Das Projektteam aus Robert Koch-Institut, Deutscher Telekom und SAP reagiert auf die Skandale rund um gefälschte Impfzertifikate, die mutmaßlich in Apotheken ausgestellt wurden. Am Montag veröffentlichte es einen sogenannten Hotfix, die Erweiterung der App auf Version 2.13 (2.13.3 bei Android beziehungsweise 2.13.2 bei iOS). Damit könne die App nun die Kennung aller Zertifikate kontrollieren und prüfen, ob sie von einer entsprechenden Apotheke ausgestellt wurden. Ist das der Fall, werden sie als ungültig dargestellt.

Allerdings erfolge die Überprüfung der Zertifikate nur auf den jeweils eigenen Smartphones der Nutzer:innen, versichern die Entwickler. Bei der Kontrolle mit der CovPassCheck-App werde ein zurückgerufenes Zertifikat dann dementsprechend als ungültig angezeigt. Allerdings kann die App aufgrund des grundlegenden Aufbaus der Impfzertifikate-Infrastruktur keine einzelnen Zertifikate sperren, sondern nur ganze Apotheken. Eine Sperrung betreffe deshalb ausnahmslos alle Nutzer:innen, die ein Zertifikat aus der entsprechenden Apotheke bekommen haben – auch, wenn ihr eigenes Zertifikat gültig und echt ist.

Das Entwicklerkonsortium reagiert damit auf mehrere Fälle in der jüngsten Vergangenheit, bei denen Apotheken falsche Impfzertifikate ausgestellt haben. So führte die Polizei Ende Oktober eine Razzia in einer Münchner Apotheke durch, nachdem bekannt wurde, dass eine dort beschäftigte PTA wohl zusammen mit Komplizen hunderte Impfzertifikate ausgestellt und zum Preis von 350 Euro pro Stück verkauft haben soll.

Der Inhaber stand daraufhin vor ebenjenem Problem: „Der DAV kann die Falschen nicht deaktivieren, so dass wahrscheinlich alle von uns erstellten Zertifikate deaktiviert werden müssen“, erklärte er. Er wisse gar nicht, wie er seine Kunden informieren soll. Monatlich seien über die Apotheke zwischen 500 und 700 digitale Nachweise erstellt worden.

Datenschützern hatten bereits im Sommer kritisiert, dass falsche oder gefälschte Impfzertifikate nicht zurückgerufen werden können. Das haben die CWA-Entwickler nun ausgebessert, allerdings weiter mit der Einschränkung, Zertifikate nur nach Herkunft filtern zu können, nicht als individuelle Fälschung. Das Softwaresicherheitsunternehmen G Data war in einer Analyse zu dem Ergebnis gekommen, dass die Apotheken eine Schwachstelle im System der digitalen Impfzertifikate seien.

Die „auffälligste signifikante Schwachstelle im Prozess“ sei allerdings die Corona-Warn-App selbst: Bereits der öffentlich einsehbare Quellcode zeige, dass „schlicht und ergreifend darauf verzichtet“ wurde, die eingehenden Daten und die digitale Unterschrift der ausstellenden Institution zu überprüfen. Das heißt: Selbst offenkundig unsinnige Zertifikate werden ohne Weiteres erfasst und regelkonform gespeichert. Da die digitale Signatur nicht geprüft werden, müssen sie auch nicht von einer echten Apotheke oder Praxis erstellt worden sein. Der Programmcode und etwas IT-Erfahrung reichten aus, um selbst Zertifikate zu bauen.

Da die Fälschung von Impfzertifikaten bisher in einem rechtlichen Graubereich liegt, hatte das Bundesjustizministerium vor kurzem angekündigt, zeitnah einen Vorschlag zur Änderung des Strafgesetzbuches vorlegen, der die Rechtslage klarstellt. Damit sollen bestehende Rechtsunsicherheiten ausgeräumt und den Gerichten eine klare Entscheidungsgrundlage gegeben werden. Zuvor hatte die Unionsfraktion im Bundestag angekündigt, einen Entwurf für ein Gesetz zur Verbesserung des Schutzes vor Impfpassfälschungen im Bundestag einzubringen. Sie hatte für Menschen, die gefälschte Impfnachweise herstellen, verkaufen oder zur Umgehung von Maßnahmen zur Eindämmung der Corona-Pandemie benutzen, empfindliche Strafen gefordert.