Wer will, findet im Internet zig gefälschte Impfpässe. Diese lassen sich auf den eigenen Namen ausstellen – und erlauben den Zutritt zum öffentlichen Leben, wenn gerade kein Lockdown ist. Allerdings liegt der digitalen Bestätigung ein QR-Code bei – und der lässt sich nicht so leicht fingieren. Im Regelfall fliegen die Fälschungen also spätestens bei einem Scan auf.

Es sei denn, jemand hatte Zugriff auf die Zertifizierungsstellen der EU, über die die Codes verifiziert werden. Forscher der Universität Aalborg in Kopenhagen haben derartige Angebote im Darknet genauer unter die Lupe genommen. Dabei fanden sie heraus, dass sich unter den Fake-Zertifikaten auch solche Fälschungen befinden, die sich validieren lassen – die also einem Scan standhalten.

Wurden private Schlüssel entwendet?

Derartige Zertifikate geistern schon seit Monaten durch das Netz. Die EU konnte das Problem aber offensichtlich noch nicht lösen. Wie die Pässe entstehen konnten, bleibt ebenso unklar. Die Autoren des Papiers mutmaßen, dass es im Gesundheitswesen eine Person geben könnte, die den Betrügern hilft – etwa bei Zertifikaten aus Italien, die von französischen und dänischen Apps für gültig erklärt werden.

Die große Befürchtung der Behörden ist, dass die privaten Schlüssel zur Ausgabe der Zertifikate entwendet wurden. Sollte das tatsächlich geschehen sein, würde das bedeuten, dass diese widerrufen werden müssten. Und das hätte wiederum zur Folge, dass sämtliche Zertifikate des jeweiligen Landes nicht mehr gültig sind. Aktuell setze man auf Sperrmaßnahmen, will aber keine Details bekanntgeben. (red, 6.12.2021)