Apothekerkammer: Hunderttausende falsche Impfpässe hierzulande im Umlauf

Inhaltsverzeichnis

Nach offiziellen Angaben laufen in Deutschland momentan 3000 bis 4000 Ermittlungen wegen Fälschungen von Impfnachweisen. Die Dunkelziffer sei aber deutlich höher, erklärte Martin Braun, Präsident der Landesapothekerkammer Baden-Württemberg, am Mittwoch bei einer Online-Debatte des "Behörden-Spiegel".

Er schätzt, dass hierzulande zwischen 12 und 15 Prozent der gelben Impfpässe und so auch eine große Zahl der darauf aufbauenden digitalen Covid-Zertifikate gefälscht sind. Die verfolgten Fälle seien "nur die absolute Spitze des Eisbergs", betonte Braun. Er geht davon aus, dass in Deutschland falsche Impfnachweise "im hohen sechsstelligen Bereich im Umlauf" sind. Konkret gehe es wohl um hunderttausende Fälle.

Dabei handle es sich keineswegs um ein Kavaliersdelikt: Jemand erschleiche sich so mehr soziale Freiheiten, wodurch er Mitbürger und die Gesellschaft gefährde. Es gelte daher auf jeden Fall, dieses Phänomen zu bekämpfen, forderte der Kammerchef: "Die Bevölkerung hat ein Anrecht darauf, dass bei einem Nachweis das Zertifikat auch echt ist." Die Infektionsgefahr, die durch eine ungeimpfte Person ausgehe, sei deutlich höher als insbesondere von dreifach Geimpften. Das Vorgehen der Betrüger grenze so an Körperverletzung.

Analoge Impfpässe kaum prüfbar

Seit bei Veranstaltungen und Restaurantbesuchen nur noch ein elektronischer Nachweis gilt, "ist der Ansturm auf die Apotheken groß", weiß Braun. Die Ausstellung des digitalen Impfzertifikats und der Check des "gelben Lappens" erfordere aber "detektivische Kenntnisse". Das System leide an dem Geburtsfehler, dass die wirkliche Echtheit der analogen Impfpässe "praktisch nicht prüfbar ist". Es gebe etwa keine Wasserzeichen. Gleichzeitig seien Blanko-Papiere einfach erwerb- und fälschbar.

Bei der Echtheitsverifizierung "geht viel ums Gefühl", ließ der Pharmazeut durchblicken. Die Anweisungen dazu seien mehrere Seiten lang und verwiesen auf diverse Merkmale, um eine Fälschung herauszufiltern. Mittlerweile sei etwa eine Abfrage der Chargennummer möglich. Nicht nachweisbar sei aber, ob der angeführte Impfstoff auch tatsächlich verabreicht worden sei. Eine Verbindung zwischen den IT-Systemen von Ärzten und Apothekern gebe es aus Datenschutzgründen nicht. Trotzdem seien letztere inzwischen "ziemlich gut" bei den Prüfungen und "fischen viele, viele raus, die gefälschte Impfpässe vorlegen". Teils liege etwa schon das Druckdatum des Papiers nach der angeblich erfolgten Immunisierung.

Oft keine Konsequenzen

Rechtliche Konsequenzen hat dies für die Betroffenen oft nicht. Hierzulande hatte das Landgericht Osnabrück Anfang November zunächst eine Strafbarkeitslücke gefunden. Wer in einer Apotheke einen gefälschten Impfausweis vorlegte, um ein digitales Zertifikat zu bekommen, konnte demnach nicht belangt werden. Die Ampel-Fraktionen verständigten sich in Folge darauf, das Strafgesetzbuch (StGB) nachzubessern. In der Gesetzesbegründung heißt es, dass Gesundheitszeugnisse wie Impfpässe in aller Regel Urkunden sind. Damit kommt der Straftatbestand der Urkundenfälschung zur Anwendung. Es drohen bis zu fünf Jahre Haft.

