20 Minuten macht den Test – Bund ausgetrickst – so einfach kaufen sich Ungeimpfte ein Covid-Zertifikat

Egal ob ein Essen im Restaurant oder Tanzen im Club: Ohne Covid-Zertifikat sind momentan viele Freizeitaktivitäten unmöglich. Das schafft auch Anreize für Ungeimpfte, auf illegalem Weg eines zu beschaffen: Bereits wurden mehrere Fälle bekannt, in welchen gefälschte Impfzertifikate verkauft wurden, etwa in der Romandie oder im Kanton Schaffhausen.

Wie Recherchen von 20 Minuten nun zeigen, gibt es in der Ostschweiz einen weiteren Fall: Insider generierten mit echten Anmeldedaten bisher unbehelligt Impfzertifikate und verkauften diese mutmasslich für mehrere Hundert Franken pro Stück. Auch 20 Minuten hatte Zugriff auf das entsprechende Online-Tool, das vom Bundesamt für Informatik bereitgestellt wird.

Ein Redaktor konnte für eine fiktive Person ein Impfzertifikat erstellen und es in die Covid-Zertifikatsapp laden. Der QR-Code wird von der Check-App als gültig anerkannt und auch sonst ist das Zertifikat nicht als Fälschung erkennbar. Die Betrugsmasche läuft gemäss Informationen von 20 Minuten nun schon mehrere Monate lang. Viele der so gefälschten Impfzertifikate sollen in St. Gallen verkauft worden sein.

Beim Kanton ist die Problematik bekannt: «Auf mehreren Kanälen werden gefälschte Impfzertifikate angeboten», heisst es beim Gesundheitsdepartement. Man gehe allen Hinweisen nach: «In zwei Fällen wurde bisher Anzeige erstattet, zwei weitere sind in Abklärung.»

Laut dem Kanton dürfte das Login aus einem Testzentrum, einer Apotheke oder einer Arztpraxis stammen. Denn: «Das Personal in den Impfzentren hat keinen Zugang zum IT-System, um direkt ein Impfzertifikat zu erstellen.» Es sei problematisch, dass das Personal von Teststellen auch Impfzertifikate generieren könne, heisst es weiter. Diesen Punkt habe das St. Galler Gesundheitsdepartement schon mehrmals beim Bund beanstandet.

IT-Sicherheitsexperte Lionel Bloch vermutet ebenfalls, dass im vorliegenden Fall Gesundheitsangestellte ein bestehendes Login missbrauchen. «Der Bund hätte die Berechtigungen stärker einschränken sollen», sagt er. Je mehr Personen auf ein solches Tool zugreifen könnten, desto höher sei die Wahrscheinlichkeit, dass die Login-Daten in die falschen Hände geraten könnten.

Laut Bloch gibt es aber verschiedene technische Möglichkeiten, um Hinweise auf mutmassliche Zertifikatsbetrüger und -betrügerinnen zu erhalten: «Das könnten etwa Algorithmen sein, die Unregelmässigkeiten finden und dann die Behörden darüber informieren.» Grundsätzlich sei die Rückverfolgung der Straftäter oder der Straftäterinnen möglich, allerdings mit einem grösseren Aufwand verbunden.

Das IT-System erkenne Ausreisser, die innert kurzer Zeit viele Zertifikate ausstellten, sagt BAG-Sprecherin Nani Moras. Grundsätzlich seien die Kontrollmöglichkeiten des Bundes aber begrenzt. Das Zertifikatssystem sei auf hohe Funktionalität und Nutzerfreundlichkeit ausgelegt, so Moras weiter: «Die Vergabe von Berechtigungen zur Zertifikatsausstellung liegt in der Verantwortung der Kantone.»

«Wer gefälschte Zertifikate ausstellt, dem drohen bis zu fünf Jahre Gefängnis oder eine Geldstrafe wegen Urkundenfälschung», sagt Adrian Wyss, Rechtsanwalt und Partner der Kanzlei Bratschi. Das Strafmass steige mit der Anzahl der gefälschten Zertifikate. Und auch die Käuferinnen und Käufer machten sich der Urkundenfälschung strafbar.