„An sich können sie nicht gefälscht werden“, sagt Guillaume Steichen, der Generalsekretär der Luxemburger Vereinigung für Ärzte und Zahnärzte (AMMD), im Tageblatt-Gespräch zu Luxemburgs Impfnachweisen. Die Zertifikate würden nämlich in einem gesicherten Umfeld erzeugt werden. Dafür würden Luxemburgs Gesundheitsberufler eine spezielle, für diesen Zweck entwickelte Software benutzen. Zugang zu diesem Computer-Programm haben nur jene Gesundheitsberufler, die im Vorfeld die Bestimmungen eines Pflichtenkatalogs akzeptiert und das Dokument unterschrieben haben.
LINK Hier erfahren Sie mehr zur Entwicklung des „digitalen Impfpasses“
Tina Koch, Generalsekretärin des Krankenpflegeverbandes ANIL, erklärt im Gespräch mit dem Tageblatt: „Wir haben die Möglichkeit, über MyGuichet.lu ein Zertifikat auszustellen.“ Gesundheitsberufler haben auf dem Portal Zugang zu einem beruflichen Bereich. Darauf würden zum Beispiel Ärzte ihre Abrechnungen mit der CSN regeln. „Mit dem Namen und der Sozialversicherungsnummer wird man auf dem Portal als Gesundheitsberufler erkannt und erhält Zugang zu den verschiedenen Funktionen – darunter auch die Möglichkeit, ein Covid-Check-Zertifikat auszustellen.“
Das Programm erlaube es den Fachkräften auch, zu überprüfen, wie viele Impfungen ein Patient bereits erhalten habe und welches Vakzin ihm verabreicht wurde, sagt Steichen. Die berechtigten Personen müssten sich dafür jedes Mal authentifizieren – so etwa mittels ihres LuxTrust-Tokens –, um auf das Programm zugreifen zu können.
QR-Codes angeblich nicht so einfach zu fälschen
Anfangs habe man die Zertifikate noch händisch ausgestellt, bis der Prozess digitalisiert wurde. Mittlerweile werde der nötige QR-Code aber direkt digital erstellt. Die Frage, ob oder inwiefern die eingetragenen Daten noch nachträglich von der „Santé“ kontrolliert werden, kann die ANIL-Generalsekretärin nicht beantworten. „Es entspricht aber absolut nicht unserem Deontologie-Kodex, gefälschte Zertifikate zu verkaufen“, sagt Koch. „Das wäre Betrug.“ Ob das System umgangen werden kann – zum Beispiel durch die Eingabe einer falschen Sozialversicherungsnummer – habe Koch noch nicht probiert. „Ich bin auf den Zugang angewiesen und will nicht blockiert werden“, sagt die Krankenschwester.
Steichen glaubt nicht, dass die QR-Codes so einfach zu fälschen sind: Da sei „kein Fälschungspotential möglich“. Eine Möglichkeit gebe es allerdings doch: Jemand, der Zugang zu dem Programm hat, könne ein Zertifikat erstellen, ohne vorher eine Person zu impfen. Der Generalsekretär der AMMD meinte aber im gleichen Atemzug, dass er sich nicht vorstellen könnte, dass jemand das tun würde – unter anderem, weil Betrügern hohe Geld- und sogar Gefängnisstrafen drohen.
Tina Koch glaubt allerdings, dass die Zertifikate auch ohne Zutun eines Gesundheitsberuflers gefälscht werden können. „Bei einer Fortbildung in Frankreich habe ich von Netzwerken erfahren, die gefälschte Zertifikate im Internet für 2.000 Euro anbieten“, sagt Koch. „Es braucht eigentlich nur einen guten Grafiker.“
Zertifikat-Dealer aus der Schweiz
Dass es bei den Fälschungen längst nicht mehr nur um die Beseitigung alltäglicher Unannehmlichkeiten geht, zeigt ein Artikel aus der Luzerner Zeitung. Ein Schweizer Journalist hat sich mit einem Mitglied einer sechsköpfigen Bande unterhalten, die mit gefälschten Impfzertifikaten dealt. Die Bande beliefere sämtliche Länder Europas, hauptsächlich aber die Schweiz. Sie arbeite mit zwei Apotheken zusammen, die mehrere Filialen besitzen würden. Diese würden die Fälscher mit echten Zertifikaten versorgen.
Die Dealer würden die gefälschten Bescheinigungen über eine Messaging-App der Firma Wickr an den Kunden bringen, heißt es im Interview. Ab sieben Pässen gebe es sogar einen Mengenrabatt. Ein genauer Preis wird allerdings nicht genannt. Aus dem Interview geht allerdings hervor, dass sie Dealer nur Kryptowährungen als Zahlungsmittel akzeptieren. Der Fälscher wollte sich nicht zu dem Gewinn äußern, meinte aber, dass es sich um „mehr als nur ein Taschengeld“ handelt.
