Fake-Zertifikate: Wie Adolf Hitler zu seinem Impfzertifikat kam

https://blog.wdr.de/digitalistan/fake-zertifikate-wie-adolf-hitler-zu-seinem-impfzertifikat-kam/

Fake-Zertifikate: Wie Adolf Hitler zu seinem Impfzertifikat kam

Kommentare zum Artikel: 18

Als die digitalen Impfzertifikate Anfang des Jahres eingeführt wurden, hieß es aus der Politik: Die digitalen Zertifikate sind sicher! Moderne digitale Technologie mache das Fälschen der Zertifikate nahezu unmöglich. Es sei denn – und das gilt damals wie heute –, jemand mit genügend krimineller Energie stellt die Zertifikate in einem Impfzentrum oder bei einem Arzt aus. Das allerdings wäre dann nicht ohne Risiko und definitiv eine Straftat.

In der CovPass App ist das Impfzertifikat dann zu sehen; Rechte: WDR/Schieb

Impfzertifikat lässt sich in der CovPass App oder in der Corona App hinterlegen

Immer mehr Fake-Zertifikate in Umlauf

Nun, etliche Monate später, kursieren jede Menge Fake-Zertifikate. Ein gefälschtes Impfzertifikat ist sogar auf “Adolf Hitler” ausgestellt. Ausgestellt in Italien – technisch gesehen korrekt und deshalb europaweit gültig. Unklar ist, ob für das Fake-Zertifikat der geheime Digitalschlüssel einer Ausgabestelle entwendet wurde oder ob es möglicherweise sogar gelungen ist, den QR-Code ohne solche Hilfsmittel zu fälschen.

Die Betrüger fühlen sich derart sicher, dass sie ihre Zertifikate auf Micky Maus, Spongebob oder andere Fantasienamen ausstellen. Das ist keine Fingerübung, sondern ein einträgliches Geschäft geworden. Wie die NZZ jüngst berichtet, tauchen seit der Einführung des Covid-Zertifikats im Internet, im Darknet oder auf Telegram immer häufige suspekte Angebote für gefälschte Impfzertifikate auf. Ein riesiger Schwarzmarkt ist entstanden. Denn durch 2G und 3G wächst der Bedarf nach virtuellen Eintrittskarten.

Besonders brisant: Offenbar gibt es offene Web-Interfaces des Gesundheitsamts Nordmazedonien. Hier lässt sich offensichtlich mit geringem Aufwand ein gültiges Zertifikat erzeugen, das auch bei uns gültig ist. Die dortigen Behörden haben bislang nicht reagiert.

Es mangelt an ernsthafter Überprüfung

Theoretisch wäre das alles noch nicht so tragisch, würden die QR-Codes auch wirklich gewissenhaft überprüft. Die Realität sieht allerdings anders aus: Meist schauen sich Mitarbeiter an den Zugangstüren die Details des Zertifikats kurz an: Handelt es sich um eine zweite Impfung? Wenn ja: Alles gut.

Ob der QR-Code echt ist, wird in Deutschland nach meiner Erfahrung praktisch nie überprüft. Dabei würde ein einfacher Scan des QR-Codes mit einem Smartphone oder einem geeigneten Gerät reichen: In Sekundenbruchteilen stünde fest, ob es sich wenigstens um ein gültiges Zertifikat handelt. Doch diese Mühe macht sich kaum jemand. Ich persönlich habe es nur in Italien und in Frankreich erlebt, dass die QR-Codes gescannt werden. Im Hotel, bei der Bahn, in Restaurants. Warum nicht auch bei uns? Das wäre eine wichtige Sicherheitsmaßnahme.

Der "Green Pass" lässt sich viel zu leicht fälschen; Rechte: WDR/Schieb

Der “Green Pass” lässt sich viel zu leicht fälschen

Auch kein Ausweis-Check

Das allein würde allerdings noch nicht verhindern, dass jemand einfach den gültigen QR-Code eines Familienmitglieds oder Freundes präsentiert – oder einen QR-Code, der auf Telegram für einige Euro gekauft wurde. Dafür wäre es notwendig, eine ernsthafte Überprüfung vorzunehmen: Stimmt der Name auf dem Zertifikat mit dem präsentierten Ausweis überein?

