Covid-Zertifikate gefälscht

Adolf Hitler hat einen gültigen europäischen Impfnachweis

Uhr
von Coen Kaat und san

Im Internet sind gefälschte Covid-Zertifikate mit gültigen QR-Codes aufgetaucht. Die Impfpässe tragen französische oder polnische Signaturen. Eine Lösung für das Problem besteht bereits - doch steht diese auf wackligen Beinen.

(Source: Alliance/AdobeStock.com)
(Source: Alliance/AdobeStock.com)

In Internetforen bieten Unbekannte an, gültige Covid-19-Impfpässe zu erstellen. Um zu beweisen, dass die Pässe funktionieren, lieferten die Unbekannten sogleich einen Screenshot mit. Dieser zeigt einen Impfpass mit einem gültigen QR-Code, der auf den Namen Adolf Hitler ausgestellt wurde, wie der russische Cybersecurity-Anbieter Kaspersky mitteilt.

Wie Golem berichtet, trägt das Zertifikat eine gültige Signatur der französischen Sozialversicherungsbehörde CNAM (Caisse Nationale de l'Assurance Maladie). Diese ist in Frankreich für die Ausstellung digitaler Impfnachweise zuständig. Eine Analyse von Kaspersky zeigt, dass auch eine polnische Zertifikatsstelle kompromittiert wurde.

Der Anbieter wird aufgefordert, ein gültiges Zertifikat für Adolf Hitler auszustellen ... (Source: Kaspersky)

... was dieser auch prompt macht. (Source: Kaspersky)

Wie die falschen Zertifikate an echte Codes kommen konnten, ist derzeit noch nicht bekannt. Möglich wäre, dass die privaten Schlüssel der Behörde in unbefugte Hände gelangt sind, mutmasst Golem. Ferner sei es auch denkbar, dass die gefälschten Zertifikate von Mitarbeitenden in Apotheken oder von anderen Stellen, die Zertifikate aushändigen, erstellt wurden.

Zertifikat zurückgezogen - teilweise weiterhin gültig

Gemäss dem Bericht wurde das Zertifikat unterdessen zurückgezogen. Da nicht alle Prüf-Apps kontrollieren, ob ein Impfpass zurückgezogen wurde, zeigen gewisse Apps das Zertifikat weiterhin als gültig an. Darunter etwa die deutsche CovPassCheck-App des Robert-Koch-Instituts.

"Dies ist besorgniserregend, da es so unmöglich wird, zwischen legitimen Green Passes und solchen zu unterscheiden, die durch die geleakten Schlüssel generiert wurden", lässt sich Giampaolo Dedola, Sicherheitsexperte im Global Research and Analysis Team bei Kaspersky, in der Mitteilung des Unternehmens zitieren.

Es sei zwar möglich, Zertifikatsschlüssel zu widerrufen. Doch habe dies "weitreichendere Konsequenzen für die Gesellschaft und die Sicherheit", sagt Dedola. "Daher ist es wichtig, Monitoring- und Sicherheitsmassnahmen zu verbessern, um alle Infrastrukturgeräte vor externen Cyberangriffen zu schützen, Missbrauch zu verhindern und aufzudecken."

Problem gelöst - irgendwie

Das deutsche Gesundheitsministerium will bereits eine Lösung gefunden haben, um alle gefälschten Zertifikate sperren zu können. "Ich bitte aber um Verständnis, dass wir die Details des Sperrverfahrens nicht öffentlich kommunizieren können, um eventuellen Nachahmern keine Möglichkeit zu geben, unsere Sicherheitsmechanismen auszunutzen", teilte das Ministerium gegenüber Golem mit.

"Security by Obscurity" also: Die Sicherheit besteht darin, dass niemand (aktuell) weiss, wie man die Massnahmen umgeht. Eine Strategie, die beim deutschen IT-Magazin auf wenig Begeisterung stösst. Eine derartige Vorgehensweise gelte als unseriös, denn sie erschwere eine unabhängige Prüfung, heisst es im Bericht.

Auch die Schweizer Covid-Zertifikats-App ist nicht über alle technischen Zweifel erhaben. Ein Programmierfehler ermöglicht etwa, abgelaufene Zertifikate weiterhin als gültig anzeigen zu lassen. Allerdings nur bei einer unsachgemässen Kontrolle, wie Sie hier nachlesen können.

Webcode
DPF8_235948