EU-Impfnachweis: Wie ich zum gefragten Impfzertifikatsfälscher wurde

Eigentlich hatte ich nur ein triviales Python-Skript veröffentlicht, doch dann kamen die Anfragen der Impfschwurbler.

Ein Erfahrungsbericht von veröffentlicht am
Hier geht's zum kostenlosen digitalen Impfnachweis - den Schutz vor einer potenziell tödlichen Krankheit gibt's als Bonus dazu.
Hier geht's zum kostenlosen digitalen Impfnachweis - den Schutz vor einer potenziell tödlichen Krankheit gibt's als Bonus dazu. (Bild: PantheraLeo1359531/Wikimedia Commons/CC-BY 4.0)

Vor einigen Monaten, als die Covid-19-Impfungen gerade an Tempo gewannen und immer mehr Menschen einen digitalen Impfnachweis erhielten, habe ich mir die Technik hinter diesen QR-Codes angesehen. Ein Ergebnis davon war, dass ich ein Python-Skript geschrieben habe, welches die Daten aus den Impfzertifikaten ausliest.

Stellenmarkt
  1. IT Servicetechniker*in
    SCHOTT AG, Müllheim
  2. Trainee Business Process Automation Management (m/w/d)
    AOK PLUS - Die Gesundheitskasse für Sachsen und Thüringen, Dresden
Detailsuche

Das Skript tut nichts Spektakuläres. Es liest Bilder mit QR-Codes ein, diese werden mit den jeweils passenden Bibliotheken für die darin enthaltenen Datenformate verarbeitet und anschließend die darin codierten Informationen wie etwa der Name der geimpften Person ausgegeben. Eine Prüfung der digitalen Signatur habe ich nicht implementiert.

Dieses recht banale Skript - es hatte in seiner ursprünglichen Version lediglich sieben reale Codezeilen - habe ich vor einiger Zeit auf Github veröffentlicht. Es erfreut sich dort einer gewissen Beliebtheit, ich habe ein paar weitere Funktionen eingebaut, etwa die Möglichkeit, die Zertifikate auch aus Textdateien auszulesen. Es gibt auch einen Fork, der die Prüfung der Zertifikatssignaturen durchführt.

Impfschwurbler bieten mir Geld für falsche Zertifikate

Diese eigentlich recht unspektakuläre Veröffentlichung eines kleinen Python-Skripts hatte jedoch eine Folge, mit der ich nicht gerechnet hatte: Zahlreiche Impfverweigerer glauben offenbar, dass ich doch sicher auch in der Lage sein müsste, die Funktion des Skripts umzukehren - sprich: Impfzertifikate nicht nur auszulesen, sondern auch zu erstellen.

Golem Akademie
  1. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    14.–15. Oktober 2021, Virtuell
  2. Einführung in die Programmierung mit Rust: virtueller Fünf-Halbtage-Workshop
    21.–25. März 2022, Virtuell
Weitere IT-Trainings

Regelmäßig trudeln bei mir Mails, Bugreports oder Twitter-Direktnachrichten ein, die mich fragen, ob ich ihnen ein Zertifikat erstellen kann. Einige haben mir dafür schon Geld angeboten, andere glauben offenbar, dass das Skript dazu bereits in der Lage sein sollte und bitten mich um eine Anleitung oder ein Videotutorial. Bei fast allen wird klar: Sie sind nicht geimpft - und wollen die Einschränkungen, die vielerorts für Ungeimpfte gelten, gerne umgehen.

Natürlich könnte ich ihnen einfach antworten, dass das so nicht funktioniert, dass ich zwar vielleicht ein entsprechendes Impfzertifikat erzeugen könnte, dass dies aber keine gültige Signatur hätte und damit von keiner Prüfanwendung akzeptiert wird.

Eigentlich möchte ich ihnen gerne antworten, dass sie unverantwortlich sind, dass sie sich und ihre Mitmenschen gefährden. Dass es - zumindest für Menschen, die in der EU leben - einen ganz einfachen Weg gibt, an ein absolut gültiges Impfzertifikat zu gelangen: Sie können sich einfach impfen lassen. Dass das Risiko einer Covid-19-Infektion um ein Vielfaches höher liegt als sehr unwahrscheinliche Impfnebenwirkungen.