Das war eigentlich die Idee. Wird aber – aus nachvollziehbarer Bequemlichkeit – viel zu selten gemacht. Das ist kein Problem des Zertifikats, sondern im Umgang damit. Ein Fehler im System.

Angesichts wieder steigender Infektionszahlen sollten bei 2G und 3G die QR-Codes auf Gültigkeit überprüft und die Personalien überprüft werden. Anderenfalls ist das Impfzertifikat wertlos. Es ist Aufgabe des Staates, den rechtlichen Rahmen zu schaffen, damit ein digitales Impfzertifikat auch seinen Sinn und Zweck erfüllt. Wozu haben wir einen QR-Code, wenn in der Regel nur geprüft wird, ob in der Beschreibung die zweite Impfung erwähnt ist?

So ist das mit der Digitalisierung nicht gemeint.

Apotheken stellen das offizielle Zertifikat aus

Über den Autor

Jörg Schieb ist Internetexperte und Netzkenner der ARD. Im WDR arbeitet er trimedial: für WDR Fernsehen, WDR Hörfunk und WDR.de. In seiner Sendung "Angeklickt" in der Aktuellen Stunde berichtet er seit 20 Jahren jede Woche über Netzthemen – immer mit Leidenschaft und leicht verständlich.

18 Kommentare

  1. Christopher T am

    Ich arbeite in einer gehobenen Bar in Berlin. Wir kontrollieren von Anfang an relativ penibel, mussten jedoch selbst nochmal nachschärfen. Am Anfang haben wir uns einfach alles recht genau angeschaut. Das war zu 3G-Zeiten. Gibt es ein Test-/Impfzertifikat, passen die zeitlichen Daten und schaut es alles korrekt aus.
    Als wir auf das 2G-Modell umgestiegen sind, haben wir gemerkt: “Es muss genauer kontrolliert wird!”
    Gäste schicken sich Impfzertifikate rüber und z.B. bei einer 5er-Gruppe sind 2 mit gleichem Namen dabei oder ähnliches.
    Mittlerweile sind wir dazu übergegangen mit der CovPass-Check App die QR-Codes zu scannen. Jedoch scheint die App nicht alle QR-Codes lesen zu können, womit einige Scans als nicht gültig angezeigt werden, vorallem bei paneuropäischen Gästen. Von den US-Impfcards ganz zu schweigen, was nur ein kleiner Zettel mit Aufklebern und Unterschriften sind. Dahingegen ist jedes Impfbuch sicherer. Problematik ist da wiederum, dass Amerikaner mit dieser Karte in Deutschland einreisen können, jedoch nicht in eine Bar dürfen. Versuchen Sie das mal dem Gast zu erklären.

  2. Bei mir wurde bisher erst zwei Mal sehr gründlich geprüft, inkl. Onlineprüfung. Ansonsten mehr oder weniger oberflächlich oder gar nicht.

  3. Hansjörg am

    Lieber WDR,
    wenn man sich viel Mühe macht, möchte man auch dass nach zwei Tagen “Prüfung” der Kommentar endlich veröffentlich wird. Er war weder volksverhetzend, beleidigend noch impfkritisch. Ich versuche es jetzt noch einmal mit etwas anderem, aber deutlich kürzer.

    Ich bin im Juni Johnson&Johnson geimpft. Da gab es die Codes noch nicht, da war man froh über den Pieks. Am Mittwoch habe ich mir den Boostern geholt, den man jetzt mit Johnson&Johnson vier Wochen später bekommen kann. Ich war am Impfbus des lokalen Kreises. Ich fragte – wie viele andere – auch nach dem Erhalt des QR-Codes. Antwort: “Können wir nicht. Die Kassenärztliche Vereinigung ist nicht mehr im Boot und wir als Kreis können das technisch noch nicht.” Das “noch” war über einen Monat nach dem Ende des Impfens im Impfzentrum durch die Kassenärztliche Vereinigung. Das “noch” war auch zehn/elf Monate nach dem Beginn des Impfens. Journalisten/Politiker fordern gegen Fälschen des Papiers vorzugehen und von der Privatwirtschaft den Ausweis gründlich zu scannen. Aha. Beim Impfen durch den “Kreis Unna” – also den Staat – hat man die unmittelbare Kontrolle über die Echtheit des Pieks. Aber man kann als Staat den QR-Code nicht erzeugen. Wenn der Staat also etwas über die Fälschungen sagt, dann soll er selber erstmal bei sich beginnen. Ich müßte jetzt nämlich zur Apotheke mit dem gelben Ausweis. Die fragen sich vielleicht auch, warum der Kreis Unna nach zehn/elf Monaten Impfen nicht den Code selber erzeugt und ob mein Ausweis falsch ist. Eventuell kommt dann – wie schon oft zu lesen – die Polizei zur Hausdurchsuchung und beschlagnahmt Rechner und Handy. Da man ja in Deutschland bekannterweise sehr schnell beim Durchsuchen aber langsam beim Auswerten ist, wartet man als Bürger dann monatelang auf seine Sachen. Irgendwie gibt es da beim Kontrollieren auch andere Defizite als das Fehlen der Ausweiskontrolle. Bei mir kann man bislang nämlich nur auf das “Gelbe Heft” schauen. Da kann man dreimal auf den Personalausweise schauen, eine Fälschung des Papierheftes fällt in Eile außerhalb der Apotheke wohl kaum auf. Deshalb hat der Artikel einige Aspekte nicht ganz beleuchtet.

