Fake-Impfzertifikate

Experten vermuten IT-Sicherheitslücken in Praxen

29.10.2021
Die gefälschten digitalen Impfzertifikate, die derzeit mit gültigen Signaturen im Internet kursieren, könnten nach Einschätzung von Experten auf Sicherheitslücken in Arztpraxen oder Apotheken zurückzuführen sein.
Gefälschte Impfzertifikate sorgen für Verunsicherung in Europa.
Gefälschte Impfzertifikate sorgen für Verunsicherung in Europa.
Foto: Ralf Liebhold - shutterstock.com

Möglicherweise sei es Unberechtigten in Aztpraxen gelungen, an die privaten Schlüssel für das Verschlüsselungssystem Fido zu gelangen, sagte am Donnerstag Thomas Uhlemann von der Sicherheitsfirma Eset.

Nach Angaben des Sicherheitsexperten werden gefälschte Impfzertifikate mit technisch gültigen Signaturen im Darknet für rund 300 Euro angeboten. Damit könnten Menschen, die nicht gegen Covid-19 geimpft wurden, einen scheinbar gültigen Impfpass auf dem Smartphone vorzeigen. "Die Signaturen dieser Schlüssel werden als gültig erkannt", sagte Uhlemann. "Damit kann man beliebige Zertifikate für das jeweilige Land ausstellen."

Sicherheitsexperte Rüdiger Trost von der Firma F-Secure verwies auf Ankündigungen, die Schlüssel zu leaken. "Dann könnte sich jeder ein Zertifikat ausstellen. Ab diesem Zeitpunkt funktioniert das System nur noch dann, wenn neue Schlüssel erzeugt werden und die alten - und zwar ausnahmslos sämtliche alte - als "nicht mehr vertrauenswürdig" klassifiziert werden."

Die Fake-Zertifikate waren zuerst in Italien aufgetaucht. Dort stehen die Impfnachweise im Zentrum einer hitzig geführten politischen Debatte. Der "Grüne Pass" - ein Corona-Pass mit ausdruckbaren oder digitalen Nachweisen einer Corona-Impfung - ist nach einem Beschluss der Regierung von Ministerpräsident Mario Draghi seit Mitte Oktober notwendig, um zur Arbeit gehen zu dürfen. Der nun aufgetauchte Fake-Impfpass wurde aber nicht nur von dem System des italienischen "Grünen Passes" als gültig angezeigt, sondern auch von der offiziellen deutschen App "CovPass Check".

In Italien wurde die Gültigkeit der Schlüssel noch am Mittwoch zurückgezogen. Aktuelle Checks in Deutschland zeigten jedoch auch am Donnerstagnachmittag die volle Gültigkeit an. "Das kann verheerende Folgen haben, insbesondere wenn es schnell gehen muss", warnte Uhlemann. Bei Überprüfungen im öffentlichen Raum, wie etwa am Flughafen oder der Einlasskontrolle von Clubs, werde in der Praxis "selten bis nie der Personalausweis von der zeigenden Person verlangt". Stattdessen wird sich darauf verlassen, dass das scannende Gerät "Zertifikat gültig" anzeigt.

F-Secure-Experte Trost sagte: "Es gibt eigentlich nur eine saubere Lösung: Alle Impfzertifikate müssen zurückgezogen werden." Dann müsse allerdings jeder erneut in die Apotheke gehen und sich ein neues Zertifikat ausstellen lassen. (dpa/rs)

Giampaolo Dedola, Sicherheitsexperte im Global Research and Analysis Team (GReAT) bei Kaspersky, kommentiert: „Wir haben online Nachrichten entdeckt, die die Erstellung gültiger COVID-19-Impfpässe – sogenannte Green Passes – anbieten. Diese Impfpässe werden derzeit häufig für den Zugang zu Flügen, Restaurants oder Museen in Europa benötigt. Als Beweis, dass die Codes funktionieren, erstellte der Akteur einen Screenshot mit einem gültigen QR-Code auf den Namen Adolf Hitler.

Die weiterführende Analyse zweier QR-Code-Beispiele zeigt zudem, dass die zum Signieren der Zertifikate verwendeten Schlüssel sich auf Organisationen mit Sitz in Frankreich und Polen beziehen. Darüber hinaus werden diese Codes beim Testen über offizielle Apps als gültig eingestuft. Dies ist besorgniserregend, da es so unmöglich wird, zwischen legitimen Green Passes und solchen zu unterscheiden, die durch die geleakten Schlüssel generiert wurden. Dieser Fall erinnert uns daran, wie gefährdet die Infrastruktur zur Generierung von COVID-19-Zertifikaten derzeit ist.

Es ist zwar möglich, Zertifikatsschlüssel zu widerrufen, jedoch hat dies weitreichendere Konsequenzen für die Gesellschaft und die Sicherheit. Daher ist es wichtig, Monitoring- und Sicherheitsmaßnahmen zu verbessern, um alle Infrastrukturgeräte vor externen Cyberangriffen zu schützen, Missbrauch zu verhindern und aufzudecken.“ (dpa/rs/rw)

Zur Startseite