Das Bundesamt für Informatik hat die Covid-Zertfikate für Spongebob und Adolf Hitler widerrufen. Das Problem ist allerdings weiterhin nicht endgültig gelöst.
Covid-Zertifikat Maurer Spongebob
Das Bundesamt für Informatik hat das Covid-Zertifikat von Adolf Hitler zwischenzeitlich widerrufen, seine Signatur bleibt jedoch gültig. - Keystone/Screenshot

Das Wichtigste in Kürze

  • Covid-Zertifikate sind für Kenner fälschbar.
  • So zirkulierten im Internet Zertifikate für Spongebob Schwammkopf und Adolf Hitler.
  • Das BIT hat eine Lösung gefunden, wie Fake-Zertifikate revoziert werden können.

Viele Schweizer rieben sich am Donnerstag die Augen: Im Internet kursieren Covid-Zertifikate für Adolf Hitler und Spongebob Schwammkopf. Und sie funktionieren mit der Schweiz Covid-App. Prüfte man die QR-Codes, gab die Bundes-App grünes Licht.

Spongebob Schwammkopf
SpongeBob Schwammkopf und sein Freund Patrick Star. - nick.de

Die Gefahr, dass jemand eine passende ID zum gelben Schwamm besitzt, ist gering. Aber: Offensichtlich verfügen gewisse Personen in Europa über die Möglichkeit, gültige Zertifikate für jeden beliebigen Namen auszustellen.

BIT arbeitet an Lösung

Das ist sich auch das für die Covid-App zuständige Bundesamt für Informatik (BIT) bewusst. Offensichtlich arbeiteten die Beamten nonstop an einer Behebung des Problems. Man habe nun «eine Lösung gefunden, im Ausland erstellte, einzelne falsche Zertifikate zu revozieren», sagt BIT-Sprecher Daniel Wunderli zu Nau.ch.

Spongebob Schwammkopf Covid-Zertifikat
Das nun ungültige Covid-Zertifikat von Spongebob Schwammkopf. - Screenshot

Tests von Nau.ch zeigen: Ein auf «Adolf Hitler» lautendes Zertifikat ist bereits deaktiviert, eines von Herrn «Mickey Mouse» noch gültig. Im Laufe des Tages soll aber allen im Internet kursierenden, falschen Zertifikate der Garaus gemacht worden sein, verspricht der BIT-Sprecher. Sollte die App nicht mit dem Internet verbunden sein, blieben diese gefälschten Zertifikate nur noch 48 Stunden gültig.

Aber: Bei dieser manuellen Deaktivierung einzelner QR-Codes handelt es sich bloss um eine Zwischenlösung. Denn ab einer gewissen Anzahl gefälschter Zertifikate ist sie wohl nicht mehr praktikabel. Zudem wären auch für Fake-Zertifikate eigentlich diejenigen Länder zuständig, in denen diese angeblich ausgestellt wurden.

Signaturschlüssel von Trustliste entfernt

Die «primäre Lösung», so der BIT-Sprecher, sei jene, «dass Signaturschlüssel auf der EU-Trust-Liste entfernt werden, wenn Grund zur Annahme besteht, dass sie missbräuchlich erstellt wurden.»

Die aktuell kursierenden Fake-Zertifikate hätten bereits dazu geführt, «dass erste Signaturschlüssel durch andere Länder aus der EU-Trust-Liste entfernt worden sind». Dadurch werden alle Zertifikate, die mit dem entsprechenden «Schlüssel» gebaut wurden, ungültig.

Covid-Zertifikat Ueli Maurer
Bundesrat Ueli Maurer, rechts, spricht an der Seite von Dirk Lindemann, Direktor des Bundesamts für Informatik und Telekommunikation (BIT), links, während einer Medienkonferenz zum Covid-Zer - Keystone

Ob und inwiefern die einzelnen Staaten in Europa die Situation wirklich im Griff haben, ist unbekannt. Das BIT, welches Finanzminister Ueli Maurer untersteht, scheint sich der Gefahr jedenfalls bewusst. BIT-Sprecher Wunderli: «Die elektronische Signatur auf Schweizer Covid-Zertifikaten ist fälschungssicher. Über das Vorgehen bei den im Ausland falsch ausgestellten Zertifikaten liegen uns keine Erkenntnisse vor.»

Hatten Sie schon Probleme mit Ihrem Zertifikat?

Dumm nur, dass gleichzeitig mit den gefälschten Zertifikaten auch noch Probleme im Inland auftauchten. Gestern konnte die Schweiz während Stunden keine Zertifikate mehr ausstellen.

Wunderli erklärt, dass seit Montag «Performanceprobleme» im System aufgetaucht seien. Es habe jedoch nie ein Sicherheitsrisiko bestanden, versichert der Sprecher.

Mehr zum Thema:

Adolf Hitler Ueli Maurer Internet EU