Schwachstelle: Mensch

13. Dezember 2021, Doerte Letzmann
Tatort: ein Laptop im KIZ.
Tatort: ein Laptop im KIZ.

Die Schaffhauser Zertifikatsfälscher flogen auf. Wie gingen sie vor und was haben Adolf Hitler und Micky Maus damit zu tun?

Vor einigen Wochen geisterten im Internet die Impfnachweise von Adolf Hitler und Micky Maus durchs Netz. Ein Fake? Keineswegs: Die Zertifikate waren offiziell anerkannt und hätten einer Prüfung standgehalten. Was hat das mit Schaffhausen zu tun? Sehr viel, wie wir jetzt wissen.
Denn auch in Schaffhausen wurden im grossen Stil Impfzertifikate gefälscht. Ein Mitarbeiter des kantonalen Impfzentrums und fünf Komplizinnen verkauften mehrere hundert Fälschungen. Kostenpunkt: rund 400 Franken pro Stück. Aber der Betrug flog auf. Jetzt sitzen sie in Untersuchungshaft.

Wie gingen die Beschuldigten vor? Und was passiert mit den Käuferinnen und Käufern und ihren Fake-Zertifikaten? Wir haben den Fall mithilfe eines Experten rekonstruiert. Unsere Spurensuche führt uns bis in die Privatbar von Rechtsanwalt Beat Hochheuser. Dabei kommt heraus: Der Schaffhauser Fall zeigt die Schwachstelle im gesamten europäischen Zertifikatssystem auf. Adolf und Micky hätten auch hier ihre Zertifikate bekommen können.
Von den offiziellen Stellen wissen wir dies jedoch nicht. Die Staatsanwaltschaft gibt nicht viele Auskünfte über den Fall. Man weiss, dass die Schaffhauser Polizei schon Mitte September Hinweise der Bundespolizei und des Kantonalen Impfzentrums erhielt. Das Gesundheitsamt will jedoch unsere Fragen über den Fall und das Zertifikatssystem «aufgrund der laufenden Ermittlungen» nicht beantworten. Vieles lässt sich deswegen nur mutmassen.

Fälschen ist ganz einfach

Ganz stimmen können die wenigen offiziellen Informationen ausserdem nicht. Laut der Staatsanwaltschaft verwandelte der Beschuldigte offensichtlich echte Zertifikate in unechte, indem er beim Ausstellen von legitimen Zertifikaten am Computer im Impfzentrum den Namen der tatsächlich geimpften Person löschte und dort einen falschen Namen eintrug.

Sieht man sich jedoch die Zertifikatstechnologie genauer an, wird schnell klar: Es ist unmöglich, auf diesem Weg eine Fälschung herzustellen. Wir haben über den Fall mit einem Programmierer und Zertifikatsexperten gesprochen, der anonym bleiben möchte, da er bereits viele Anfragen für Zertifikatsfälschungen erhalten habe. Von ihm wissen wir: Lediglich den Namen in einem bestehenden Zertifikat ändern, ist nicht möglich. «Um es zu fälschen, muss man ein gültiges Zertifikat mit einem unwahren Inhalt generieren», erklärt er. Das ist in allen europäischen Ländern so, denn sie benutzen eine gemeinsame Technologie.

Das Zertifikat, so lernen wir, steckt im QR-Code. Dieser enthält die wichtigen Daten, die wir auch auf dem Zertifikat sehen, dazu noch eine Nummer, den sogenannten «unique identifier», der es einzigartig macht, und die kryptografische Signatur des Bundes, die das Zertifikat gültig macht. Es wird dezentral auf dem Smartphone der Zertifizierten gespeichert oder eben in Papierform mitgeführt. Technisch ist es damit sehr fälschungssicher. Eine Schwachstelle gibt es aber dennoch.
Denn der QR-Code wird zwar nur vom Bund vergeben, aber generieren können ihn Ärztinnen, Apotheker und Mitarbeitende in Impfzentren, welche die Eingabemaske des Zertifikatsausstellungsystems des Bundes bedienen. Der Bund vertraut diesen Menschen, nur rechtmässige Zertifikate auszustellen, überprüft jedoch nicht, ob diese auch richtig sind. Hier, an der Quelle, kann ein schelmischer Mitarbeitender deswegen falsche Zertifikate generieren. So wie der Mitarbeitende des KIZ.

Wie geht das? Zertifikate, ob richtige oder falsche, erstellt man so: An einem Computer im KIZ gibt der Mitarbeitende im sehr leicht zu bedienenden Zertifikatsausstellungssystem die Daten einer geimpften Person – oder eben die Fantasiedaten eines nicht geimpften «Kunden» – ein, die später im QR-Code gespeichert werden. Nach ein paar Klicks erhält er den Code, den er an die geimpfte Person oder an den Kunden übermittelt. Ändern kann er die Daten jetzt nicht mehr, und das weiss er auch: Das Programm hat ihn mehrmals gewarnt.

Vorstellbar ist, dass der Mitarbeitende für seine Kunden die Daten einer tatsächlich geimpften Person wiederverwendet hat, also das Impfdatum, den Impfstoff und die Anzahl der Impfungen. Denn vielleicht waren diese noch in der Eingabemaske, wenn der Mitarbeitende auf «Zurück» klickte. So könnte er mehrere Zertifikate generiert haben, wo nur einmal geimpft wurde.

