Nach der Einführung von immer mehr Beschränkungen für Ungeimpfte, kommen immer öfter gefälschte Corona-Impfnachweise in Umlauf. Diese sind oft nicht mal von Experten zu erkennen. Die Apothekerin Anke Rüdinger hat vor ein paar Tagen vermutlich zum ersten Mal einen gefälschten Impfnachweis in der Hand gehabt: Ein Kunde wollte die Covid-Impfung aus seinem gelben Impfbuch in einen digitalen Impfnachweis umwandeln lassen. Doch die Apothekerin hatte Zweifel an der Echtheit des Dokuments: „Es war ein Ausweis aus einem Impfzentrum, da sind wir immer besonders aufmerksam“, sagt Rüdinger, „die Art der Arzt-Unterschrift war auch sehr ähnlich.“ Das fand die Apothekerin verdächtig, denn es ist äußerst unwahrscheinlich in einem großen Impfzentrum zweimal vom selben Arzt geimpft zu werden. Sie stellt dem Kunden kein digitales Impfzertifikat aus.
Oft sind es Apotheken, die der Polizei Verdachtsfälle melden. Inzwischen häufen sich dort die Fälle: Geschätzte 6.000 Ermittlungsverfahren gab es Anfang Dezember bundesweit. Auf das zunehmende Problem gefälschter Impfnachweise hat auch der Gesetzgeber im Rahmen einer Änderung des Infektionsschutzgesetzes reagiert: Seit Ende November gilt eine neue gesetzliche Regelung, die klarstellt, dass das Herstellen und Gebrauchen von gefälschten Impfnachweisen strafbar ist. Dennoch steigen die Fallzahlen weiter. Zudem wird eine hohe Dunkelziffer vermutet, da viele Fälschungen gar nicht erkannt werden. Thomas Thieme vom LKA Berlin findet, dass Betrüger zu leichtes Spiel haben: „Der Ausweis selber, also der Rohling selber, ist überall im Handel erhältlich und enthält keinerlei Fälschungssicherheitsmerkmale.“
Der Handel mit gefälschten Impfnachweisen floriert auf einschlägigen Darknet-Plattformen und beim Messengerdienst Telegram. Ein Darknet-Händler erklärt, wie einfach es ist, ein Impfbuch zu fälschen: „Die Unterschriften und Stempel findet man auf Google – es gibt trotz Warnungen genug Idioten, die ihre Impfausweise auf Social Media posten.“ WISO will wissen, ob eine solche Fälschung erkannt wird. Wir besitzen zwar schon einen echten gültigen Impfnachweis, über einen Recherche-Kontakt aus dem Darknet kommen wir aber auch an einen gefälschten Impfpass. Von einem Berliner Restaurant wird der problemlos akzeptiert. Auch beim Digitalisieren in Apotheken fällt das gefälschte Impfbuch nicht auf, obwohl die darin genannten Impfchargen nach Auskunft des angeblich besuchten Impfzentrums dort nie verimpft wurden. Die betroffene Apotheke erklärt dazu, dass man „keine Informationen darüber (habe), welche Chargen an bestimmte Impfzentren geliefert wurden“. Gabriele Overwiening von der Bundesvereinigung Deutscher Apothekerverbände nimmt ihre Kollegen in Schutz: “Wenn es sehr gut gefälscht ist, dann wird man es nicht erkennen können.“
WISO trifft auch einen Telegram-Händler, der gefälschte Impfbücher für 200 Euro auf der Straße verkauft. Er empfiehlt eine bestimmte Apotheke, denn dort klappe das Digitalisieren immer. Tatsächlich wird das Impfbuch dort ohne Beanstandung digitalisiert, obwohl es ganz offensichtlich eine Fälschung ist. Darauf angesprochen zeigen sich die Apothekenmitarbeiter entsetzt: „Wir haben hier mehr als 100 Kunden jeden Tag, die ihren Impfausweis digitalisieren lassen wollen, da haben wir gar keine Zeit alles genau zu überprüfen.“ Die Apotheke bestreitet zudem, etwas mit dem Telegram-Händler zu tun zu haben. Die falschen Impfbücher haben wir nach Abschluss dieser Recherche vernichtet, ebenso wie die zugehörigen digitalen Impfnachweise.
Falsche digitale Impfnachweise stammen aber nicht nur aus Apotheken – sie werden auch im Darknet gehandelt. Offenbar muss bei einer solchen Fälschung nicht einmal der Name des Geimpften plausibel sein: Im Netz kursieren gültige digitale Impfnachweise, die auf den Namen Mickey Mouse oder Adolf Hitler laufen - ausgestellt von polnischen oder französischen Gesundheitsbehörden. Der IT-Journalist Hanno Böck vermutet, dass die IT-Systeme dieser Behörden, die - wie das RKI - digitale Impfzertifikate erstellen, nicht passwortgeschützt waren. „Dann konnten Kriminelle dort Daten eingeben und diese Zertifikate erstellen.“ Das Bundesgesundheitsministerium hält das deutsche IT-System für sicher, da die Zugänge zusätzlich durch einen Hardwareschlüssel gesichert seien. Warum dennoch immer wieder auch gefälschte Impfzertifikate kursieren, die das RKI ausgestellt hat, will das Ministerium nicht erklären. Der IT-Experte Thomas Uhlemann, hält Sicherheitslücken in Arztpraxen oder Apotheken für wahrscheinlich: Dort könnte es Unberechtigten gelungen sein, eben diese Hardwareschlüssel zu entwenden.
