EU-Impfnachweis: Wie ich zum gefragten Impfzertifikatsfälscher wurde

Vor einigen Monaten, als die Covid-19-Impfungen gerade an Tempo gewannen und immer mehr Menschen einen digitalen Impfnachweis erhielten, habe ich mir die Technik hinter diesen QR-Codes angesehen. Ein Ergebnis davon war, dass ich ein Python-Skript geschrieben habe, welches die Daten aus den Impfzertifikaten ausliest.

Das Skript tut nichts Spektakuläres. Es liest Bilder mit QR-Codes ein, diese werden mit den jeweils passenden Bibliotheken für die darin enthaltenen Datenformate verarbeitet und anschließend die darin codierten Informationen wie etwa der Name der geimpften Person ausgegeben. Eine Prüfung der digitalen Signatur habe ich nicht implementiert.

Dieses recht banale Skript - es hatte in seiner ursprünglichen Version lediglich sieben reale Codezeilen - habe ich vor einiger Zeit auf Github veröffentlicht. Es erfreut sich dort einer gewissen Beliebtheit, ich habe ein paar weitere Funktionen eingebaut, etwa die Möglichkeit, die Zertifikate auch aus Textdateien auszulesen. Es gibt auch einen Fork, der die Prüfung der Zertifikatssignaturen durchführt.

Impfschwurbler bieten mir Geld für falsche Zertifikate

Diese eigentlich recht unspektakuläre Veröffentlichung eines kleinen Python-Skripts hatte jedoch eine Folge, mit der ich nicht gerechnet hatte: Zahlreiche Impfverweigerer glauben offenbar, dass ich doch sicher auch in der Lage sein müsste, die Funktion des Skripts umzukehren - sprich: Impfzertifikate nicht nur auszulesen, sondern auch zu erstellen.

Regelmäßig trudeln bei mir Mails, Bugreports oder Twitter-Direktnachrichten ein, die mich fragen, ob ich ihnen ein Zertifikat erstellen kann. Einige haben mir dafür schon Geld angeboten, andere glauben offenbar, dass das Skript dazu bereits in der Lage sein sollte und bitten mich um eine Anleitung oder ein Videotutorial. Bei fast allen wird klar: Sie sind nicht geimpft - und wollen die Einschränkungen, die vielerorts für Ungeimpfte gelten, gerne umgehen.

Natürlich könnte ich ihnen einfach antworten, dass das so nicht funktioniert, dass ich zwar vielleicht ein entsprechendes Impfzertifikat erzeugen könnte, dass dies aber keine gültige Signatur hätte und damit von keiner Prüfanwendung akzeptiert wird.

Eigentlich möchte ich ihnen gerne antworten, dass sie unverantwortlich sind, dass sie sich und ihre Mitmenschen gefährden. Dass es - zumindest für Menschen, die in der EU leben - einen ganz einfachen Weg gibt, an ein absolut gültiges Impfzertifikat zu gelangen: Sie können sich einfach impfen lassen. Dass das Risiko einer Covid-19-Infektion um ein Vielfaches höher liegt als sehr unwahrscheinliche Impfnebenwirkungen.

Allerdings habe ich auch wenig Hoffnung, dass Menschen, die so weit gehen, dass sie irgendwelche Menschen, deren Mailadresse sie im Internet gefunden haben, um eine Impfzertifikatsfälschung bitten, mit rationalen Argumenten zu überzeugen sind.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Impfnachweise besser als ihr Ruf

Eines zeigt mir allerdings der ganze Vorfall: Die digitalen Impfnachweise sind besser als ihr Ruf. In Deutschland höre ich oft, dass die Sicherheit der Zertifikate doch sowieso egal sei, da sie niemand prüft - was bedauerlich ist und viel darüber aussagt, wie man hierzulande mit der Pandemie umgeht. Doch das ist längst nicht in allen Ländern so, vielerorts nimmt man das SARS-CoV-2-Virus ernster und Zugangsregeln werden real geprüft. Für Ungeimpfte erhöht sich vielerorts der Druck - und das ist angesichts steigender Infektionszahlen auch gut so.

Wir wissen seit ein paar Tagen, dass es einigen Menschen offenbar tatsächlich gelungen ist, in der EU gültige Impfnachweise zu fälschen. Verantwortlich dafür waren wohl, so wie es sich bislang darstellt, ungeschützte Zertifikatsausstellungs-Webseiten im Internet.

Umso bedauerlicher, dass die hierzulande verantwortlichen Behörden den Vorfall offenbar nicht sonderlich ernst nehmen. Das Gesundheitsministerium antwortete auf Anfragen von Golem.de nur ausweichend, das Robert Koch-Institut weigerte sich, zu der Sache überhaupt irgendwelche Fragen zu beantworten.