Berlin - Manuel Atug hat es ausprobiert. Für einen Moment ist er zu einem Kontrolleur geworden, der die Echtheit eines digitalen Impfnachweises überprüft, mit der App CovPass-Check. „Ich habe mir vor ein paar Tagen aus Spaß diese App auf mein zweites Smartphone geladen. Beim ersten habe ich die Corona-Warn-App aufgemacht und das Zertifikat geöffnet.“ Atug arbeitet als Sicherheitsexperte in der IT-Branche für die Berliner Hisolutions AG. Er erzählt weiter: „Ich habe mit dem zweiten Gerät das Zertifikat gecheckt.“ Sein Name erschien auf dem Display, sein Geburtsdatum, andere persönliche Angaben und der Hinweis: „Bitte mit Daten im Ausweis vergleichen.“

Keine effiziente Kontrolle ohne Gegenkontrolle – das zeigt Atugs Selbstversuch. Es ist ein Beitrag zu einer Debatte, die derzeit in Corona-Deutschland geführt wird. Sie dreht sich um gefälschte Impfnachweise und Testzertifikate und um die Möglichkeiten, solche Fälschungen zu erkennen, womöglich zu verhindern. Denn diese könnten bald Konjunktur haben, wenn Ungeimpfte in vielen Bereichen des öffentlichen Lebens keinen Zutritt mehr haben. Wenn etwa ab Montag in Berlin lediglich Geimpfte und von einer Infektion Genesene noch Restaurants, Konzerte, Kinos oder Museen besuchen dürfen, als Maßnahme, um die vierte Welle zu brechen. Atugs Bericht zeigt, dass kein Betrug nötig ist, keine gefälschte App, um die sogenannte 2G-Regel zu umgehen. Den Abgleich mit dem Personalausweis, sagt der IT-Experte, zu dem CovPass-Check auffordert, mache bei einer Einlasskontrolle in Deutschland eh kaum jemand.

Atug kennt die Tricks, die eigentlich keine sind, weil sie allzu simpel sind: „Mir haben etliche Leute erzählt, dass sie den QR-Code gar nicht erst abgeknipst haben und einfach so am Kontrolleur vorbeigegangen sind.“ Andere berichteten davon, dass sie die Luca-App auf ihrem Handy aufgerufen und vor den Kontrollscanner gehalten, aber nicht abgedrückt hätten. „Es gibt Leute, die sagen, sie hätten die Kamera-App gestartet, was aussah, als hätten sie den QR-Code gescannt. Dann seien sie durchgegangen.“ Auf größere kriminelle Energie lässt der Versuch schließen, mit Fake-Apps ans Ziel zu gelangen: mit Luci oder Lucifer etwa. „Und andere haben ganz banal einen Screenshot oder ein Bild hingehalten“, sagt Atug. So wird der QR-Code der Schwiegermutter zum Türöffner.

QR-Codes mit kryptographischer Signatur versehen

Die QR-Codes zum Nachweis des Impf- oder Genesenenstatus oder eines negativen Testergebnisses sind mit einer kryptographischen Signatur versehen. Sie dient eigentlich zum Schutz vor Missbrauch oder Fälschung, wenn der Code denn auch mit CovPass-Check kontrolliert wird. „Die Codes werden vor allem durch Personen oder Einrichtungen ausgestellt, die zur Leistungserbringung nach der Coronavirus-Testverordnung berechtigt sind“, so eine Sprecherin des Bundesgesundheitsministeriums. Dazu zählen Arztpraxen, Zahnarztpraxen, Apotheken, Teststellen von Rettungs- und Hilfsorganisationen, kommunal betriebene Teststellen sowie private Teststellen, die vom öffentlichen Gesundheitsdienst mit der Durchführung von Testungen beauftragt wurden.

Jede ausstellende Stelle hat ihren eigenen digitalen Signaturschlüssel. Sämtliche Schlüssel sind laut der Sprecherin EU-weit in einer sicheren Datenbank gespeichert. Die EU-Kommission habe gar eine Schnittstelle eingerichtet, über die alle Signaturen länderübergreifend überprüft werden können. Mit der CovPass-Check-App können die QR-Codes auf ausgedruckten digitalen Zertifikaten der EU, aus der CovPass-App selbst, der Corona-Warn-App oder Luca-App eingelesen werden. Name, Vorname sowie das Geburtsdatum sind zu sehen – und natürlich wird angezeigt, ob das Zertifikat für die Impfung, die Genesung oder für ein negatives Testergebnis gültig oder ungültig ist. Bei Testzertifikaten wird zusätzlich der Zeitpunkt der Probenahme angezeigt.

Bringt aber alles nichts, wenn die QR-Codes kaum im Alltag überprüft werden. Ein weiteres Problem ist, dass vor allem bei Schnelltests die jeweilige Teststelle das digitale Zertifikat nicht unterstützt, sondern das Testergebnis ausdruckt oder ein PDF-Dokument mit dem Testergebnis per Mail schickt – das wiederum ebenfalls sehr leicht manipulierbar ist. Wenige Klicks am Laptop oder am Handy – und der Name, das Datum, der Zeitpunkt der Probenahme, gar das Testergebnis können umgeschrieben werden.

