strafbar macht sich auch, wer Blanko-Impfpässe mit unrichtigen Eintragungen bestückt und eine Fälschung vorbereitet.

(bme)