Studie: Gefälschte Impfzertifikate sind meist reine Abzocke
Spätestens seit die 2G-Regel eingeführt und die Impfpflicht angekündigt wurde, floriert auch in Österreich der Handel mit gefälschten Impfzertifikaten. Mit Stand Anfang November wurden vom österreichischen Bundeskriminalamt rund 500 Covid-Urkundenfälschungen verzeichnet.
"Das ist kein Kavaliersdelikt bei uns", sagte Innenminister Karl Nehammer (ÖVP): Er kündigte verstärkte Kontrollen an. Wenn man solche gefälschten Dokumente herstellt, verbreitet und vielleicht auch benutzt, drohen sogar Gefängnisstrafen. In Frage kommen die Delikte des Betrugs, der Urkunden- oder Datenfälschung sowie des Gebrauchs fremder Ausweise. Der Strafrahmen bewegt sich bei bis zu drei Jahren Haft. Hinzu kämen auch Verstöße gegen die Covid-Bestimmungen, hier sind bis zu 500 Euro Geldstrafe möglich.
Einige Impfverweigerer dürfte das nicht abschrecken, was wohl auch an den teils plumpen Angeboten liegen könnte. Eine aktuelle Studie von Sicherheitsforschern der dänischen Aalborg-Universität hat 27 Anbieter von gefälschten Impfzertifikaten unter die Lupe genommen. Die meisten Anbieter wollen Impfverweigerer wohl abzocken - nur eine Ausnahme tauchte in der Studie auf.
Schwindelige Methoden
Meist werden die Angebote im sogenannten Darkweb angeboten und über "Telegram", "ProtonMail" oder "Wickr" beworben: Sie versprechen, dass man zu einem Preis, der im Schnitt zwischen 75 und 100 Euro liegt, ein Impfzertifikat erwerben könnte, das bei Kontrollen nicht auffliegen könne. Geliefert werden auch alle möglichen Erklärungen, wie das funktionieren soll. Stimmen tut das meist nicht.
Ein italienischer Anbieter, bei dem vor Kurzem eine größere Razzia stattfand, soll etwa behauptet haben, die gefälschten Zertifikate in die Datenbank des European Centre for Disease Prevention and Control (ECDC) einzugeben, damit diese gültig sind. In Wirklichkeit werden dort solche Daten gar nicht erfasst. Das Zertifikat des italienischen Anbieters würde bei einer Kontrolle durch eine App zudem sofort auffliegen. Andere Anbieter kopieren QR-Codes, die jemand ins Internet gestellt hat, bei einer Identitätskontrolle würde der Schwindel auffliegen.
Plumpe Abzocke
Dass Impfunwillige nach Bezahlung überhaupt ein gefälschtes Zertifikat erhalten, sei laut der Studie eine Ausnahme: Nach der Überweisung, die meist in Bitcoins erfolgt, bekomme man meist keine Rückmeldung mehr. Bei Transaktionen in Kryptowährungen ist es schwer, die Flüsse nachzuverfolgen. Das Geld ist also meist weg.
Generell reichen die Preise laut den dänische Forschern von 39 bis 2.800 Dollar. Die Höhe des Preises sage dabei nichts darüber aus, ob wirklich ein gefälschtes Zertifikat ausgestellt wird. Die meisten angebotenen Fälschungen betreffen übrigens den Impfstoff von Pfizer-Biontech, angeboten werden aber auch Moderna, Johnson & Johnson sowie Sputnik V.
Gefährliche Ausnahme
Eine Ausnahme haben die Forscher dann aber doch entdeckt: Ein Anbieter dürfte es geschafft haben, Zugang zum Signatursystem in einem EU-Land zu bekommen. So können echte QR-Codes mit dem richtigen Namen der Nutzer erstellt werden. Dieser Anbieter hebt sich von den anderen Anbietern durch hohes Fachwissen ab, heißt es in der Studie. Wie genau der Anbieter vorgeht, wird aber nicht verraten.
"Wir hoffen, dass diese Studie Aufmerksamkeit auf die Situation lenkt und die zuständigen Behörden zu weitergehenden Ermittlungen über die Sicherheit der Zertifikate angeregt werden", schreiben die Autoren der Studie. Bei einer möglichen Razzia beim Anbieter können dann auch die Daten von Kunden auffliegen.
Zusammenfassung
- Eine dänische Studie hat 27 Anbieter von falschen Impfzertifikaten unter die Lupe genommen. Die meisten sammeln nur Daten und nehmen den Impfverweigerern Geld ab. Es gibt aber auch eine unerfreuliche Ausnahme.
- Meist werden die Angebote im sogenannten Darkweb angeboten und über "Telegram", "ProtonMail" oder "Wickr" beworben: Sie versprechen, dass man zu einem Preis, der im Schnitt zwischen 75 und 100 Euro liegt, ein Impfzertifikat erwerben könnte.
- Ein italienischer Anbieter, bei dem vor Kurzem eine größere Razzia stattfand, soll etwa behauptet haben, die gefälschten Zertifikate in die Datenbank des European Centre for Disease Prevention and Control (ECDC) einzugeben, damit diese gültig sind.
- In Wirklichkeit werden dort solche Daten gar nicht erfasst. Das Zertifikat des italienischen Anbieters würde bei einer Kontrolle durch eine App zudem sofort auffliegen.
- Andere Anbieter kopieren QR-Codes, die jemand ins Internet gestellt hat, bei einer Identitätskontrolle würde der Schwindel auffliegen. Dass Impfunwillige nach Bezahlung überhaupt ein gefälschtes Zertifikat erhalten, sei laut der Studie eine Ausnahme.
- Eine Ausnahme haben die Forscher dann aber doch entdeckt: Ein Anbieter dürfte es geschafft haben, Zugang zum Signatursystem in einem EU-Land zu bekommen. So können echte QR-Codes mit dem richtigen Namen der Nutzer erstellt werden.