Durchstöbert man den Messenger-Dienst Telegram, der auch ein soziales Netzwerk ist, stösst man schnell auf Angebote für gefälschte Covid-Zertifikate. Hier bieten gleich mehrere Personen solche Impfpässe an. Diese sollen – so versprechen die Anbieter – von Ärzten oder Impfzentren stammen. Sie werden ab 150 Euro pro Zertifikat angeboten. Bezahlt werden muss oft per Bitcoin.
Auch bei der Kantonspolizei Zürich beobachtet man dies, wie Medienchef Patrick Céréda bestätigt: «Wir haben Kenntnis von gefälschten Zertifikaten, die angepriesen werden auf den unterschiedlichen Social-Media-Kanälen, wir haben das auf dem Radar.»
Falsche Covid-Zertifikate – oft doppelter Betrug
Oft handelt es sich jedoch um einen doppelten Betrug. Es werden nicht nur falsche Zertifikate angeboten – in den meisten Fällen werden diese nicht mal geliefert. Das zeigen auch frustrierte Kommentare in den Chats. Dank der Anonymität von Telegram und Bitcoin ziehen die Anbieter die Leute über den Tisch und liefern die versprochenen Zertifikate gar nie aus. Nur vereinzelt werden tatsächlich echte Zertifikate verkauft, die auch in der Schweiz gültig sind.
Recherchen des Online-Portals «Watson» haben gezeigt: Kriminelle haben echte deutsche Impfnachweise in die Schweiz verkauft. Die Zertifikate sind hierzulande gültig und nicht als Fälschung erkennbar. Sie wurden mutmasslich durch missbräuchlichen Zugriff auf ein IT-System des Deutschen Apothekerverbandes generiert.
Schweizer Zertifikate «sicher»
Der deutsche IT-Sicherheitsexperte Martin Tschirsich hat auf die Schwachstelle im System hingewiesen. Er konnte dank eines Gastzuganges selber Impf-Zertifikate herstellen – ohne Prüfung, ob die betreffende Person geimpft ist oder nicht: «Wir haben eine fiktive Apotheke geschaffen: die Sonnen-Apotheke. Dazu mussten wir eine E-Mail an den Deutschen Apothekerverband schicken, um uns für den Zugang zum Portal zu bewerben, über das das digitale Impf-Zertifikat ausgestellt wird. Nach Abschicken dieser E-Mail hat es dann zwei Tage gedauert und wir hatten den Zugangscode im Briefkasten und konnten als Sonnen-Apotheke Zertifikate ausgeben.»
Gut möglich, dass ein solcher Zugang missbraucht wurde für die Zertifikate, die auf Telegram und im Darknet herumgereicht werden. Das System des Deutschen Apothekerverbands zur Ausstellung der Impfnachweise wurde nach der Offenlegung der Schwachstelle heruntergefahren.
Die EU und die Schweiz haben sich geeinigt, ihre nationalen Zertifikate gegenseitig anzuerkennen. Bei gefälschten europäischen Zertifikaten sind dem Bundesamt für Informatik die Hände gebunden. «Für ausländische Covid-Zertifikate können wir keine Verantwortung übernehmen, auch nicht für Fälschungen, die im Ausland passieren», schreibt das Bundesamt gegenüber SRF.
Das Bundesamt für Informatik hat keine Kenntnis von Zertifikaten, die in der Schweiz gefälscht wurden. Es betont: «Das Schweizer Covid-Zertifikatssystem ist sicher und funktioniert gut.»
Urkundenfälschung: Bis zu 5 Jahre Freiheitsstrafe
Die Kantonspolizei Zürich ermittelt in ein paar wenigen Fällen wegen mutmasslicher Zertifikatsfälschung. «Die Anzahl der Verfahren, die wir eröffnet haben, hält sich in Grenzen», sagt Medienchef Patrick Céréda. «Wie gross die Dunkelziffer ist, kann ich Ihnen nicht sagen. Von daher ist es sehr schwierig zu sagen, was tatsächlich im Umlauf ist an Zertifikaten.»
Wer Covid-Zertifikate fälscht, verkauft oder verwendet, macht sich der Urkundenfälschung strafbar, betont David Vasella, Anwalt für Datenschutz und IT-Recht. «Abgesehen davon, dass die Verwendung eines gefälschten Zertifikats asozial ist, lässt man sich auf eine strafbare Handlung ein. Und für Urkundenfälschung gibt es eine Maximalstrafe von fünf Jahren Freiheitsstrafe.»