100 000 Franken Gewinn

Warum der Mitarbeitende Fälschungen anfertige, darüber lässt sich nur spekulieren. Unsere Spur der gefälschten Zertifikate führt uns zu dem Schaffhauser Rechtsanwalt Beat Hochheuser, von dem es heisst, er würde die Beschuldigten vertreten. Das dürfe er uns nicht bestätigen, erklärt er, als wir ihn in einem seiner Domizile, in seiner «Privatbar», wie er es nennt, treffen, wo ein paar Leute chillen und die Band Queen auf einem grossen Fernseher läuft. Hochheuser ist nicht nur Rechtsanwalt, sondern eben auch Unternehmer und Entertainer. Über den Fall sprechen will er trotzdem. Denn eine Rechtsvertretung würden nicht nur der Fälscher, sondern auch die Verkäufer und sogar die Käufer brauchen, erklärt er.
In allen Fällen handele es sich um Urkundenfälschung, nur eben nicht gleich schwer, da unterschiedliche kriminelle Energie bei den Tätern vorhanden gewesen sei. Auch der Tatbestand des Amtsmissbrauchs sei womöglich erfüllt.

Fälschungen stellen für Behörden ein erhebliches Problem dar.

Hochheuser vermutet hinter dem mutmasslichen Täter einen jungen Menschen, der offenbar blauäugig eine Straftat beging und merkte, dass sich damit Geld machen liess. Auf dem Fronwagplatz sollen seine Gehilfinnen Passanten angesprochen haben, um sie als Käufer anzuwerben. Das Ganze passierte über Wochen, sogar Monate, bevor die Polizei einschritt. Letztendlich kamen so mehrere hundert Fälschungen in Umlauf, für die der KIZ-Mitarbeitende jeweils 400 Franken kassiert haben soll.
Den Hauptbeschuldigten drohe eine Gefängnisstrafe, da ist sich Hochheuser sicher. Ein Freund des Impfzwanges sei er nicht, aber Zertifikatsfälschungen in diesem Umfang mit wohl über 100 000 Franken Gewinn und deutlichen Gewinnabsichten gingen zu weit, resümiert der Anwalt. Die Käufer kämen womöglich mit einer Geldstrafe davon. Ein gewisses Verständnis könne er aufbringen für sie. «Die jungen Leute haben genug», konstatiert er, «deswegen lehnen sie sich auf.»

Ungültig machen ist schwierig

Um sie zur Rechenschaft zu ziehen, müssten die Käufer aber zunächst ermittelt werden. Und gerade hier könnte es hapern. Der Experte nimmt an, dass es über den Computer im KIZ möglich ist, zurückzuverfolgen, wer wann welches Zertifikat ausgestellt hat. «Technisch ist eine Rückverfolgung möglich,», sagt er, «aber man hätte diese Funktion vorher implementieren müssen.» Ob das passiert ist, bleibt unklar. Weder Staatsanwaltschaft noch Gesundheitsamt wollen oder können diese Frage beantworten.
Beat Hochheuser geht aber davon aus, dass die meisten Käufer der gefälschten Zertifikate über den Computer im KIZ identifiziert werden konnten.

Was mit den falschen Zertifikaten der Käufer passiert, bleibt jedoch ebenfalls ungewiss. Denn, wie man so ein falsches Zertifikat ungültig macht, wenn man es einmal gefunden hat, das konnten uns weder Staatsanwaltschaft noch Gesundheitsamt mitteilen. Klar ist, dass man sie nicht einfach zerreissen oder löschen kann, denn ihre Gültigkeit verlieren sie damit nicht. Mögliche Kopien davon wären weiterhin benutzbar. Eine Fälschung kann also unter Umständen ein erhebliches Problem für die Behörden verursachen.

Was sagt der Experte? Um ein Zertifikat ungültig zu machen, gibt es drei Methoden, erläutert er.

Nummer 1 ist die Holzhammer-Methode. Damit erklärt man einfach alle Zertifikate, die in einem Land ausgestellt wurden, für ungültig. Auch die der tatsächlich Geimpften. So machte es Mazedonien, denn von dort stammten die Impfnachweise von Adolf und Micky. Alle in Mazedonien ausgestellten Zertifikate waren danach unbrauchbar.

Nummer 2 sind die Rückruflisten. Diese Methode setzt bei der Zertifikatsprüfung an, wie sie in Restaurants und bei Veranstaltungen stattfindet. Die Prüfungsapp des Bundes bekommt regelmässig ein Update mit den Nummern derjenigen Zertifikate, die nicht mehr gültig sind. Kommt ein solches Zertifikat unter den Scanner, dann wird es als ungültig erkannt. Prüferinnen müssen die App aber regelmässig updaten, um die Listen auch zu erhalten.

Nummer 3 sind die spezifischen Länderregeln. Auch diese Methode setzt bei der Prüfung an. Denn ein Land kann bestimmte Regeln darüber erlassen, welche Zertifikate anerkannt werden, zum Beispiel abhängig vom Impfstoff. Auch bei dieser Methode würde ein gefälschtes Zertifikat nur durch einen Scan erkannt werden.

Wie genau die in Schaffhausen gefälschten Zertifikate ungültig gemacht werden, das wissen wir nicht. Wahrscheinlich werden die Nummern der falschen Zertifikate auf den Rückruflisten landen. Dann wären sie zumindest überall dort, wo Zertifikate wie vorgeschrieben durch Scan und Ausweiskontrolle geprüft werden, nicht mehr benutzbar. Das Fälschungsproblem wird damit jedoch nicht gelöst. Vielmehr ist zu vermuten, dass gefälschte Zertifikate an Wert gewinnen, sollte in der Schweiz eine 2G-Regelung eingeführt werden.