Digitaler Impfnachweis für Deutschland: Schweiz als warnendes Beispiel

Nevis erläutert Sicherheitslücken des geplanten digitalen Impfnachweises und gibt Empfehlungen zur Behebung

[datensicherheit.de, 27.05.2021] Nevis Security meldet, dass wegen gravierender Sicherheitsmängel der Digitale Impfausweis für die Schweiz vorerst gescheitert sei – „unter anderem weil es für jeden möglich war, sich als Mediziner auszugeben und Einblick in sensible Gesundheitsdaten Fremder zu erhalten“. Nun plane Deutschland laut Bundesgesundheitsministerium die Einführung eines digitalen Impfnachweises als freiwilliges und ergänzendes Angebot zum bekannten gelben Impfpass aus Papier. Vor dem Hintergrund, dass die „COVID-19-Pandemie“ bereits gezeigt habe, dass in Deutschland in Sachen Digitalisierung Nachholbedarf bestehe, „stellt sich nun die Frage, ob hierzulande ein ähnliches Debakel wie bei den Schweizer Nachbarn droht“. Nevis Security erläutert in einer Stellungnahme Grundlegendes zum geplanten digitalen Impfnachweis und wie Sicherheitsmängeln bei den genutzten Anmeldeverfahren bedienerfreundlich vorgebeugt werden könnte.

Digitaler Impfnachweis basiert auf QR-Code

Im Wesentlichen werde der digitale Impfnachweis aus einem QR-Code bestehen, „der die Informationen über die Impfdaten sowie eine digitale Signatur enthält“. Gespeichert werden sollten die Zertifikate nicht zentral auf einem Server, sondern auf dem Smartphone des Geimpften. „Wer kein Smartphone besitzt, erhält zusätzlich zum Eintrag im Impfpass aus Papier einen Ausdruck dieses QR-Codes, um ihn bei Bedarf vorzuzeigen.“
Um sich beispielsweise in Restaurants als „geimpft“ auszuweisen, werde dieser QR-Code präsentiert. Dort scannten ihn die Mitarbeiter mit einer eigens entwickelten Prüf-App und könnten dann sehen, ob ein Impfschutz, etwa gegen „COVID-19“, besteht. Spezielle Funktionen des digitalen Impfnachweises erinnerten die Nutzer zudem daran, wann sie Impfungen auffrischen müssten.

Digitaler Impfnachweis hat mehrere potenzielle Sicherheitslücken

Neben den Vorteilen besitze der digitale Impfnachweis allerdings mehrere Sicherheitslücken. Es gebe zum Beispiel keinen standardisierten Prüfprozess, um die Daten aus dem Papier-Impfpass in die Erfassungssysteme für den digitalen Impfnachweis zu übermitteln. „Da die Übertragung in Impfzentren, Arztpraxen, Krankenhäusern oder Apotheken stattfindet, stellen deren IT-Systeme eine weitere potenzielle Schwachstelle dar.“
Aus der jüngeren Vergangenheit seien zahlreiche Angriffe von Online-Kriminellen auf Gesundheitsdienstleister bekannt, welche offenbart hätten, wie mangelhaft geschützt deren IT teilweise sei. „So erbeuteten Cyber-Kriminelle in Finnland 2020 vertrauliche Informationen aus Psychotherapie-Sitzungen und nutzten sie für Erpressungszwecke.“ Aufgrund eines Ransomware-Angriffs habe auch der öffentliche Gesundheitsdienst in Irland in diesem Jahr bereits seine gesamten Computersysteme abschalten müssen.

Passwortfreie Verfahren für digitalen Impfnachweis empfohlen

„Damit auch bei den digitalen Impfnachweisen höchste Sicherheitsstandards erfüllt werden, ist eine essenzielle Voraussetzung, dass alle Beteiligten sich mit äußerst sicheren Anmeldeverfahren in die genutzten Systeme einloggen können.“ Bekannt sei dafür die Zwei-Faktor-Authentifizierung. Dennoch wüssten viele Dienstleister nicht, dass nicht alle Verfahren zur Zwei-Faktor-Authentifizierung gleich seien. „Wer darauf setzt, sollte nicht vergessen, dass Anwender neben Sicherheit Komfort schätzen. Zwei-Faktor-Authentifizierungs-Lösungen, die den Zugriff auf externe Hardware-Geräte wie Code-Generatoren oder Token erfordern, können daher unpraktisch sein.“
Auch wenn es zunächst jeglicher Vernunft zu widersprechen scheine: „Gesundheitsdienstleister, die Sicherheit mit größtmöglicher Anwenderfreundlichkeit verbinden wollen, sollten ganz auf Passwörter verzichten.“ Schließlich seien nur lange und komplexe, aus unterschiedlichen Zeichen bestehende Passwörter sicher. Diese seien aber für die Anwender wiederum so schwer zu merken, dass sie häufig für mehrere Dienste verwendet würden. Damit steige das Risiko, dass sich Cyber-Kriminelle Zugang zu Firmenportalen und -Apps verschafften.

Akzeptanz für Sicherheitsanwendungen beim digitalen Impfnachweis erfolgsentscheidend

Ideale Methoden zur Nutzerverifizierung, die Passwörter überflüssig machten, seien die biometrische Gesichtserkennung oder Fingerabdruck-Scans. Moderne Mobilgeräte könnten solche biometrischen Daten erfassen und ließen sich unkompliziert in Zwei- oder Multi-Faktor-Authentifizierungsverfahren einbinden.
„Indem solche Lösungen Technologien verwenden, die viele Menschen bereits kennen – und gerne nutzen, bieten sie nicht nur eine höchst sichere, sondern auch eine sehr komfortable Nutzererfahrung. Das steigert zusätzlich die Akzeptanz für solche Sicherheitsanwendungen“, betont Stephan Schweizer, „CEO“ bei Nevis.

Weitere Informationen zum Thema:

datensicherheit.de, 26.05.2021
Datenschutz in Corona-Zeiten: Digitale Impfpässe müssen DSGVO-konform sein / Mit Digitalen Impfpässen möchte die Europäische Kommission ein Stück Normalität zurückbringen

datensicherheit.de, 18.05.2021
HSE-Ransomware-Attacke: Hacker-Gruppe Conti mutmaßlicher Täter / Ende der 19. KW 2021 wurde die irische Gesundheitsbehörde HSE Opfer eines Angriffs mit Ransomware – durch die Hacker-Gruppe Conti, meldet Palo Alto Networks

aerzteblatt.de, 27.10.2020
Ausland / Vertrauliche Psychotherapiedaten in Finnland gehackt