«Wir machen Verbrechen unnötig leicht», sagt der Zertifikat-Verantwortliche eines Ostschweizer Kantons. Viel zu viele Leute hätten vollen Zugriff auf die Software des Bundes und könnten ungehindert alle Arten von Zertifikaten ausstellen. Das sei ein Freipass für Betrüger. Tatsächlich können Ungeimpfte auf dem Schwarzmarkt echte Impfzertifikate kaufen – zum Preis von bis zu 500 Franken. Fälle gibt es in fast allen Kantonen. Der bislang grösste betrifft St. Gallen: Dort sollen Betrüger laut Medienberichten nicht weniger als 6000 missbräuchliche Zertifikate ausgestellt haben.
Bund handelte nicht
Die SRF-«Rundschau» hat mit Verantwortlichen aus sechs Kantonen gesprochen. Sie verlangen vom Bund seit Monaten Sicherheitsmassnahmen. Der oberste Schweizer Kantonsarzt bestätigt die Recherchen: «Kurz nach Einführung des Zertifikats Anfang Juni sind wir an den Bund gelangt», sagt Rudolf Hauri, Präsident der Vereinigung der Kantonsärztinnen und Kantonärzte VKS. Es sei ein Sicherheitsproblem, wenn zum Beispiel Mitarbeitende eines Testzentrums auch Impf- oder Genesenen-Zertifikate ausstellen könnten. Mitarbeitende in Impf- oder Testzentren, Hausärztinnen, Labor-Angestellte oder Apotheker: Insgesamt können in der Schweiz mehrere Tausend Menschen auf die Zertifikat-Software zugreifen und Zertifikate ausstellen. Der Bund solle deren Berechtigungen ihrer Aufgabe entsprechend einschränken, verlangen die Kantone.
Verantwortlich sind die Bundesämter für Informatik BIT und Gesundheit BAG. Im «Rundschau»-Interview gesteht BAG-Sektionschef Patrick Mathys ein: «Die Frage ist bei uns vielleicht zu kurz gekommen.» Die Zuständigen seien stark ausgelastet gewesen mit laufenden Änderungen am Zertifikat. Mathys verspricht aber: «Wir schauen uns das jetzt ganz intensiv an.»
Kantone im Blindflug
Die Kantone monieren eine weitere, für sie gravierende Sicherheitslücke: Sie können kaum selbst überprüfen, wann und wie häufig zum Beispiel ein Mitarbeiter eines Testzentrums Impfzertifikate erstellt – zum Beispiel für Stichproben-Kontrollen oder bei einem Verdachtsfall. «So ist Betrügen nicht sehr schwierig. Das Problem ist technisch lösbar», kritisiert Kantonsärzte-Vertreter Rudolf Hauri. Seit einem halben Jahr rede man darüber mit den Bundesbehörden: «Bis jetzt hat sich nichts geändert. Wir erwarten, dass der Bund das jetzt angeht. Wir hätten es uns natürlich schneller gewünscht.»
BAG-Vertreter Patrick Mathys verspricht Anpassungen. Konkret sollen die Kantone einfacher und umfassender Einblick in die Aktivitäten der Zertifikatsaussteller erhalten. «Der Datenschutz könnte aber dazu führen, dass dies nicht in dem Umfang möglich ist, wie es die Kantone gerne hätten», sagt er. Auch beim Tempo macht er keine Versprechungen. Die Änderungen bräuchten Zeit. Der Bund sei aber sehr wohl aktiv und habe laufend andere Sicherheitsvorkehrungen getroffen.