Anzeige

Impfnachweis

Wegen gravierender Sicherheitsmängel ist der digitale Impfausweis für die Schweiz vorerst gescheitert – unter anderem weil es für jeden möglich war sich als Mediziner auszugeben und Einblick in sensible Gesundheitsdaten Fremder zu erhalten.

Nun plant Deutschland, wie das Bundesgesundheitsministerium bekannt gab, die Einführung eines digitalen Impfnachweises als freiwilliges und ergänzendes Angebot zum bekannten gelben Impfpass aus Papier. Vor dem Hintergrund, dass die COVID-19-Pandemie bereits gezeigt hat, dass in Deutschland in Sachen Digitalisierung Nachholbedarf besteht, stellt sich nun die Frage, ob hierzulande ein ähnliches Debakel wie bei den Schweizer Nachbarn droht? Nevis Security, ein Entwickler von Sicherheitslösungen, erläutert Grundlegendes zum geplanten digitalen Impfnachweis und wie Sicherheitsmängeln bei den genutzten Anmeldeverfahren bedienerfreundlich vorgebeugt werden könnte. 

Im Wesentlichen wird der digitale Impfnachweis aus einem QR-Code bestehen, der die Informationen über die Impfdaten sowie eine digitale Signatur enthält. Gespeichert werden sollen die Zertifikate nicht zentral auf einem Server, sondern auf dem Smartphone des Geimpften. Wer kein Smartphone besitzt, erhält zusätzlich zum Eintrag im Impfpass aus Papier einen Ausdruck dieses QR-Codes, um ihn bei Bedarf vorzuzeigen. Um sich beispielsweise in Restaurants als „Geimpft“ auszuweisen, wird der QR-Code präsentiert. Dort scannen ihn die Mitarbeiter mit einer eigens entwickelten Prüf-App und können dann sehen, ob ein Impfschutz, etwa gegen COVID-19, besteht. Spezielle Funktionen des digitalen Impfnachweises erinnern die Nutzer zudem daran, wann sie Impfungen auffrischen müssen. Auf diese Weise kann er dazu beitragen, die allgemeine Gesundheitsvorsorge zu verbessern. 

Mehr Gesundheitsschutz, ausbaufähige Sicherheit

Neben den Vorteilen besitzt der digitale Impfnachweis allerdings mehrere Sicherheitslücken. Es gibt zum Beispiel keinen standardisierten Prüfprozess, um die Daten aus dem Papier-Impfpass in die Erfassungssysteme für den digitalen Impfnachweis zu übermitteln. Da die Übertragung in Impfzentren, Arztpraxen, Krankenhäusern oder Apotheken stattfindet, stellen deren IT-Systeme eine weitere potenzielle Schwachstelle dar. Aus der jüngeren Vergangenheit sind zahlreiche Angriffe von Online-Kriminellen auf Gesundheitsdienstleister bekannt, die offenbarten, wie mangelhaft geschützt deren IT teilweise ist. So erbeuteten Cyber-Kriminelle in Finnland 2020 vertrauliche Informationen aus Psychotherapie-Sitzungen und nutzten sie für Erpressungszwecke. Aufgrund eines Ransomware-Angriffs musste auch der öffentliche Gesundheitsdienst in Irland in diesem Jahr bereits seine gesamten Computersysteme abschalten.

Passwortfreie Verfahren erfüllen höchste Sicherheitsstandards

Damit auch bei den digitalen Impfnachweisen höchste Sicherheitsstandards erfüllt werden, ist eine essenzielle Voraussetzung, dass alle Beteiligten sich mit äußerst sicheren Anmeldeverfahren in die genutzten Systeme einloggen können. Bekannt ist dafür die Zwei-Faktor-Authentifizierung. Dennoch wissen viele Dienstleister nicht, dass nicht alle Verfahren zur Zwei-Faktor-Authentifizierung gleich sind. Wer darauf setzt, sollte nicht vergessen, dass Anwender neben Sicherheit Komfort schätzen. Zwei-Faktor-Authentifizierungs-Lösungen, die den Zugriff auf externe Hardware-Geräte wie Code-Generatoren oder Token erfordern, können daher unpraktisch sein. Auch wenn es zunächst jeglicher Vernunft zu widersprechen scheint: Gesundheitsdienstleister, die Sicherheit mit größtmöglicher Anwenderfreundlichkeit verbinden wollen, sollten ganz auf Passwörter verzichten. Schließlich sind nur lange und komplexe Passwörter sicher, die aus unterschiedlichen Zeichen bestehen. Die sind aber für die Anwender wiederum so schwer zu merken, dass sie sie häufig für mehrere Dienste verwenden. Damit steigt das Risiko, dass sich Cyber-Kriminelle Zugang zu Firmenportalen und -Apps verschaffen. 

Ideale Methoden zur Nutzerverifizierung, die Passwörter überflüssig machen, sind die biometrische Gesichtserkennung oder Fingerabdruck-Scans. Moderne Mobilgeräte können solche biometrischen Daten erfassen und lassen sich unkompliziert in Zwei- oder Multi-Faktor-Authentifizierungsverfahren einbinden. „Indem solche Lösungen Technologien verwenden, die viele Menschen bereits kennen – und gerne nutzen, bieten sie nicht nur eine höchst sichere, sondern auch eine sehr komfortable Nutzererfahrung. Das steigert zusätzlich die Akzeptanz für solche Sicherheitsanwendungen“, erklärt Stephan Schweizer, CEO bei Nevis.

https://www.nevis.net/de/


Artikel zu diesem Thema

Zwei-Faktor-Authentifizierung
Mai 19, 2021

Passwortmanagement und Zwei-Faktor-Authentifizierung

Die Systeme vieler Organisationen verlassen sich noch immer auf Passwörter als primäre…
Hacker Irland
Mai 17, 2021

Conti-Ransomware für Angriff auf irischen Gesundheitsdienst verantwortlich

Für den schweren Angriff auf die Systeme des irischen HSE-Gesundheitsdienstes ist wohl…
QR-Code
Apr 28, 2021

Achtung! Oder wie sicher sind QR-Codes wirklich?

Bis zum Jahr 2022 sollen Schätzungen zufolge über fünf Milliarden QR-Codes von mobilen…

Weitere Artikel

Identity

Bequemer, leichter, sicherer – SSI ist die Technologie der Zukunft

Viel zu selten wird beim Thema Datenschutz offen diskutiert, wie Selbstbestimmung über die eigenen Daten und wachsender Datenfluss miteinander vereinbar sind. Ein möglicher Lösungsansatz ist eine Self Sovereign Identity (SSI). Diese „Selbstbestimmte…
IAM

Wie IAM die TISAX-Zertifizierung von Automobilherstellern unterstützt

Deutsche lieben ihre Autos – diese Aussage stellt sich weit weniger als veraltetes Klischee heraus als erwartet, sondern lässt sich durch Zahlen belegen: Die Automobilindustrie stellt seit Jahrzehnten den mit Abstand bedeutendsten Industriezweig dar und…
Mobile Access

Mit Mobile-Access-Lösungen in die konvergente Zukunft

Mobile-Access-Lösungen liegen im Trend. Sie bilden vielfach die Basis für die Vernetzung von physischer Zutritts- und logischer Zugangskontrolle, wie eine globale Untersuchung von HID Global zeigt.
Identity Management

Von der Middleware zum Erfolgsgaranten – IAM Systeme im Wandel

Die Domänen Identity and Access Management (IAM) und Identity and Access Governance (IAG) in modernen Unternehmen unterliegen einem stetigen Wandel.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.