Welche Strafe droht den Münchner Impfpass-Fälschern?

Die Polizei legte vor wenigen Tagen einer Impfpassfälscher-Bande das Handwerk. Diese soll über die IT-Infrastruktur einer Münchner Apotheke in großem Stil digitale Impfnachweise für Menschen ausgestellt haben, die sich gar nicht gegen COVID-19 haben immunisieren lassen. In Untersuchungshaft sitzt unter anderem eine Apothekenmitarbeiterin. Die ABDA fordert auf DAZ-Nachfrage, den Fall konsequent aufzuklären und die Täter:innen zur Rechenschaft zu ziehen: „Solch ein Verhalten darf niemals toleriert werden, sondern muss konsequent aufgeklärt und strafrechtlich verfolgt werden“, teilt ein Sprecher mit.

Doch welche Strafe droht den vermeintlichen Fälscher:innen? Am 21. Mai 2021 verabschiedete der Deutsche Bundestag das „Zweite Gesetz zur Änderung des Infektionsschutzgesetzes und weiterer Gesetze“ und machte damit den Weg frei für die digitalen Impfnachweise aus den Apotheken (§ 22 Abs. 5 Satz 1 IfSG). Gleichzeitig legte der Gesetzgeber damit auch das Strafmaß für Fälschungen fest: Wer wider besseres Wissen ein solches Zertifikat ausstellt, dem drohen bis zu zwei Jahre Haft oder eine Geldstrafe.

Darüber hinaus wird den Verdächtigen Fälschung technischer Aufzeichnungen (§ 268 Abs. 1 Nr. 1 StGB) vorgeworfen. Für ein solches Vergehen sieht das Strafgesetzbuch sogar eine Haftstrafe von bis zu fünf Jahren vor.

Dass die Münchner Fälscher:innen im Fall einer Verurteilung mit einer Geldstrafe davon kommen, dürfte mit Blick auf das Ausmaß eher unwahrscheinlich sein: Allein im Oktober sollen es mehr als 500 Impfnachweise gewesen sein, die Polizei stellte bei Durchsuchungen Geld und Kryptowährungen im Wert von fast 100.000 Euro sicher. Die Ermittler sprechen von einem Verfahren von „überdurchschnittlicher Bedeutung“.

Auf die Sache aufmerksam geworden ist das Bundeskriminalamt (BKA), Abteilung Cybercrime, im Rahmen von Recherchen im Darknet. Das Verfahren wurde von dort an das Bayerische LKA abgegeben. Was den Zugriff auf das Verbändeportal der Apotheken betrifft, seien hingegen bisher keine Unregelmäßigkeiten aufgefallen, so ein DAV-Sprecher: „Ein externer, unberechtigter Zugriff von außerhalb der Apotheke auf das Verbändeportal ist dem DAV in diesem Zusammenhang nicht bekannt. Der Zugriff auf den Server des Robert Koch-Instituts zum Abrufen der QR-Codes für das digitale Impfzertifikat ist allen Apotheken seit Ende Juli auch nur noch mittels der besonders sicheren Telematik-Infrastruktur möglich.“

Zum Hintergrund: Seit Mitte Juni können Apotheken digitale Impfnachweise ausstellen. Zunächst war der Zugriff auf das Impfzertifikate-Modul im Verbändeportal, über das die Apotheken die QR-Codes für Geimpfte generieren, über das Internet möglich gewesen. Nachdem zwei IT-Sicherheitsexperten im Juli jedoch eine Apotheke erfunden und sich darüber unberechtigt Zugang zum Portal und damit auch zum Zertifikate-Modul verschafft hatten, sattelte der DAV auf die Telematik-Infrastruktur um. So sollte künftig sichergestellt werden, dass nur tatsächlich existierende Betriebsstätten Zugriff erhalten – denn um an die TI angebunden zu werden, müssen Apotheken einen aufwendigen Prozess durchlaufen.

Vor Missbrauch in den eigenen Reihen schützt der Zugang mittels TI jedoch nicht. Allerdings zählt das Portal mit, wie viele digitale Impfzertifikate eine Apotheke ausstellt – hätte nicht der unerklärlich hohe Zählerstand auffallen müssen? Dazu erklärt der DAV-Sprecher: „Die Abrechnung von digitalen Impfzertifikaten erfolgt von jeder Apotheke in eigener Verantwortung über das Rechenzentrum an das Bundesamt für Soziale Sicherung, das natürlich bei Zweifeln jederzeit eine Nachprüfung anordnen kann. Der Zählerstand ist ein anerkanntes Indiz für die Anzahl der ausgestellten Impfzertifikate, muss aber bei Zweifeln an der Rechtmäßigkeit vom Apothekeninhaber bei Bedarf selbst korrigiert werden.“