Gibt es Kontrollmechanismen?
In Luxemburg dürfen laut AMMD-Generalsekretär Steichen hauptsächlich Ärzte, ausgebildete Physiotherapeuten und Krankenpfleger Corona-Vakzine verabreichen.
Im aktuellen Gesetzestext vom 18. Oktober werden auch alle Berufsgruppen aufgezählt, die ein negatives Ergebnis eines Corona-Antigen-Schnelltests zertifizieren dürfen. Berechtigt sind neben Ärzten, Apothekern und Krankenpflegern auch Hebammen, Pflegehelfer, medizinisch-technische Assistenten, Laboranten, Osteopathen, Physiotherapeuten und Sozialhygieneassistenten.
Update zu den Kontrollmechanismen
Wie das Zentrum für Informationstechnologie des Staates (CTIE) dem Tageblatt am Dienstagmorgen (23.11.2021) mitteilt, ist „die nationale Anwendung durch eine Vielzahl von Sicherheitsmechanismen geschützt“. Zudem sei ein europäisches System zum Austausch von als ungültig identifizierten Zertifikaten in Arbeit. Das CTIE warnt auch davor, Fotos von Impfzertifikaten zu veröffentlichen. Diese könnten nämlich missbraucht und kopiert werden.
Bis Redaktionsschluss am Montag blieben allerdings noch die wichtigsten Fragen unbeantwortet, da das Tageblatt noch keine Antworten auf seine Fragen an das Gesundheitsministerium und das Zentrum für Informationstechnologie des Staates erhalten hat.
Ungeklärt bleibt vor allem, welche internen Kontrollmechanismen vorgesehen wurden – oder ob es überhaupt welche gibt –, um das Betrügen zu unterbinden. Wie werden Gesundheitsberufler davon abgehalten, ihre Position auszunutzen und sich mit falschen Zertifikaten eine goldene Nase zu verdienen? Ohne Kontrollmechanismen scheint die Wahrscheinlichkeit aufzufliegen, relativ gering zu sein – es sei denn, die Zertifikate werden unter Namen wie Spongebob, Mickey Mouse und Adolf Hitler geführt.
Spongebob, Mickey Mouse und Adolf Hitler sind gegen #Corona geimpft. Jedenfalls kursieren EU-Fake-Zertifikate, die genau das belegen sollen. Beim einscannen werden sie als gültig erkannt, auch in der #Schweiz. #CovidCertificateCH #Fake @nau_live https://t.co/94J8p2S4Vo
— Miguel Pereiro (@MiguelPereiroCa) October 28, 2021
A wann der beim Garagist en Auto oder e Moto kaaft, freet den no der der C.I. an dem Matricule. A mécht esouguer eng Copie dovun. Post a Bank hätten se och gaere, wann e wëllt Geld ophiewen oder deposéieren.
Claude Oswald "Um Betrug aufzudecken oder zu verhindern, könnte man bei einer Kontrolle den Impfpass mit dem Personalausweis vergleichen. Oder steht der Datenschutz einer solchen Überprüfung im Wege ?" All Epicerie muss d'CI kontrolléieren ier se Zigaretten oder Alkohol erausgin laut Gesetz. Ditto wann se gär an e Nightclub wëllen a keng Falen am Gesiicht hunn. Am Hotel op der aner Säit vum Gank vum Restaurant kritt Der keen Zëmmer ouni, do schreiwen se och nach d'Nummer vun der C.I. op.
Ich dachte die seien verschlüsselt und fälschungssicher! LOL Bin gespannt, wann die ersten eSanté-digitalen Patientenakten im Netz oder sogar im Fratzenbuch auftauchen! Freue mich schon drauf!
Covidcheck ohne Ausweiskontrolle macht keinen Sinn.
@ Claude Oswald Gute Frage! Wo steht überhaupt geschrieben, dass nur die Polizei die Personalausweise kontrollieren darf, wenn man einmal überlegt wo überall man sich freiwillig ausweist. Eigentlich dient der Ausweis ja dazu sich als die Person auszuweisen als die, die man vorgibt zu sein, egal wem gegenüber. Im Zusammenhang mit Covidcheck-Kontrolle sollte die Ausweispflicht gegenüber der kontrollierenden Person explizit gesetzlich erwähnt werden. Mit Datenschutzbestimmungen hat das nichts zu tun.
Um Betrug aufzudecken oder zu verhindern, könnte man bei einer Kontrolle den Impfpass mit dem Personalausweis vergleichen. Oder steht der Datenschutz einer solchen Überprüfung im Wege ?
Wegen 3 G, also den gelben gut gefälschten müssen auch die Geimpften getestet werden!