Gefälschte digitale Impfzertifikate im Umlauf / ESET Sicherheitsexperte gibt erste Einschätzung

Einschätzung des ESET-Sicherheitsexperten Thomas Uhlemann  als Reaktion auf die im Internet aufgetauchten, offensichtlich gefälschten Zertifikate des „Grünen EU-Impfpasses“.

Was ist passiert?

Am 26.10.2021 tauchten erste Berichte über digitale Impfzertifikate im Internet auf, die auf „ Adolf Hitler“ ausgestellt sind. Sowohl mit einer polnischen als auch mit einer französischen Signatur war es Unbekannten gelungen, valide Impfzertifikate des „Grünen EU-Impfpasses“ auf beliebige Namen zu erstellen.

Dass gültige Impfzertifikate in digitaler Form im Internet zu finden sind, überrascht wenig. Bereits bei den Zertifikaten in Papierform wurden Fälschungen bekannt. Diese waren unter anderem möglich, weil an Ausgabestellen, wie privaten Impfzentren, die Prüfungen nicht ausreichend waren.

Aktuell gibt es keine Anzeichen dafür, dass die Gesundheitssysteme in Polen, Frankreich oder Deutschland kompromittiert wurden.

Woher können die Zertifikate stammen und zu welchem Preis werden diese gehandelt?

Möglicherweise ist es Unberechtigten gelungen, an die privaten (FIDO) Schlüssel von Apotheken oder Arztpraxen zu gelangen. Die Signaturen dieser Schlüssel werden als gültig erkannt. Damit kann man beliebige Zertifikate für das jeweilige Land ausstellen. Diese Signaturen werden derzeit in einschlägigen Internetforen für circa 300 Euro gehandelt.

Sind deutsche Arztpraxen ausreichend geschützt?

Gerade im Bereich der niedergelassenen Ärzte beobachten wir seit vielen Jahren, das häufig immer noch vollkommen veraltete IT-Systeme eingesetzt werden. Diese sind nur unzureichend vor Fremdzugriff geschützt. Das hat generell eklatante Auswirkungen auf die Sicherheit von Patientendaten und, wie im aktuellen Fall, auch auf die Sicherheit des Impfzertifikats. Für Hacker sind diese Netzwerke besonders attraktiv, da diese immer versuchen das schwächste Glied anzugreifen.

Schlüssel immer noch in Deutschland gültig!

Andere Länder, wie beispielsweise Italien, haben bereits die Gültigkeit der Schlüssel zurückgezogen haben. Aktuelle Checks in Deutschland zeigen jedoch weiterhin die volle Gültigkeit an. Sowohl die verfügbaren offiziellen Apps „Corona-Warn App“ und „CovPassCheck“ (mit Stand 28.10. morgens) bestätigen nach wie vor die Validität

Das kann verheerende Folgen haben, insbesondere wenn es schnell gehen muss. Bei Überprüfungen im öffentlichen Raum, wie etwa am Flughafen oder der Einlasskontrolle von Clubs, werden in der Praxis selten bis nie der Personalausweis von der zeigenden Person verlangt. Stattdessen wird sich darauf verlassen, dass das scannende Gerät „Zertifikat gültig“ anzeigt. Das angestrebte Vertrauen in die möglichst sichere Durchführung von Veranstaltungen und Reise ist also zutiefst erschüttert, wenn es – entgegen anderslautender Beteuerungen – eben innerhalb von 3 Tagen nicht gelungen ist, in Deutschland diese Schlüssel zu blockieren.

Was wären die Folgen?

Mittlerweile werden auf Code-Sharing Plattformen eine ganze Reihe von Schlüsseln und andere Zertifikate mit Phantasienamen wie „SpongeBob“ angeboten. Daher befürchten Experten, dass das Leck größer als bisher angenommen ist. Die Folgen wären dramatisch und würden im schlimmsten dazu führen, dass die Funktionsweise und die Integrität des Grünen EU-Impfpasses komplett in Frage gestellt werden könnte. Denkbar ist auch, dass es einzelnen Ländern, wie Polen und Frankreich vorübergehend nicht gestattet ist, neue Zertifikate auszustellen. Das dadurch entstehende Chaos ist abzusehen.