20 Minuten macht den Test – Bund ausgetrickst – so einfach kaufen sich Ungeimpfte ein Covid-Zertifikat
Publiziert

20 Minuten macht den TestBund ausgetrickst – so einfach kaufen sich Ungeimpfte ein Covid-Zertifikat

Seit mehreren Monaten sollen in der Ostschweiz Insider echte Impfzertifikate an Ungeimpfte verkaufen – auch 20 Minuten hatte Zugriff auf das Bundes-Tool. Kritiker bemängeln, dass zu viele Personen Zugang zum System hätten.

von
Noah Knüsel
1 / 7
Ohne Covid-Zertifikate sind derzeit viele Freizeitaktivitäten unmöglich. Das schafft Anreize für Ungeimpfte, auf illegalem Weg eines zu beschaffen. Auch 20 Minuten hatte Zugriff auf das entsprechende Online-Tool, das vom Bundesamt für Informatik bereitgestellt wird.

Ohne Covid-Zertifikate sind derzeit viele Freizeitaktivitäten unmöglich. Das schafft Anreize für Ungeimpfte, auf illegalem Weg eines zu beschaffen. Auch 20 Minuten hatte Zugriff auf das entsprechende Online-Tool, das vom Bundesamt für Informatik bereitgestellt wird.

20min/Marco Zangger
Ein Redaktor konnte für eine fiktive Person ein Impfzertifikat erstellen und es in die Covid-Zertifikatsapp laden. Der QR-Code wird von der Check-App als gültig anerkannt und auch sonst ist das Zertifikat nicht als Fälschung erkennbar.

Ein Redaktor konnte für eine fiktive Person ein Impfzertifikat erstellen und es in die Covid-Zertifikatsapp laden. Der QR-Code wird von der Check-App als gültig anerkannt und auch sonst ist das Zertifikat nicht als Fälschung erkennbar.

Screenshot
Beim Kanton St. Gallen ist die Problematik bekannt. Man gehe allen Hinweisen nach: «In zwei Fällen wurde bisher Anzeige erstattet, zwei weitere sind in Abklärung.»

Beim Kanton St. Gallen ist die Problematik bekannt. Man gehe allen Hinweisen nach: «In zwei Fällen wurde bisher Anzeige erstattet, zwei weitere sind in Abklärung.»

20min/Marco Zangger

Darum gehts

  • 20 Minuten konnte über ein IT-Tool des Bundes ein Covid-Zertifikat für eine fiktive Person generieren.

  • Mit dem gleichen Login sollen seit Monaten gefälschte Impfzertifikate generiert und verkauft werden.

  • Beim Kanton ist die Problematik bekannt. Man gehe allen Hinweisen nach: «In zwei Fällen wurde bisher Anzeige erstattet, zwei weitere sind in Abklärung.»

  • IT-Experte Lionel Bloch vermutet, dass Gesundheitsangestellte ein Login missbrauchen: «Der Bund hätte den Zugang zum IT-System stärker einschränken sollen.»

  • «Die Kontrollmöglichkeiten des Bundes sind begrenzt», heisst es dagegen beim BAG.

Egal ob ein Essen im Restaurant oder Tanzen im Club: Ohne Covid-Zertifikat sind momentan viele Freizeitaktivitäten unmöglich. Das schafft auch Anreize für Ungeimpfte, auf illegalem Weg eines zu beschaffen: Bereits wurden mehrere Fälle bekannt, in welchen gefälschte Impfzertifikate verkauft wurden, etwa in der Romandie oder im Kanton Schaffhausen.

Wie Recherchen von 20 Minuten nun zeigen, gibt es in der Ostschweiz einen weiteren Fall: Insider generierten mit echten Anmeldedaten bisher unbehelligt Impfzertifikate und verkauften diese mutmasslich für mehrere Hundert Franken pro Stück. Auch 20 Minuten hatte Zugriff auf das entsprechende Online-Tool, das vom Bundesamt für Informatik bereitgestellt wird.

