EU-Impfnachweis: Wie ich zum gefragten Impfzertifikatsfälscher wurde

Eigentlich hatte ich nur ein triviales Python-Skript veröffentlicht, doch dann kamen die Anfragen der Impfschwurbler.

Ein Erfahrungsbericht von veröffentlicht am
Hier geht's zum kostenlosen digitalen Impfnachweis - den Schutz vor einer potenziell tödlichen Krankheit gibt's als Bonus dazu.
Hier geht's zum kostenlosen digitalen Impfnachweis - den Schutz vor einer potenziell tödlichen Krankheit gibt's als Bonus dazu. (Bild: PantheraLeo1359531/Wikimedia Commons/CC-BY 4.0)

Vor einigen Monaten, als die Covid-19-Impfungen gerade an Tempo gewannen und immer mehr Menschen einen digitalen Impfnachweis erhielten, habe ich mir die Technik hinter diesen QR-Codes angesehen. Ein Ergebnis davon war, dass ich ein Python-Skript geschrieben habe, welches die Daten aus den Impfzertifikaten ausliest.

Stellenmarkt
  1. (Fach-)Informatiker/IT-Syste- mkaufmann (m/w/d) System- / Anwendungsbetreuung
    Salamander Deutschland GmbH & Co KG, Wuppertal
  2. Frontend-Entwickler (m/w/d)
    DFN-CERT Services GmbH, Hamburg-Hammerbrook
Detailsuche

Das Skript tut nichts Spektakuläres. Es liest Bilder mit QR-Codes ein, diese werden mit den jeweils passenden Bibliotheken für die darin enthaltenen Datenformate verarbeitet und anschließend die darin codierten Informationen wie etwa der Name der geimpften Person ausgegeben. Eine Prüfung der digitalen Signatur habe ich nicht implementiert.

Dieses recht banale Skript - es hatte in seiner ursprünglichen Version lediglich sieben reale Codezeilen - habe ich vor einiger Zeit auf Github veröffentlicht. Es erfreut sich dort einer gewissen Beliebtheit, ich habe ein paar weitere Funktionen eingebaut, etwa die Möglichkeit, die Zertifikate auch aus Textdateien auszulesen. Es gibt auch einen Fork, der die Prüfung der Zertifikatssignaturen durchführt.

Impfschwurbler bieten mir Geld für falsche Zertifikate

Diese eigentlich recht unspektakuläre Veröffentlichung eines kleinen Python-Skripts hatte jedoch eine Folge, mit der ich nicht gerechnet hatte: Zahlreiche Impfverweigerer glauben offenbar, dass ich doch sicher auch in der Lage sein müsste, die Funktion des Skripts umzukehren - sprich: Impfzertifikate nicht nur auszulesen, sondern auch zu erstellen.

Golem Akademie
  1. SAMBA Datei- und Domänendienste einrichten: virtueller Drei-Tage-Workshop
    7.–9. März 2022, Virtuell
  2. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    8.–11. März 2021, Virtuell
Weitere IT-Trainings

Regelmäßig trudeln bei mir Mails, Bugreports oder Twitter-Direktnachrichten ein, die mich fragen, ob ich ihnen ein Zertifikat erstellen kann. Einige haben mir dafür schon Geld angeboten, andere glauben offenbar, dass das Skript dazu bereits in der Lage sein sollte und bitten mich um eine Anleitung oder ein Videotutorial. Bei fast allen wird klar: Sie sind nicht geimpft - und wollen die Einschränkungen, die vielerorts für Ungeimpfte gelten, gerne umgehen.

Natürlich könnte ich ihnen einfach antworten, dass das so nicht funktioniert, dass ich zwar vielleicht ein entsprechendes Impfzertifikat erzeugen könnte, dass dies aber keine gültige Signatur hätte und damit von keiner Prüfanwendung akzeptiert wird.

Eigentlich möchte ich ihnen gerne antworten, dass sie unverantwortlich sind, dass sie sich und ihre Mitmenschen gefährden. Dass es - zumindest für Menschen, die in der EU leben - einen ganz einfachen Weg gibt, an ein absolut gültiges Impfzertifikat zu gelangen: Sie können sich einfach impfen lassen. Dass das Risiko einer Covid-19-Infektion um ein Vielfaches höher liegt als sehr unwahrscheinliche Impfnebenwirkungen.