    Viele Grüße

  4. Detlev Wulf am

    Öffentlich zugängliche Zahlen den Statistischen Bundesamtes belegen bei korrekter Interpretation (Berücksichtigung der Bevölkerungsstruktur, Alter, Anzahl usw.) daß wir in 2020 keine Übersterblichkeit, sondern sogar eine Untersterblichkeit von 2,4% hatten.
    Daraus folgt:

    1. es gibt kein Übersterblichkeit
    2. es gibt keine Pandemie
    3. alle “Pandemie”-Maßnahmen sind rechtswidrig

    Es gibt mindestens 46 Studien die beweisen, daß Masken nicht vor Covid schützen.
    Der PCR-Test ist seinem Entdecker zufolge ungeeignet, um Covid nachzuweisen.
    Staaten ohne “Pandemie” Maßnahmen, haben oft sogar weniger Covid Infekte.
    Die Impfungen enthalten oft hochgiftige Inhaltsstoffe wie Quecksilber, Aluminium
    und vor allem Graphenoxid, welches nach meiner Information Blutverklumpungen bewirkt und zu Thrombosen, Embolien, Herzinfakten, Schlaganfällen und Tumoren führen kann. Es gibt Hunderttausende Imfschäden, und das ist nur die Spitze des Eisberges. All das kann man mit wenig Aufwand selbst recherchieren und bestätigen.
    Neuste Studien besagen, daß die Impfung gefährlicher ist, als die Krankheit selbst.
    Nach Auffassung hochkompetenter Virologen ist mit vielen Millionen Toten durch die Imfungen zu rechnen. Und die verstehen von der Materie etwas mehr, als Bankkaufleute oder Tierärzte. Leider kommen die in der Tagesschau nicht zu Wort. Und da muß man schon fragen, warum die Tagesschau derart einseitig berichtet. Viele sind der Meinung, daß die Tagesschau damit Verbrechen gegen die Menschlichkeit unterstützt und fördert.

  5. Hallo Herr Schieb, alles richtig: Die Validierung der Daten aus dem Impfzertifikat muss zwingend über ein gültiges Ausweisdokument erfolgen, wenn man ein Höchstmaß an Sicherheit gewährleisten will. Wir machen dazu gerade mehrere Feldtests: Unsere Ausweisscanner, die für internationale Grenzkontrollen eingesetzt werden, können natürlich auch QR Codes lesen. Das liegt daran, dass auf bestimmten Ausweisdokumenten, zum Beispiel auf amerikanischen Führerscheinen, Daten in Barcodes gespeichert werden. Wir bringen diesen Geräten also nun lediglich bei, zuerst den QR Code des Impfzertifikats zu prüfen, dann das Ausweisdokument und schließlich bestimmte Elemente beider Datenquellen zu vergleichen. Bei Übereinstimmung wechseln die LED der Geräte auf grün, bei Abweichungen auf rot. Aktuell dauert dieser Vorgang zwischen 6 und 8 Sekunden. Bewährte Technologie, geringe Fehleranfälligkeit (im Vergleich zu manuellen Sichtprüfung), alles prima. Problematisch ist aktuell lediglich die Akzeptanz für 6-8 Sekunden Wartezeit …
    Lassen Sie mich wissen, wenn Sie sich das anschauen wollen.

