Ein paar Klicks im Netz, ein Onlineshopping-Gutschein als Bezahlung, und der gefälschte Impfpass kommt per Post. Können wir mit dieser Fälschung die 2G-Regel umgehen und sogar einen digitalen QR-Code in einer Apotheke bekommen? Ein Selbstversuch.

Von Till Möller

Videobeitrag

Video

Bild © hessenschau.de

Ende des Videobeitrags

Wir beginnen unsere Recherche, nachdem sich Berichte gehäuft haben, dass sich ein gefälschter Impfpass mit täuschend echt wirkenden Corona-Impfnachweisen leicht beschaffen lässt. Was, wenn dieser Zutritt in Bars, Kneipen, Restaurants und Cafés ermöglicht? Und was, wenn noch nicht einmal eine Apotheke den gefälschten Pass erkennt und den international gültigen QR-Code ausgibt? Und das, wo die vierte Corona-Welle rollt, die Infektionszahlen allerorts steigen.

Falscher Impfpass gegen Amazon-Gutschein

Also treiben wir uns in Telegram-Foren herum: Im Netz finden wir unzählige Angebote, es reicht eine einfache Stichwortsuche. Wir schreiben mit verschiedenen Anbietern über den Messenger-Dienst und entscheiden uns für zwei Impfpässe für jeweils 20 Euro, zahlbar mit einem Amazon-Gutschein.

Wenige Tage später haben wir einen weißen Umschlag im Briefkasten. Der Inhalt: zwei gelbe Impfpässe, blanko. Mit zwei eingetragenen Impfungen. Dazu der kleine Aufkleber mit der Chargennummer, ein Stempel des Impfzentrums Kassel, eine unleserliche Unterschrift: alles korrekt - scheinbar.

Aufkleber, Stempel, Unterschrift: scheinbar ist alles korrekt. Bild © hr

Mit einer Fälschung ins Kasseler Nachtleben

Mit diesen Impfpässen ziehen wir durch das Kasseler Nachtleben, vorher haben wir unsere Daten auf der ersten Seite korrekt ausgefüllt. Die gelben Dokumente stimmt jetzt mit den Personalausweisen überein. Sechs Bars, Restaurants und Cafés besuchen wir, nirgendwo fliegen wir mit den gefälschten Pässen auf, kommen überall problemlos rein. Nur zweimal wird der Impfausweis mit dem Personalausweis abgeglichen: eine ziemlich ernüchternde Bilanz.

Nach unseren Besuchen konfrontieren wir die Gastronomen mit den gefälschten Pässen - ihnen steht der Schock ins Gesicht geschrieben. Denn wir hätten ungeimpft und Corona-positiv sein können.

In einer Kaffeerösterei schauen die Barista Fabian und Mirja ungläubig auf die gefälschte Impfbescheinigung. "Für mich war entscheidend: Aufkleber, Datum und das Ding ist gelb. Ich müsste ja ein Studium betreiben, um zu wissen, welche Merkmale entscheidend sind", sagt Fabian, und seine Kollegin ergänzt: "Uns müsste gesagt werden, worauf wir genau achten müssen."

Weg von Unterschrift und Stempel hin zu digitalen Zertifikaten

Aber kann man den Gastronomen die alleinige Verantwortung geben, wenn die Impfpässe so einfach zu fälschen sind? "Bei dem Experiment mit dem Papier-Impfpass und dem Personalausweis hatten die Gastronomen keine Chance", sagt Sebastian Schreiber vom Verein Sicheres Netz. Der Impfpass sei nicht fälschungssicher konzipiert, ein altes Dokument, das gar nicht auf eine hohe Sicherheit ausgelegt sei. Der IT-Sicherheitsexperte aus Tübingen fordert deshalb eine Abkehr von Unterschrift, Stempel und Aufkleber in Impfpässen.

Für die Täter sieht der IT-Fachmann zwei Einfallstore. Das eine sei die unzureichende Kontrolle des Personalausweises und der Abgleich mit den Daten auf dem Impfpass. Dazu seien die Daten auf dem leicht zu fälschenden Impfpass aus Papier zu leicht in einen fälschungssicheren QR-Code übertragbar. Ist es ein Kinderspiel, mit dem gefälschten Impfpass einen sicheren QR-Code für die Corona- oder CovPass-App zu bekommen?

Apotheke: Können Impfpässe nicht auf Echtheit überprüfen

Gleich bei der ersten Apotheke haben wir Glück, bekommen den begehrten Code und können ihn im Smartphone hinterlegen. Auch hier klären wir die Apothekerin über den Selbstversuch auf. Ihre Reaktion ist deutlich: "Ich bin total schockiert, dass sie die mit dem Wasserzeichen versehenen Impfaufkleber bekommen haben."

Dass unser Ausweis neu ist, habe sie nicht irritiert. Sie bekomme immer wieder verschiedene Impfpässe gezeigt und habe keine Möglichkeit, diese auf deren Echtheit zu prüfen.

Das kann IT-Mann Schreiber bestätigen. Er sehe bei den Apotheken keine Chance, den echten Impfpass von einem falschen zu unterscheiden. Eine wirkliche Überprüfung könne nicht stattfinden, schon allein wegen des restriktiven Datenschutzes in Deutschland.

Weder Arzt noch Apotheker können den Impfstatus eines Patienten oder einer Kundin sehen. Der Apotheker habe lediglich die Möglichkeit, den Impfpass oder das ausgestellte Zertifikat mit dem Personalausweis abzugleichen und dann den QR-Code auszugeben. Selbst ein Profi, der sich mit Dokumenten und Graphologie auskenne, habe keine Chance. Der Impfpass sei quasi echt.

In der Apotheke: keine Chance, den Impfpass auf seine Echtheit zu überprüfen. Bild © hr

Kriminelle und deren Kunden stärker abschrecken

Auf hr-Anfrage bestätigt das auch das Landeskriminalamt (LKA): Impfpässen mangele es an allgemein gültigen und einheitlichen Sicherheitsmerkmalen, was die Erkennbarkeit einer Fälschung erschwere. Das LKA geht von einer dreistelligen Zahl von Impfpass-Delikten allein in Hessen aus. Erst kürzlich gelang der Polizei ein Schlag gegen den Handel mit gefälschten Corona-Impfausweisen, sie nahm zwölf Verdächtige fest, unter ihnen zehn Kunden.

IT-Sicherheitsexperte Schreiber hält es für wichtig, auf Abschreckung zu setzen, Strafen zu erhöhen. "Wenn die Präsentation eines gefälschten Impfausweises 2.000 Euro Strafe kostet, werden sich die Leute überlegen, ob sie so noch in die Clubs gehen", sagt er. Dazu müsse die Polizei die Ausweise überprüfen.