Anzeige

Impfnachweis

Wegen gravierender Sicherheitsmängel ist der digitale Impfausweis für die Schweiz vorerst gescheitert – unter anderem weil es für jeden möglich war sich als Mediziner auszugeben und Einblick in sensible Gesundheitsdaten Fremder zu erhalten.

Nun plant Deutschland, wie das Bundesgesundheitsministerium bekannt gab, die Einführung eines digitalen Impfnachweises als freiwilliges und ergänzendes Angebot zum bekannten gelben Impfpass aus Papier. Vor dem Hintergrund, dass die COVID-19-Pandemie bereits gezeigt hat, dass in Deutschland in Sachen Digitalisierung Nachholbedarf besteht, stellt sich nun die Frage, ob hierzulande ein ähnliches Debakel wie bei den Schweizer Nachbarn droht? Nevis Security, ein Entwickler von Sicherheitslösungen, erläutert Grundlegendes zum geplanten digitalen Impfnachweis und wie Sicherheitsmängeln bei den genutzten Anmeldeverfahren bedienerfreundlich vorgebeugt werden könnte. 

Im Wesentlichen wird der digitale Impfnachweis aus einem QR-Code bestehen, der die Informationen über die Impfdaten sowie eine digitale Signatur enthält. Gespeichert werden sollen die Zertifikate nicht zentral auf einem Server, sondern auf dem Smartphone des Geimpften. Wer kein Smartphone besitzt, erhält zusätzlich zum Eintrag im Impfpass aus Papier einen Ausdruck dieses QR-Codes, um ihn bei Bedarf vorzuzeigen. Um sich beispielsweise in Restaurants als „Geimpft“ auszuweisen, wird der QR-Code präsentiert. Dort scannen ihn die Mitarbeiter mit einer eigens entwickelten Prüf-App und können dann sehen, ob ein Impfschutz, etwa gegen COVID-19, besteht. Spezielle Funktionen des digitalen Impfnachweises erinnern die Nutzer zudem daran, wann sie Impfungen auffrischen müssen. Auf diese Weise kann er dazu beitragen, die allgemeine Gesundheitsvorsorge zu verbessern. 

Mehr Gesundheitsschutz, ausbaufähige Sicherheit

Neben den Vorteilen besitzt der digitale Impfnachweis allerdings mehrere Sicherheitslücken. Es gibt zum Beispiel keinen standardisierten Prüfprozess, um die Daten aus dem Papier-Impfpass in die Erfassungssysteme für den digitalen Impfnachweis zu übermitteln. Da die Übertragung in Impfzentren, Arztpraxen, Krankenhäusern oder Apotheken stattfindet, stellen deren IT-Systeme eine weitere potenzielle Schwachstelle dar. Aus der jüngeren Vergangenheit sind zahlreiche Angriffe von Online-Kriminellen auf Gesundheitsdienstleister bekannt, die offenbarten, wie mangelhaft geschützt deren IT teilweise ist. So erbeuteten Cyber-Kriminelle in Finnland 2020 vertrauliche Informationen aus Psychotherapie-Sitzungen und nutzten sie für Erpressungszwecke. Aufgrund eines Ransomware-Angriffs musste auch der öffentliche Gesundheitsdienst in Irland in diesem Jahr bereits seine gesamten Computersysteme abschalten.

Passwortfreie Verfahren erfüllen höchste Sicherheitsstandards

Damit auch bei den digitalen Impfnachweisen höchste Sicherheitsstandards erfüllt werden, ist eine essenzielle Voraussetzung, dass alle Beteiligten sich mit äußerst sicheren Anmeldeverfahren in die genutzten Systeme einloggen können. Bekannt ist dafür die Zwei-Faktor-Authentifizierung. Dennoch wissen viele Dienstleister nicht, dass nicht alle Verfahren zur Zwei-Faktor-Authentifizierung gleich sind. Wer darauf setzt, sollte nicht vergessen, dass Anwender neben Sicherheit Komfort schätzen. Zwei-Faktor-Authentifizierungs-Lösungen, die den Zugriff auf externe Hardware-Geräte wie Code-Generatoren oder Token erfordern, können daher unpraktisch sein. Auch wenn es zunächst jeglicher Vernunft zu widersprechen scheint: Gesundheitsdienstleister, die Sicherheit mit größtmöglicher Anwenderfreundlichkeit verbinden wollen, sollten ganz auf Passwörter verzichten. Schließlich sind nur lange und komplexe Passwörter sicher, die aus unterschiedlichen Zeichen bestehen. Die sind aber für die Anwender wiederum so schwer zu merken, dass sie sie häufig für mehrere Dienste verwenden. Damit steigt das Risiko, dass sich Cyber-Kriminelle Zugang zu Firmenportalen und -Apps verschaffen. 