Sicherheitsexperte: Gefälschte Apps sind nicht das Problem

Gefälschte Apps sind derzeit ein zu vernachlässigendes Problem, sagt der Sicherheitsexperte. „Es gibt einige, die solche erstellt und ihren Bekanntenkreis damit bedient haben“, berichtet Atug. „Da reden wir aber von ein paar Hundert, vielleicht ein paar Tausend, nicht von vielen Millionen Fälschungen.“ Luci-App und Lucifer-App seien mehr aus sportlichem Ehrgeiz und weniger aus krimineller Energie programmiert worden. Als „proof of concept“, sagt Atug. „Aus Langeweile gegen die stoische Behauptung, es gebe keine Sicherheitslücken und keine Möglichkeiten des Missbrauchs in der Luca-App. Das hat Leute auf den Plan gerufen, die gesagt haben, ich bastele mir an einem halben Nachmittag eine Fake-App und die funktioniert.“

In der Szene sei das ein bekannter Reflex. „Das passiert leider sehr oft, wenn es um diese politisch motivierte und App-basierte Digitalisierung in Deutschland geht“, sagt Atug. „Natürlich werden ein paar verirrte Seelen, die vom Rechtsstaat abdriften, Methoden anwenden, um Wege zu finden, nicht geimpft zu werden. Aber dagegen hilft es ja auch nicht, die App krasser zu machen, wenn die Kontrollen so lasch sind.“

Fälschungssicherheit war auch nicht die Grundidee, als die digitale Variante des Impfnachweises auf den Weg gebracht wurde. Getrieben wurde die Einführung von dem Gedanken, ein einfaches Prozedere für die Wirtschaft zu etablieren, insbesondere für diejenigen Branchen, die vom Flugbetrieb leben, davon abhängig sind. Den Check-in zu vereinfachen war eines der ersten Ziele. Und selbst wenn Apps fälschungssicher wären, gäbe es für Betrüger immer noch eine analoge Rückfalloption. Das gelbe Impfheft ist frei verfügbar. Im April wurde die Öffentlichkeit mit der Nachricht konfrontiert, im Internet kursierten gefälschte Aufkleber mit der Aufschrift „Comirnaty“, dem Vakzin der Firma Biontech. Dazu die Chargennummer, Stempel des angeblich impfenden Arztes und dessen Unterschrift. Bescheinigungen der Teststellen sind ebenfalls in Papierform erhältlich und mit geringem Aufwand nachzumachen. Auch dafür gilt: Wo keine Kontrolle, da keine Sanktion.

Womit müssen Fälscher von Testergebnissen oder Impfpässen also überhaupt rechnen?

Je nach Einzelfall dürfte eine Manipulation von Schnelltestergebnissen, die in Form von PDF-Dokumenten gespeichert sind, als Fälschung nach Paragraf 269 des Strafgesetzbuches strafbar sein, teilt eine Sprecherin des Bundesjustizministeriums auf Anfrage mit. Nach dieser Vorschrift macht sich strafbar, wer zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, dass bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde.

Die Ampel-Parteien wollen nach Angaben der Frankfurter Allgemeinen Zeitung sehr bald klarstellen, dass Menschen, die Impfpässe fälschen oder gefälschte Impfpässe gebrauchen, künftig wegen Urkundenfälschung zur Rechenschaft gezogen werden sollen – es drohen bis zu fünf Jahre Haft. Der Grund: Impfzertifikate sind Gesundheitszeugnisse, die wiederum Urkunden sind, sodass der Straftatbestand der Urkundenfälschung zur Anwendung kommt. Um eine Fälschung handelt es sich auch dann, wenn im Impfpass eine einzelne Impfung bescheinigt wird, die in Wahrheit gar nicht erfolgt ist. Laut dem Bericht sollen auch Verbreitung und Nutzung von Blankett-Impfausweisen mit falschen Impfeinträgen, die ganz einfach im Internet erworben werden können, explizit unter Strafe gestellt werden.

Außerdem gibt es da noch den Paragrafen 277 des Strafgesetzbuches, wo die Fälschung von Gesundheitszeugnissen erfasst ist. Strafbar macht man sich in Zukunft, wenn man ein solches Dokument unter seinem echten Namen ausstellt und sich dabei als Ärztin oder Arzt ausgibt, obwohl man das nicht ist, denn es handele sich um eine „schriftliche Lüge“, berichtete die F.A.Z. Auch die Sprecherin des Bundesjustizministeriums betont, dass, wer sich als Arzt ausgibt und entsprechend Testbescheinigungen manipuliert, vom Tatbestand dieses Paragrafen erfasst wird. Es drohen Freiheits- und Geldstrafen.

„Wenn die Kontrollen anzögen“, sagt Atug, „bin ich mir sicher, dass der Markt für Fälschungen sehr viel mehr florieren würde.“ Es bestehe derzeit schlichtweg kein Bedarf. „Insofern hat der Staat es quasi durch seine digitale Inkompetenz hinbekommen, dass es keinen Bedarf für gefälschte Impfnachweise gibt.“