Die Fälschung der Impfzertifikate in der „Sonnen-Apotheke“

Es ist unfassbar, wie unfähig diese Leute sind.

Ich will vorab zwei, drei Punkte ansprechen und in Erinnerung bringen:

• Als es hieß, dass jetzt die fälschungssicheren digitalen Impfausweise/-zertifikate kommen, sprachen ja schon einige an, dass das ein nutzloses Unterfangen ist, weil schon die Datenerfassung nicht fälschungssicher ist: Die schreiben ja einfach nur aus dem Impfpass ab, und der ist trivial fälschbar. Gibt es überall als Blankoformular und mit Fake-Aufkleber zu kaufen.

  Und als ich neulich bei der ersten Impfung war, wurde zwar an der Anmeldung mein Personalausweis geprüft, aber dann später bei der Impfung nicht mehr. Ich hätte also auch einen fremden Ausweis vorlegen können. Zwar auch nicht jeden, weil sie das mit der Datenbank (vermutlich der Anmeldungen) abgeglichen haben, aber beispielsweise hätte ich mich gegen Schmiergeld zweimal impfen lassen können und mich beim zweiten Mal einfach mit dem Impfausweis eines anderen, der sich nicht impfen lassen will und dafür zahlt, in einer anderen Schlange (wo ich nicht wiedererkannt werde) nochmal anstellen können. Ich nehme nicht an, dass die doppelte Dosis irgendeinen spezifischen Schaden hinterlassen hätte. Neulich hatten sie aus Versehen Leuten die (anscheinend unverdünnte) fünffache Dosis gespritzt, und da ist auch nichts passiert.

• Wir hatten ja in Berlin und auf Bundesebene schon das Problem, dass sich Leute betrügerisch Corona-Beihilfen erschleichen, indem sie entweder Firmen anmelden, die es gar nicht gibt, oder sich einfach als Vertreter oder Prüfer bestehender Firmen ausgeben und mit ihrem eigenen Konto, aber in deren Namen Beihilfen beantragen.

  Da geht es zwar nicht um Medizinisches, sondern um finanzielle Beihilfen, aber wer, mal salopp ausgedrückt, „in Corona macht“, könnte, dürfte, sollte davon gehört haben.

• Als man sich in Restaurants in die Besucherliste eintragen sollte, standen auf der Liste schon Donald Duck, Batman und Darth Vader.

Die Tage sprach sich schon rum, dass die Apotheken die Ausgabe des digitalen Impfzertifikats eingestellt haben und dass da irgendwas faul ist.

Heute morgen berichtete Heise davon, wie „Sicherheitsforscher“ da ziemlich simpel Impfzertifikate fälschen konnten. Wobei das Wort fälschen eigentlich falsch wäre, bei Heise steht auch nicht fälschen, sondern richtigerweise kompromittieren, denn sie haben es nicht gefälscht, sondern auf ganz regulärem Weg falsche Zertifikate ausgestellt. Sie haben sich einfach als Phantasieapotheke angemeldet. Die „Sonnen-Apotheke“ gibt es nicht, und als Adresse hatten sie eine ganz normale Wohnadresse angegeben. Trotzdem wurden sie ohne jede Prüfung sofort anerkannt und konnten dann reguläre Zertifikate auf Phantasieeingaben ausstellen.

Was läuft da für ein Pfusch?

Nach den vorausgegangenen Betrügereien und gerade dann, wenn man ein Zertifikat ausstellt, digital, noch dazu als fälschungssicher beworben, müsste man doch mal auf die Idee kommen, Leute zu authentifizieren, zu prüfen, ob die echt sind. Normalerweise gilt für sowas der Grundsatz, niemals nicht und unter keinen Umständen ausnahmslos nie und nimmer ganz bestimmt nicht und nichts von dem zu glauben, was irgendwoher aus dem Internet eingegeben wird.

Bei den Auszahlungen der Beihilfen war das ja schon übelstes Versagen, dass man nicht wenigstens mal die Daten mit denen der Finanzämter abgeglichen hat, ob es die Firmen wenigstens fiskalisch überhaupt und seit hinreichender Zeit gibt, und ob die Kontonummer bekannt ist und mit der übereinstimmt, über die auch Steuerzahlungen abgewickelt werden oder wurden. Da habe ich das schon nicht verstanden, denn das sollte – theoretisch – nicht so schwer sein. Faktisch scheitert es daran, dass hier jeder was anderes murkst und die Bundesländer unterschiedliche Software haben, es also nicht trivial ist, das zu überprüfen. Wenigstens nachlaufend hätte man das tun müssen, und wenn man Grips hätte, hätte man schon lange die Finanzämter als Finanzdienstleister erweitert, der solche Zahlungen abwickelt – und gegen seine Datenbestände prüft.

Geht aber auch nicht, es gilt das Resort-Prinzip. Und das sind eben unterschiedliche Ministerien. Und dann kommen noch die Datenschützer und das Steuergeheimnis.

Da war es schon ein Skandal, dass einfach jeder kommen konnte und behaupten konnte, er sei eine Firma oder vertrete eine andere.

Dass sich da aber jetzt jeder beliebig als Apotheke ausgeben kann – da fragt man sich schon, ob die überhaupt irgendwas denken.

Mal ganz abgesehen von der Frage, warum Apotheker selbst in echten Apotheken befähigt, geeignet, qualifiziert und beauftragt sein sollten, Impfzertifikate auszustellen.

Das ganze Ding ist von vorne bis hinten vermurkst, und das fast eineinhalb Jahre nach Ausbruch der Pandemie. Andere Länder haben das viel besser hinbekommen, weil die gleich bei der Impfung direkt die Daten erfasst haben.

Was bekommt diese Regierung überhaupt noch auf die Reihe?