„Corona-Kontrolleure haben keine Chance, Impfpass-Fälscher zu erkennen. Dabei ließe sich das sehr leicht ändern!“
Interview mit Profiler Peter Hessel
Bayreuth.- Zutrittsregelungen mit 3G, 2G oder 2G+ gehören seit geraumer Zeit zu unserem Alltag. Was in Deutschland gern mit den „G“s für „geimpft, genesen, getestet“ abgekürzt wird, gilt im Ausland als „Corona-konforme Zutrittskontrolle“.
Nicht nur der Name ist etwas sperrig, auch die korrekte Durchführung der Kontrolle hat ihre Tücken. Denn nur wer tatsächlich weiß, woran gefälschte Impfausweise und Personalausweise zu erkennen sind, kann für einen sicheren Zutritt sorgen. Personalausweis? Was hat der Ausweis mit dem Impfpass zu tun? Ganz einfach: Nicht nur der Impfausweis selbst muss geprüft werden, sondern auch, ob die Personendaten des Impfausweises mit den Angaben auf dem Personalausweis übereinstimmen. Diesen Schritt bezeichnet man als „Validierung“.
Wir schauen uns beide Schritte im Detail an und sprechen dazu mit Peter Hessel. Er ist Erster Polizeihauptkommissar und Diplom-Verwaltungswirt bei der Hessischen Polizei mit Dienstort beim Polizeipräsidium Frankfurt am Main.
Als Leiter der Zentralen Ermittlungen in der Direktion Sonderdienste war er mitverantwortlich für die Konzeption der Hessischen Polizei zur Bekämpfung der Urkundenkriminalität. Er ist ausgebildeter Dokumentenberater und -prüfer, Leiter der Urkundenprüfstelle des Polizeipräsidiums Frankfurt a.M., langjähriger und erfahrener Referent im Seminarwesen – kurzum: Ein Profiler, der ganz konkrete Tipps für die korrekte Prüfung und Validierung von Impfausweisen hat.
Herr Hessel, fangen wir mal mit Schritt eins an: Angenommen, ich muss einen digitalen Impfausweis prüfen. Das ist doch nur ein QR Code, den die meisten auf dem Handy haben. Wie kann man da überhaupt feststellen, ob der QR Code echt oder gefälscht ist?
Peter Hessel:
Mit dem bloßen Auge? Überhaupt nicht! Das geht ausschließlich mit technischen Mitteln. Man braucht dazu einen zugelassenen Barcode- oder QR Code-Reader und die passende Software. Oder eine zugelassene App. Eine reine Sichtprüfung reicht nicht aus. Die Kontrolleure müssen sich immer wieder bewusst machen, wie Fälscher vorgehen: Gefälscht wird das, was am leichtesten funktioniert und nicht viel kostet. Und ein Bild mit einem QR Code und einem Namen ist schnell nachgebaut. 2D-QR Codes, wie die von unserem digitalen Impfzertifikat sind tatsächlich fälschungsanfällig. 3D-QR Codes sind schon schwieriger. Und sehr viel schwieriger und damit sehr viel sicherer ist es, wenn die Daten zum Beispiel in die Versichertenkarte der Krankenkasse integriert werden. Da können Daten auf dem Magnetstreifen oder im Chip gespeichert werden. Das geht übrigens auch auf dem Personalausweis: Viele wissen gar nicht, dass auf diesem Ausweisdokument Datengruppen mit bestimmten Informationen belegt werden können. Auch das ist ein sicherer Ort für Personendaten. Aber jetzt müssen wir mit der Situation umgehen, dass ein QR Code zu prüfen ist. Und deshalb muss man das sehr ernst nehmen.
Was ist denn, wenn jemand mit dem gelben Impfheft kommt? Diese kleinen Aufkleber mit Aussagen zum Impfstoff – kann man das als Laie prüfen?
