Die Fake-Impfpässe werden beim Scannen als gültig anerkannt. imago/Christian Ohde

Der Handel mit gefälschten Impfnachweisen im Darknet boomt: Für rund 300 Euro werden mittlerweile dort gefälschte Impfzertifikate mit technisch gültigen Signaturen angeboten. Das Verheerende daran: Nach Einschätzungen von Experten könnten Ärzte und Apotheken selbst für den Schwarzhandel verantwortlich sein.

Fälscher gelangten an Verschlüsselungssystem in Arztpraxen

Möglicherweise sei es Unberechtigten gelungen, in Arztpraxen und Apotheken an die privaten Schlüssel für das Verschlüsselungssystem Fido zu gelangen, sagte Thomas Uhlemann von der Sicherheitsfirma Eset. Ob die Fälscher durch Sicherheitslücken an die Schlüssel gelangt sind oder Helfer das Schlüsselsystem an die Fälscher absichtlich weitergegeben haben, ist unklar.

Mit den Fake-Impfzertifikaten können Menschen, die nicht gegen Covid-19 geimpft wurden, dann einen scheinbar gültigen Impfpass auf dem Smartphone vorzeigen. „Die Signaturen dieser Schlüssel werden als gültig erkannt“, sagte Uhlemann. „Damit kann man beliebige Zertifikate für das jeweilige Land ausstellen.“

Neue Impfzertifikate einzige Lösung?

Sicherheitsexperte Rüdiger Trost von der Firma F-Secure erklärt: „Es gibt eigentlich nur eine saubere Lösung: Alle Impfzertifikate müssen zurückgezogen werden.“ Dann müsse allerdings jeder erneut in die Apotheke gehen und sich ein neues Zertifikat ausstellen lassen.

Die Fake-Zertifikate waren zuerst in Italien aufgetaucht. Dort stehen die Impfnachweise im Zentrum einer hitzig geführten politischen Debatte. Der „Grüne Pass“ – ein Corona-Pass mit ausdruckbaren oder digitalen Nachweisen einer Corona-Impfung – ist nach einem Beschluss der Regierung von Ministerpräsident Mario Draghi seit Mitte Oktober notwendig, um zur Arbeit gehen zu dürfen.

Fake-Impfpass in Italien bereits gestoppt

Der nun aufgetauchte Fake-Impfpass wurde aber nicht nur von dem System des italienischen „Grünen Passes“ als gültig angezeigt, sondern auch von der offiziellen deutschen App „CovPass Check“.

In Italien wurde die Gültigkeit der Schlüssel noch am Mittwoch zurückgezogen. Aktuelle Checks in Deutschland zeigten jedoch auch am Donnerstagnachmittag die volle Gültigkeit an. „Das kann verheerende Folgen haben, insbesondere wenn es schnell gehen muss“, warnte Uhlemann.

Bei Überprüfungen im öffentlichen Raum, wie etwa am Flughafen oder der Einlasskontrolle von Clubs, werde in der Praxis „selten bis nie der Personalausweis von der zeigenden Person verlangt“. Stattdessen wird sich darauf verlassen, dass das scannende Gerät „Zertifikat gültig“ anzeigt.