  6. Ablauforganisator am

    Digitalisierung ist Mittel zum Zweck, nicht Selbstzweck und irgendwann ist das eigentliche Problem vergessen warum man eigentlich was macht.

    Der eigentliche Zweck ist Schutz der Allgemeinheit. Da ist 2G Quatsch, stellt sogar selbst eine eigene Gefahr dar „weil die Leute dann auf Veranstaltungen sind und denken, jetzt kann mir garnichts mehr passieren“ wie es Marco Buschmann (FDP) bei Anne Will sagte und genau das zeigen 2G-Superspreader-Events. Auch die Immunabwehr spielt fast keine Rolle und da widerspreche ich auch @St.Schloemer; Immunabwehr hilft gegen Krankheitskeime, ist man selbst ohne Symptome ist man auch weniger infektiös aber das ändert nicht viel. Abstand ist maßgebend; bei ausreichend Abstand braucht man weder Maske noch Impfung weil einem die Viren nicht erreichen. Jetzt soll Abstand fallen und das ist immer ein Risiko, egal ob Geimpft, Genesen oder Genervt; nur die Wahrscheinlichkeit ist etwas anders.
    Vorschlag:
    kurz billiger Spucktest kostenlos auch bei wenig Genauigkeit und vor allem Eigenverantwortung ob man Abstand halten will oder nicht und junge Menschen können diese Risiken eingehen.

    Wir sind noch nicht in Digistalistan weil schon das eigentliche Problem zweifelhaft ist, zumindest höchst umstritten. Angenommen, man braucht zuverlässige Einlasskontrolle; geht auch mit banalen Impfausweis zusammen mit dem Personalausweis. Egal wie sicher der QR-Code aus Digistalistan selbst ist, ohne Abgleich mit der Person ist das alles ohne Bedeutung. Es ist ohnehin alles mehr ein Witz wenn man mit Maske vor dem Türsteher ankommt. So oder so, 100% sicher ist gar nichts aber wenn es wirklich von Bedeutung ist sollte man Abläufe sicherer gestalten. 99% hohe Sicherheit mit hohen Aufwand im weiteren Ablauf sind sinnlos wenn man schon über den ersten Schritt stolpert. @„So ist Digitalisierung nicht gemeint.“ Zustimmung, man muss immer das Ganze im Auge behalten und digitaler Krempel egal ob gut oder schlecht ist immer nur ein Teil vom Ganzen im echten Leben.

    • Ihrem o.g. Vorschlag stimme ich zu. Impfen, Abstand/Maske und (kostenloses) Schnelltesten vor Ort sollte das Motto sein, um brauchbare Zahlen zu erhalten und halbwegs sichere Aktivitäten, wer sie denn unbedingt braucht, zu ermöglichen. Allerdings hat man sich nun wohl schwerpunktmäßig für das “Boostern” (dritte, vierte, fünfte … x-te? Nachimpfung) entschieden. Und so stolpern wir, wie z.B. die Niederlande (trotz 80 %-Impfquote), in den nächsten Lockdown. :( Auch die Vögel, deren Zertifikate auf Micky, Adolf oder Schwammkopf ausgestellt sind.

  7. St.Schloemer am

    Statt zu prüfen, ob jemand geimpft wurde (ohne zu prüfen, wie lange das nun her ist), sollte statt dessen die Immunabwehr- Kraft überprüft und hierüber ein Zertifikat ausgestellt werden. Ob jemand 2,3 oder viermal geimpft wurde, irgendwann mal infiziert wurde und irgendwie genesen ist oder nichts von alledem hatte, ist doch gar nicht relevant wenn es um SEINE Erkrankung und SEINE Infektiösität geht. Geimpfte können genauso ansteckend sein, wie Genesene.
    Und der ganze Organisationsaufwand für Impfpässe aller Art ist doch im Endeffekt nur ein Alibi für die Handelnden, Maßnahmen ergriffen und befolgt zu haben.
    Bei zwei Dritteln Geimpfter muss man eine Inzidenz zwischen 100 und 300 doch als K.o.-Argument für die Kampagne werten!