Peter Hessel:
Nein! Keine Chance. Da tun sich selbst Leute vom Fach, wie die Apothekerinnen und Apotheker schwer. Ich sag mal ein Beispiel: Aktuell werden auf gängigen Plattformen im Internet sowohl die gelben Impfhefte als auch die kleinen Aufkleber mit dem Impfstoffnamen rege gehandelt. Fünf Blanko-Impfhefte für 12,99 Euro, dazu zehn BioNTech-Sticker zum Stückpreis von 125 Euro. Das ist kein Blödsinn, das ist die Realität. Die Sticker kommen mit aufgedrucktem Wasserzeichen und Chargennummer. Vom Original nicht zu unterscheiden. Wir sprechen hier von reiner Recherche über Google. Da sind Darknet-Angebote noch gar nicht dabei. Und wer sich nicht impfen lassen will, ist bereit, diesen Weg zu gehen und dieses Geld zu bezahlen. Das ist für mich ein klarer Fall von Dokumentenwäsche: Denn mit einem derart gefälschten Impfausweis geht der- oder diejenige jetzt in die Apotheke und bekommt ein echtes, digitales EU-Impfzertifikat. Beim geringsten Verdacht sollte das Personal in der Apotheke deshalb unbedingt den Aussteller anfragen, also mit der Arztpraxis oder dem Impfzentrum Kontakt aufnehmen.
Für die Prüfung des QR Codes wird ja bei vielen Zutrittskontrollen zum Beispiel eine App eingesetzt. Jetzt gehen wir mal zum Schritt 2: Eine vollständige und korrekte Prüfung erfordert ja, dass man sich nicht nur den Impfausweis anschaut, sondern auch einen Ausweis. Das geht aber mit einer solchen App nicht. Wie kann ich mit einer Sichtkontrolle die Daten schnell vergleichen?
Peter Hessel:
Die Kontrolleure müssen hier gleich zwei Herausforderungen meistern. Erstens: Die Daten vom Zertifikat müssen mit den Daten auf dem Ausweisdokument abgeglichen werden. Das klappt vielleicht noch beim deutschen Personalausweis, weil man den selbst ganz gut kennt und weiß, wo die Daten zu finden sind. Doch selbst beim deutschen Reisepass wird die Sache schon anspruchsvoller. Den hat man nicht so oft in der Hand. Auf welcher Seite diese Daten bei der rumänischen ID-Karte oder beim spanischen Reisepass zu finden sind, kann ungeschultes Personal nicht in wenigen Sekunden feststellen. Jetzt muss der Kontrolleur vielleicht sogar den Pass in die Hand nehmen, blättern und suchen – und am Ende muss womöglich der Besucher oder Gast zeigen, wo die Informationen zu finden sind. Das sind alles Situationen, die wir aus polizeilicher Sicht gar nicht gerne sehen.
Zweitens: Bei einer Sichtkontrolle muss das Personal zumindest eine Handvoll der standardisierten Sicherheitsmerkmale kennen, damit gefälschte Dokumente erkannt werden. Dazu gehört unbedingt, dass eben nicht nur Name und Geburtstag übereinstimmen müssen, sondern das Foto auf dem Dokument muss auch mit der Person zusammenpassen, die vor mir steht. Zeit- und Personalmanagement für eine sichere Kontrolle sind aber extrem aufwendig. Deshalb passiert es ja auch, dass jemand mal ein Auge zudrückt. Oder dass Kontrolleure lediglich schauen, ob der Gast einen Ausweis hochhält, der halbwegs wie ein Perso aussieht.
Was sind denn aus Ihrer Sicht als Experte Hinweise auf gefälschte Papiere? Gibt es Stellen, die man sich genauer anschauen sollte?
Peter Hessel:
Ja, meiner Meinung nach kann man sich da beim Pass oder Personalausweis an eine kleine Checkliste halten:
Erstens: Passen Foto und das Gesicht der Person zusammen?
Zweitens: Sieht die Unterschrift tatsächlich nach einer Handschrift aus oder sind die Buchstaben so regelmäßig wie in einer Computer-Schrift?