Ideale Methoden zur Nutzerverifizierung, die Passwörter überflüssig machen, sind die biometrische Gesichtserkennung oder Fingerabdruck-Scans. Moderne Mobilgeräte können solche biometrischen Daten erfassen und lassen sich unkompliziert in Zwei- oder Multi-Faktor-Authentifizierungsverfahren einbinden. „Indem solche Lösungen Technologien verwenden, die viele Menschen bereits kennen – und gerne nutzen, bieten sie nicht nur eine höchst sichere, sondern auch eine sehr komfortable Nutzererfahrung. Das steigert zusätzlich die Akzeptanz für solche Sicherheitsanwendungen“, erklärt Stephan Schweizer, CEO bei Nevis.

https://www.nevis.net/de/


Artikel zu diesem Thema

Zwei-Faktor-Authentifizierung
Mai 19, 2021

Passwortmanagement und Zwei-Faktor-Authentifizierung

Die Systeme vieler Organisationen verlassen sich noch immer auf Passwörter als primäre…
Hacker Irland
Mai 17, 2021

Conti-Ransomware für Angriff auf irischen Gesundheitsdienst verantwortlich

Für den schweren Angriff auf die Systeme des irischen HSE-Gesundheitsdienstes ist wohl…
QR-Code
Apr 28, 2021

Achtung! Oder wie sicher sind QR-Codes wirklich?

Bis zum Jahr 2022 sollen Schätzungen zufolge über fünf Milliarden QR-Codes von mobilen…

Weitere Artikel

Cybersecurity

Firmen fehlt einheitlicher Überblick über internes Identitätsrisiko

Cyberangriffe sind die größte Gefahr für Firmen. Das bestätigen Fach- und Führungskräfte, die vom Versicherungskonzern Allianz im Rahmen des aktuellen Riskobarometers befragt wurden. Der zur Allianz gehörende Industrieversicherer AGCS hat dazu im vergangenen…
Cyber Security

Empfehlungen für PAM im Hotellerie- und Gastgewerbe

Reisen ist wieder möglich. Eingeschränkt zwar, aber immerhin. Das Einchecken im Hotel wird in zwischen durch ein komplexes Netz digitaler Prozesse erleichtert. Von der Reservierung über die Bezahlung bis hin zur Personalisierung des Zimmerservice und anderer…
Passwort

Die Top 10 der beliebtesten Passwörter in 2021

Der Handel mit persönlichen Daten ist ein Milliardengeschäft - doch nicht nur Unternehmen, auch Cyberkriminelle zeigen ein wachsendes Interesse an der wertvollen Ressource.
Zero Trust

Zero Trust zeigt Zero-Day-Lücken die Zähne

Die unlängst in der populären Daten-Bibliothek Apache Log4J Logging entdeckte Sicherheitslücke hat das Potenzial, die Grundfesten traditioneller Sicherheitsparameter zu erschüttern. Diese Lücke verdeutlicht die Limitierung herkömmlicher Sicherheit und zeigt…
Identität

Gestohlene Zugangsdaten im Unternehmenskontext (Teil1/2)

Während unterschiedlichste IT-Sicherheitsmaßnahmen bei Unternehmen bekannt sind, wird die Bedrohung durch eine Kompromittierung der Passwörter von Mitarbeiter:innen oft unterschätzt. In der Regel fällt der Diebstahl unternehmenseigener Zugangsdaten erst auf,…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.