    • Jörg Schieb am

      Da möchte ich widersprechen. Geimpfte sind selten bis nie „genauso ansteckend wie Ungeimpfte“. Das ist hinreichend widerlegt. Die Virenlast ist selbst bei einem Infekt idR deutlich niedriger. Die Imminkraft kann auxj variieren und lässt sixh nur im Serum nachweisen.

      • Johann Moritz am

        Es gibt aber schon zu denken, daß wir nun mit 66+% durchgeimpfter Bevölkerung und ohne kostenlose Tests (also insgesamt weniger Tests) mehr neu Infizierte als je zuvor hatten und die Inzidenz viel früher viel höher als letztes Jahr ist. Das können doch nicht alles unvorsichtige Ungeimpfte sein. Eher unvorsichtige Geimpfte, die aufgrund ihrer Impfung meinen, nun immun gegen Covidviren zu sein, was ja nie behauptet wurde. Und daher sehen wir leider auch bei 2G-Veranstaltungen immer wieder massive Ausbrüche.

      • Thomas E. am

        …Quellen oder Belege? Die wissenschaftlichen Publikationen dazu beschreiben, dass es leider nicht so ist wie Sie behaupten.
        Infizierte Geimpfte und Ungeimpfte sind gleichermaßen ansteckend.

    • Wie ist das Verhältnis zu Stochastik ?

      Niemand behauptet eine Impfung gibt 100% Schutz. Niemand behauptet eine Impfung wirkt für einen 20 jährigen, genauso gut wie für einen 80 jährigen.

      Wenn man sich jetzt nur ein wenig mit Stochastik auskennt, der wird einen deutlichen Schutzeffekt der Impfung erkennen. Somit auch die Sinnhaftigkeit Maßnahmen auf Impfzertifikate zu basieren. Ferner das Aussagen wie die obige Haltlos ist.

  8. War nach über zwei Jahren wieder einmal im Kino . Am Eingang stand eine unbeholfe Mitarbeiterin des Kinos und schaute nur kurz auf den QR Code von mir und sagte : Sie können weiter gehen. Es hätte ein Screenshot von meiner Tochter sein können oder auch nur ein Foto davon …..

      • In Deutschland wird das alles zu lasch gehandhabt. Brauchte auch noch nie meinen Ausweis vorzeigen. Wundert mich nicht , dass die Zahlen hochgehen. Ich weiß wovon ich rede. Bin leider betroffen, trotz doppelter Impfung. Deshalb macht mich das stocksauer.

        • Na super Idee ein richtiger Überwachungsstaat. Wer nicht im Gleichschritt mitmacht wird ?……..
          Gehts noch ?

      • Kann ich für die Clubs in Köln nicht bestätigen.
        In denen ich bis jetzt war,müsste immer der Ausweis gezeigt werden,der mit dem gescannten Code abgeglichen wurde. Bis jetzt 4 verschiedene.

      • Ich bin selten auswärts unterwegs, aber es schwankt wirklich zwischen “wird gescannt, aber ohne Ausweisvergleich”, “Ausweis wird verlangt aber nicht gescannt”, “nur gucken”, oder gleich voll darauf vertrauen dass der Eintretende die Schilder am Eingang gelesen und verstanden hat, und gar nichts kontrollieren. Und auf der anderen Seite kriegt man dann mit, dass es nicht reicht, wenn einer am Tisch sich in Luca einbucht, sondern es müssen alle sein. Also ausgerechnet da, wo man drauf vertrauen kann, dass sich die Leute untereinander kennen und dann auch gegenseitig informieren würden, wenn was wäre, wird schärfer kontrolliert als da, wo’s Sinn macht.
         
        Screenshot geht ja zumindest bei Android mit CovPass nicht, die App verhindert das. Allerdings könnte man auch einfach ein anderes Telefon oder Zertifikat (man kann ja mehrere Zertifikate in die App laden!) herzeigen.
        Da ist definitiv noch Spielraum für Verbesserungen.
        Und wenn man schon Digitalisierung ins Spiel bringen möchte: hier wäre doch ein Abgleich mit dem Personalausweis problemlos kontaktlos elektronisch möglich (sofern aktiviert)… Scanner, Kartenleser, fertig.

Fehler beim Kommentieren

Ihr Kommentar konnte aus folgenden Gründen nicht abgeschickt werden:

  • Es gab einen kritischen Fehler auf deiner Website.

    Erfahre mehr über die Problembehandlung in WordPress.

  • Top