Drittens: Plausibilitätsprüfung! Sind das angegebene Alter im Ausweis und das Aussehen der Person stimmig?
Viertens: Werfen Sie einen Blick auf die maschinenlesbare Zone, kurz MLZ genannt. Die hat gleich mehrere Sicherheitsmerkmale, die international standardisiert sind. Zum Beispiel die Schreibweise der Ziffern 3 und 4. Der obere Bogen der Drei ist in der MLZ ein gerader Strich und die Vier ist offen. Wenn die Drei also zwei runde Bögen hat und die Vier als geschlossene Ziffer abgedruckt ist, dann stimmt hier was nicht! Auch hier ist die Problematik: Das braucht etwas Zeit und Übung!
Sie und Ihre Kolleginnen und Kollegen arbeiten beim Prüfen von Dokumenten mit speziellen Scannern. Ist der Einsatz von vorhandener Technologie auch in der Corona-konformen Zutrittskontrolle sinnvoll?
Peter Hessel:
Definitiv ja! Anders geht es nicht, und hinsichtlich der Sicherheit macht es anders auch keinen Sinn. Es gibt ja ganz unterschiedliche Lösungen am Markt, die alle bewährt sind. Vom etablierten Ausweis-Scanner bis zur mobilen Lösung. Das ist natürlich mit Investitionen verbunden, aber die sind überschaubar.
Einlasskontrolle ist aktuell ein wirklich sensibles Thema, weil Fehler im ungünstigsten Fall zu Infektionen mit COVID-19 führen können. Einerseits spielt also das Thema Sicherheit eine große Rolle, andererseits geht es auch um Schnelligkeit. Schließlich will man Schlangenbildung wegen der Abstände unbedingt vermeiden. Wie kann man das komplette Prozedere denn beschleunigen?
Peter Hessel:
Das kann ich aus polizeilicher Sicht gut beantworten: Aufklärung und Kommunikation im Vorfeld sind das A und O. Bestes Beispiel und auch Vorbild sind die Flughäfen und die Grenzkontrollen. Hier werden Reisende auch im Vorfeld umfassend informiert, was auf sie zukommt und welche Dokumente sie bereithalten müssen. Newsletter vor der Veranstaltung, Plakate vor Ort, Handzettel und so weiter … wer Verständnis bei Gästen und Besuchern haben will, muss gut erklären, was gemacht wird und warum.
Dazu kommt ein wirklich gutes Konzept für die Zutrittskontrolle. Das ist am Ende ein Rechenbeispiel. Wie viele Menschen müssen innerhalb einer bestimmt Zeit Zutritt erhalten? Wie viele Sekunden dauert der Prüfprozess pro Person? Daraus lässt sich schon viel Erkenntnis gewinnen. Zum Beispiel, dass die Einlasszeiten nach vorn verlängert werden müssen, wenn es sich um eine Halle oder ein Stadion handelt.
Hilfreich für alle, die diese Aufgabe jetzt bewältigen müssen, wären natürlich bundesweit einheitliche Regelungen – genauso wie einheitliche Sanktionen, wenn sich jemand nicht an die vorgeschriebenen Kontrollen hält.
Eine Frage noch zum Schluss: Welchen Merksatz geben Sie Sicherheitsdiensten und Kontrolleuren mit auf den Weg?
Peter Hessel:
Vertrauen ist gut, Kontrolle ist besser! Prävention und Sicherheit sind leider nicht messbar. Deshalb scheuen viele jetzt die Investition in Hardware und Schulungen fürs Personal. Aber das ist der falsche Weg in dieser Pandemie! Nur Sicherheit führt uns zurück in ein normales Alltagsverhalten wie vor Corona. Das gilt ganz besonders für die 2G-, 3G- und sonstigen Zutrittskontrollen.
Vielen Dank, Peter Hessel, für Ihre Zeit und die hilfreichen Informationen!
Hinweis in eigener Sache: Peter Hessel bietet zusammen mit DESKO Dokumententraining für alle Berufsgruppen an, die Zutrittskontrollen durchführen müssen.