Allerdings habe ich auch wenig Hoffnung, dass Menschen, die so weit gehen, dass sie irgendwelche Menschen, deren Mailadresse sie im Internet gefunden haben, um eine Impfzertifikatsfälschung bitten, mit rationalen Argumenten zu überzeugen sind.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Impfnachweise besser als ihr Ruf

Eines zeigt mir allerdings der ganze Vorfall: Die digitalen Impfnachweise sind besser als ihr Ruf. In Deutschland höre ich oft, dass die Sicherheit der Zertifikate doch sowieso egal sei, da sie niemand prüft - was bedauerlich ist und viel darüber aussagt, wie man hierzulande mit der Pandemie umgeht. Doch das ist längst nicht in allen Ländern so, vielerorts nimmt man das SARS-CoV-2-Virus ernster und Zugangsregeln werden real geprüft. Für Ungeimpfte erhöht sich vielerorts der Druck - und das ist angesichts steigender Infektionszahlen auch gut so.

Wir wissen seit ein paar Tagen, dass es einigen Menschen offenbar tatsächlich gelungen ist, in der EU gültige Impfnachweise zu fälschen. Verantwortlich dafür waren wohl, so wie es sich bislang darstellt, ungeschützte Zertifikatsausstellungs-Webseiten im Internet.

Umso bedauerlicher, dass die hierzulande verantwortlichen Behörden den Vorfall offenbar nicht sonderlich ernst nehmen. Das Gesundheitsministerium antwortete auf Anfragen von Golem.de nur ausweichend, das Robert Koch-Institut weigerte sich, zu der Sache überhaupt irgendwelche Fragen zu beantworten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


BLi8819 18. Nov 2021 / Themenstart

Im Gegensatz zu dir nennen die Medien ihre Quellen.

User_x 18. Nov 2021 / Themenstart

Wieso wird der Verunglückte jetzt höher bewertet? In so einer angespannten Lage könnte...

rcp48 17. Nov 2021 / Themenstart

War in Rom Green pass überall incl. kontrolle. vielerorts + Ausweis manchmal noch...

rcp48 17. Nov 2021 / Themenstart

Bin dafür. "Wer vom dreuen Stirbt soll mit fürzen zu grabe geleitet werden."

rcp48 17. Nov 2021 / Themenstart

Ich komm aus dem Landkreis der mit die höchste Inzidenz hat. Hab 18 Monate Vollzeit und...

Kommentieren



Aktuell auf der Startseite von Golem.de
CoreELEC/LibreELEC
Smart-TV mal anders

Eine TV-Box Marke Eigenbau bringt Spaß und Gewissheit über unsere Daten. Die Linux-Distributionen CoreELEC und LibreELEC eignen sich da besonders.
Eine Anleitung von Sebastian Hammer

CoreELEC/LibreELEC: Smart-TV mal anders
Artikel
  1. Softwarepatent: Uraltpatent könnte Microsoft Millionen kosten
    Softwarepatent
    Uraltpatent könnte Microsoft Millionen kosten

    Microsoft hat eine Klage um ein Software-Patent vor dem BGH verloren. Das Patent beschreibt Grundlagentechnik und könnte zahlreiche weitere Cloud-Anbieter betreffen.
    Ein Bericht von Stefan Krempl

  2. Microsoft: Windows 11 verlangsamt SSDs wohl teils merklich
    Microsoft
    Windows 11 verlangsamt SSDs wohl teils merklich

    Viele Teile der Community messen schlechtere Werte im Vergleich zu Windows 10, wenn sie Windows 11 auf ihren SSDs verwenden.

  3. Krypto: Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten
    Krypto
    Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten

    Ein Gericht hat entschieden, dass Craig Wright der Familie seines Geschäftspartners keine Bitcoins schuldet - kommt jetzt der Beweis, dass er Satoshi Nakamoto ist?

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer-Monitore zu Bestpreisen (u. a. 27" FHD 165Hz OC 199€) • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Samsung Smartphones & Watches günstiger • Saturn: Xiaomi Redmi Note 9 Pro 128GB 199€ • Alternate (u. a. Razer Opus Gaming-Headset 69,99€) • Release heute: Halo Infinite 68,99€ [Werbung]
    •  /