Bund annulliert ge­fälschte Covid-Zertifikate

29. Oktober 2021, 13:48
  • coronavirus
  • verwaltung
  • schweiz
  • e-government
image

Die Fake-Zertifikate werden nun von der Check-App nicht mehr akzeptiert. Laut Untersuchungen der EU wurde der Key nicht geleakt.

Betrügern ist es gelungen, in der EU und der Schweiz gültige Covid-Zertifikate zu fälschen. Für beispielsweise Spongebob, Micky Maus oder Adolf Hitler kursierten Fake-Zertifikate im Internet. Diese wurden bislang von der Schweizer Überprüfungs-App als gültig angezeigt.
Nun habe der Bund eine Lösung gefunden. "Das BIT hat einzelne, im Ausland falsch erstellte Zertifikate gesperrt", teilt das Bundesamt via Twitter mit. Sofern eine Internetverbindung bestehe, würden die Zertifikate als ungültig ausgewiesen. "Ohne Internetverbindung werden sie weiterhin für maximal 48 Stunden als gültig angezeigt."
Man habe das Vorhaben in der Nacht getestet und ab dem Nachmittag würden alle im Internet kursierenden, falschen Zertifikate in der "Covid Certificate Check"-App als ungültig ausgewiesen, so das BIT. Um systematisch gegen Fake-Zertifikate vorzugehen, sei es aber wichtig, dass die ausländischen Staaten die entsprechenden Signaturschlüssel von der EU-Trust-Liste entfernen würden, wenn Grund zur Annahme bestehe, dass sie missbräuchlich erstellt worden seien.

Kein Leak, glaubt EU

Nachdem die gefälschten Zertifikate aufgetaucht waren, stand die Vermutung im Raum, dass es Kriminellen gelungen ist, den Private Key zur Erzeugung von QR-Codes in den EU-Covid-Zertifikaten zu entwenden. Ein Leak könne nicht ausgeschlossen werden, sei aber eher unwahrscheinlich, schrieb Denys Vitali, der bei Swisscom als Data, Analytics & AI Engineer arbeitet. Wahrscheinlicher sei, dass die Kriminellen mit Stellen zusammenspannen würden, die legitime Zertifikate ausgeben, oder deren Systeme gehackt hätten.
Nach aktuellen Erkenntnissen scheint er Recht zu behalten. Die Zertifikate stammen offenbar "von Personen mit gültigen Zugangsdaten zu den nationalen IT-Systemen", so die EU-Kommission gegenüber 'Threat Post'.
"Nach den vorliegenden Informationen wurden die kryptografischen Schlüssel, die zum Signieren von Zertifikaten verwendet werden, nicht kompromittiert", heisst es weiter. Der Vorfall sei auf illegale Aktivitäten und nicht auf ein technisches Versagen zurückzuführen. 

Loading

Mehr zum Thema

image

Bazl übernimmt EU-Drohnenregeln

Mit den neuen Drohnen-Regeln will der Bund unter anderem die Privatsphäre der Bevölkerung schützen. Insbesondere im Kanton Zürich wartete man schon lange auf verbindliche Regeln.

publiziert am 25.11.2022
image

Aargau migriert die SAP-Basis für 10 Millionen Franken in die Cloud

Der Kanton wechselt von einem On-Prem- in einen Cloud-Betrieb und vergibt den Auftrag für 10 Millionen Franken freihändig an SAP Schweiz.

publiziert am 25.11.2022
image

Meteoschweiz braucht viel Data-Know-how

Das Bundesamt für Meteorologie und Klimatologie will seine IT-Architektur umstellen und sucht dafür externe IT-Fachleute.

publiziert am 25.11.2022
image

Staatsarchive in Basel-Stadt und St. Gallen eröffnen "Digitale Lesesäle"

Eine neue Webplattform soll den Zugang zum umfangreichen Archivmaterial vereinfachen. Hunderttausende Datensätze sind bereits erschlossen.

publiziert am 25.11.2022