Ein Redaktor konnte für eine fiktive Person ein Impfzertifikat erstellen und es in die Covid-Zertifikatsapp laden. Der QR-Code wird von der Check-App als gültig anerkannt und auch sonst ist das Zertifikat nicht als Fälschung erkennbar. Die Betrugsmasche läuft gemäss Informationen von 20 Minuten nun schon mehrere Monate lang. Viele der so gefälschten Impfzertifikate sollen in St. Gallen verkauft worden sein.

Kanton kritisiert Bund

Beim Kanton ist die Problematik bekannt: «Auf mehreren Kanälen werden gefälschte Impfzertifikate angeboten», heisst es beim Gesundheitsdepartement. Man gehe allen Hinweisen nach: «In zwei Fällen wurde bisher Anzeige erstattet, zwei weitere sind in Abklärung.»

Laut dem Kanton dürfte das Login aus einem Testzentrum, einer Apotheke oder einer Arztpraxis stammen. Denn: «Das Personal in den Impfzentren hat keinen Zugang zum IT-System, um direkt ein Impfzertifikat zu erstellen.» Es sei problematisch, dass das Personal von Teststellen auch Impfzertifikate generieren könne, heisst es weiter. Diesen Punkt habe das St. Galler Gesundheitsdepartement schon mehrmals beim Bund beanstandet.

«Zugang hätte eingeschränkt werden müssen»

IT-Sicherheitsexperte Lionel Bloch vermutet ebenfalls, dass im vorliegenden Fall Gesundheitsangestellte ein bestehendes Login missbrauchen. «Der Bund hätte die Berechtigungen stärker einschränken sollen», sagt er. Je mehr Personen auf ein solches Tool zugreifen könnten, desto höher sei die Wahrscheinlichkeit, dass die Login-Daten in die falschen Hände geraten könnten.

Laut Bloch gibt es aber verschiedene technische Möglichkeiten, um Hinweise auf mutmassliche Zertifikatsbetrüger und -betrügerinnen zu erhalten: «Das könnten etwa Algorithmen sein, die Unregelmässigkeiten finden und dann die Behörden darüber informieren.» Grundsätzlich sei die Rückverfolgung der Straftäter oder der Straftäterinnen möglich, allerdings mit einem grösseren Aufwand verbunden.

Kantone sollen Massnahmen ergreifen

Das IT-System erkenne Ausreisser, die innert kurzer Zeit viele Zertifikate ausstellten, sagt BAG-Sprecherin Nani Moras. Grundsätzlich seien die Kontrollmöglichkeiten des Bundes aber begrenzt. Das Zertifikatssystem sei auf hohe Funktionalität und Nutzerfreundlichkeit ausgelegt, so Moras weiter: «Die Vergabe von Berechtigungen zur Zertifikatsausstellung liegt in der Verantwortung der Kantone.»

«Wer gefälschte Zertifikate ausstellt, dem drohen bis zu fünf Jahre Gefängnis oder eine Geldstrafe wegen Urkundenfälschung», sagt Adrian Wyss, Rechtsanwalt und Partner der Kanzlei Bratschi. Das Strafmass steige mit der Anzahl der gefälschten Zertifikate. Und auch die Käuferinnen und Käufer machten sich der Urkundenfälschung strafbar.

Infektiologe: «Unsolidarisch, verantwortungslos und kriminell»

Für Infektiologe Andreas Widmer ist klar: «Wer sich im Alltag mit einem gefälschten Impfzertifikat bewegt, handelt unsolidarisch, verantwortungslos und letztlich kriminell.» Man nehme bewusst Corona-Infektionen in Kauf – bei 3G-Veranstaltungen auch von Personen ohne Immunschutz: «Das grenzt für mich an fahrlässige Körperverletzung.»

Der R-Wert der momentan dominierenden Delta-Variante betrage zwischen fünf und sieben, bei Omikron wohl noch deutlich mehr: «Ich muss also grundsätzlich damit rechnen, im Fall einer Corona-Infektion mehr als fünf weitere Personen anzustecken.» Bewege man sich etwa in einem schlecht belüfteten Club, verstärke sich dieser Effekt gar noch.

My 20 Minuten

Als Mitglied wirst du Teil der 20-Minuten-Community und profitierst täglich von tollen Benefits und exklusiven Wettbewerben!

Deine Meinung

113 Kommentare