Allerdings habe ich auch wenig Hoffnung, dass Menschen, die so weit gehen, dass sie irgendwelche Menschen, deren Mailadresse sie im Internet gefunden haben, um eine Impfzertifikatsfälschung bitten, mit rationalen Argumenten zu überzeugen sind.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Impfnachweise besser als ihr Ruf

Eines zeigt mir allerdings der ganze Vorfall: Die digitalen Impfnachweise sind besser als ihr Ruf. In Deutschland höre ich oft, dass die Sicherheit der Zertifikate doch sowieso egal sei, da sie niemand prüft - was bedauerlich ist und viel darüber aussagt, wie man hierzulande mit der Pandemie umgeht. Doch das ist längst nicht in allen Ländern so, vielerorts nimmt man das SARS-CoV-2-Virus ernster und Zugangsregeln werden real geprüft. Für Ungeimpfte erhöht sich vielerorts der Druck - und das ist angesichts steigender Infektionszahlen auch gut so.

Wir wissen seit ein paar Tagen, dass es einigen Menschen offenbar tatsächlich gelungen ist, in der EU gültige Impfnachweise zu fälschen. Verantwortlich dafür waren wohl, so wie es sich bislang darstellt, ungeschützte Zertifikatsausstellungs-Webseiten im Internet.

Umso bedauerlicher, dass die hierzulande verantwortlichen Behörden den Vorfall offenbar nicht sonderlich ernst nehmen. Das Gesundheitsministerium antwortete auf Anfragen von Golem.de nur ausweichend, das Robert Koch-Institut weigerte sich, zu der Sache überhaupt irgendwelche Fragen zu beantworten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


BLi8819 18. Nov 2021 / Themenstart

Im Gegensatz zu dir nennen die Medien ihre Quellen.

User_x 18. Nov 2021 / Themenstart

Wieso wird der Verunglückte jetzt höher bewertet? In so einer angespannten Lage könnte...

rcp48 17. Nov 2021 / Themenstart

War in Rom Green pass überall incl. kontrolle. vielerorts + Ausweis manchmal noch...

rcp48 17. Nov 2021 / Themenstart

Bin dafür. "Wer vom dreuen Stirbt soll mit fürzen zu grabe geleitet werden."

rcp48 17. Nov 2021 / Themenstart

Ich komm aus dem Landkreis der mit die höchste Inzidenz hat. Hab 18 Monate Vollzeit und...

Kommentieren



Aktuell auf der Startseite von Golem.de
Bitcoin und Co.
Kryptowährungen stürzen ab

Bitcoin, Ether und andere Kryptowährungen haben ein schlechtes Wochenende hinter sich. Bitcoin liegt fast 20 Prozent unter dem Wert der Vorwoche.

Bitcoin und Co.: Kryptowährungen stürzen ab
Artikel
  1. Catapult: Imgtech bringt RISC-V CPU-Serie bis zum 8-Kerner
    Catapult
    Imgtech bringt RISC-V CPU-Serie bis zum 8-Kerner

    Imagination bietet wieder eigene CPUs an. Die RISC-V-Serie Catapult soll vom Controller bis zum großen 8-Kerner skalieren.

  2. Eisenoxid-Elektrolyse: Stahlherstellung mit Strom statt Kohle
    Eisenoxid-Elektrolyse
    Stahlherstellung mit Strom statt Kohle

    Das Forschungsprojekt Siderwin entwickelt einen Prozess zur klimafreundlichen Stahlherstellung mittels direkter Elektrolyse.
    Von Hanno Böck

  3. Corona: Google verschiebt Rückkehr ins Büro
    Corona
    Google verschiebt Rückkehr ins Büro

    Erst Anfang 2022 will Google entscheiden, wann Mitarbeiter in den USA wieder in ihre Büros kommen sollen - die ursprüngliche Planung ist obsolet.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional Werkzeug und Zubehör • Corsair Virtuoso RGB Wireless Gaming-Headset 187,03€ • Noiseblocker NB-e-Loop X B14-P ARGB 24,90€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • Alternate (u. a. Patriot Viper VPN100 2 TB SSD 191,90€) [Werbung]
    •  /