Strafbar macht sich auch, wer Blanko-Impfpässe mit unrichtigen Eintragungen bestückt und eine Fälschung vorbereitet. Die Änderung gilt seit 24. November. Apotheker unterliegen aber der Schweigepflicht. Wenn jemand eine Fälschung vorlege, sei so lange auch im Ländle nicht klar gewesen, "ob wir die Person anzeigen dürfen", führte Braun aus. Die Generalstaatsanwaltschaften mehrerer größerer baden-württembergischer Städte hätten inzwischen zumindest die Ansage gemacht, dass die Pharmazeuten in solchen Fällen von den Vorgaben zur Geheimhaltung befreit seien. Sonst liefen diese Gefahr, dass der Fälscher sie auch anzeige. Potenzielle Sanktionen reichten dann bis zu Berufsenthebungsverfahren.

In Bayern etwa sei die Lage komplizierter, vom Bund gebe es noch gar nichts dazu, berichtete der Kammerchef. Er appellierte ans Bundesjustizministerium und den Bundestag, in Paragraf 203a StGB klarzustellen, dass "ein anzeigender Apotheker nicht strafrechtlich belangt werden kann". Alles andere "wäre ein Treppenwitz der Geschichte". Sei erst einmal ein digitales Zertifikat ausgestellt auf Basis eines gefälschten Impfpasses, handle es sich um ein "falsch-positives". Ein solches lasse sich nicht mehr zurückholen und werde etwa von der App "CovPass Check" als gültig anerkannt.

Auf den Spuren der Fälscher

Die Polizei in Nordrhein-Westfalen (NRW) habe vom 24. November bis Jahresende 1700 Delikte registriert, gab Wolfgang Hermanns, Leiter der Abteilung Strategische Verbrechensbekämpfung beim dortigen Landeskriminalamt (LKA), zu Protokoll. Auch er geht von einem großen Dunkelfeld aus und betonte: "Wir sind auf Anzeigen angewiesen." Noch sei aber "wenig mit professionellen Tätern" dabei. Das LKA werde in diese Richtung aber weiter ermitteln.

Zuvor hatten IT-Sicherheitsforscher auf ein großes Angebot an gefälschten Impfzertifikaten etwa im Darknet oder in Telegram-Gruppen verwiesen. Hermanns sagte nun, er unterstütze einen "sicheren digitalen IT-Prozess" zur Ausgabe der erforderlichen QR-Codes. Dies dürfte zumindest Gelegenheitsfälschern ihr Vorhaben erschweren. Der Nachweis eines gefälschten Impfpasses sei indes "auch für uns schwierig", die Motivation der Täter hoch.

An der Kreditkartenindustrie orientieren

Es räche sich nun, dass das europäische Covid-Zertifikat auf einer Infrastruktur aufbaue, "die nicht digital ist", monierte Thorsten Urbanski, Leiter der TeleTrusT-Initiative "IT Security made in EU". Wer impfe, müsse auch den QR-Code erstellen können: "Mit Aufklebern müssen wir aufhören."

Die Vereinigung habe der Politik zeitnah empfohlen, sich an der Kreditkartenindustrie zu orientieren. Es wäre sinnvoll, das Zertifikat auf einer speziellen Chipkarte zu speichern und eine "Live-Prüfung" von Einsätzen durchzuführen. So sei es in der Praxis eben nicht möglich, dass ein Ausweisender sich an verschiedenen Orten gleichzeitig aufhalte, erläuterte Urbanski. Ein solcher Check könne im Hintergrund voll anonymisiert und ohne großes Tracking ablaufen. Sinnvoll wäre es auch, die IT-Infrastrukturen insbesondere der Arztpraxen zu härten. Zu oft seien dort noch Geräte mit Windows NT und Windows 7 in Gebrauch, für die es keinen regulären Support mehr gibt. Die Politik müsse ferner Versäumnisse wie ein fehlendes Impfregister und mangelnde Sicherheitsstandards angehen.

Korrektur 14.01.2022: Impfpässe statt Impfzertifikate in der Überschrift.

(kbe)