Aktuelles, Branche - geschrieben von dp am Donnerstag, Mai 27, 2021 20:32 - noch keine Kommentare
Digitaler Impfnachweis für Deutschland: Schweiz als warnendes Beispiel
Nevis erläutert Sicherheitslücken des geplanten digitalen Impfnachweises und gibt Empfehlungen zur Behebung
[datensicherheit.de, 27.05.2021] Nevis Security meldet, dass wegen gravierender Sicherheitsmängel der Digitale Impfausweis für die Schweiz vorerst gescheitert sei – „unter anderem weil es für jeden möglich war, sich als Mediziner auszugeben und Einblick in sensible Gesundheitsdaten Fremder zu erhalten“. Nun plane Deutschland laut Bundesgesundheitsministerium die Einführung eines digitalen Impfnachweises als freiwilliges und ergänzendes Angebot zum bekannten gelben Impfpass aus Papier. Vor dem Hintergrund, dass die „COVID-19-Pandemie“ bereits gezeigt habe, dass in Deutschland in Sachen Digitalisierung Nachholbedarf bestehe, „stellt sich nun die Frage, ob hierzulande ein ähnliches Debakel wie bei den Schweizer Nachbarn droht“. Nevis Security erläutert in einer Stellungnahme Grundlegendes zum geplanten digitalen Impfnachweis und wie Sicherheitsmängeln bei den genutzten Anmeldeverfahren bedienerfreundlich vorgebeugt werden könnte.
Digitaler Impfnachweis basiert auf QR-Code
Im Wesentlichen werde der digitale Impfnachweis aus einem QR-Code bestehen, „der die Informationen über die Impfdaten sowie eine digitale Signatur enthält“. Gespeichert werden sollten die Zertifikate nicht zentral auf einem Server, sondern auf dem Smartphone des Geimpften. „Wer kein Smartphone besitzt, erhält zusätzlich zum Eintrag im Impfpass aus Papier einen Ausdruck dieses QR-Codes, um ihn bei Bedarf vorzuzeigen.“
Um sich beispielsweise in Restaurants als „geimpft“ auszuweisen, werde dieser QR-Code präsentiert. Dort scannten ihn die Mitarbeiter mit einer eigens entwickelten Prüf-App und könnten dann sehen, ob ein Impfschutz, etwa gegen „COVID-19“, besteht. Spezielle Funktionen des digitalen Impfnachweises erinnerten die Nutzer zudem daran, wann sie Impfungen auffrischen müssten.
Digitaler Impfnachweis hat mehrere potenzielle Sicherheitslücken
Neben den Vorteilen besitze der digitale Impfnachweis allerdings mehrere Sicherheitslücken. Es gebe zum Beispiel keinen standardisierten Prüfprozess, um die Daten aus dem Papier-Impfpass in die Erfassungssysteme für den digitalen Impfnachweis zu übermitteln. „Da die Übertragung in Impfzentren, Arztpraxen, Krankenhäusern oder Apotheken stattfindet, stellen deren IT-Systeme eine weitere potenzielle Schwachstelle dar.“
Aus der jüngeren Vergangenheit seien zahlreiche Angriffe von Online-Kriminellen auf Gesundheitsdienstleister bekannt, welche offenbart hätten, wie mangelhaft geschützt deren IT teilweise sei. „So erbeuteten Cyber-Kriminelle in Finnland 2020 vertrauliche Informationen aus Psychotherapie-Sitzungen und nutzten sie für Erpressungszwecke.“ Aufgrund eines Ransomware-Angriffs habe auch der öffentliche Gesundheitsdienst in Irland in diesem Jahr bereits seine gesamten Computersysteme abschalten müssen.
Passwortfreie Verfahren für digitalen Impfnachweis empfohlen
„Damit auch bei den digitalen Impfnachweisen höchste Sicherheitsstandards erfüllt werden, ist eine essenzielle Voraussetzung, dass alle Beteiligten sich mit äußerst sicheren Anmeldeverfahren in die genutzten Systeme einloggen können.“ Bekannt sei dafür die Zwei-Faktor-Authentifizierung. Dennoch wüssten viele Dienstleister nicht, dass nicht alle Verfahren zur Zwei-Faktor-Authentifizierung gleich seien. „Wer darauf setzt, sollte nicht vergessen, dass Anwender neben Sicherheit Komfort schätzen. Zwei-Faktor-Authentifizierungs-Lösungen, die den Zugriff auf externe Hardware-Geräte wie Code-Generatoren oder Token erfordern, können daher unpraktisch sein.“
Auch wenn es zunächst jeglicher Vernunft zu widersprechen scheine: „Gesundheitsdienstleister, die Sicherheit mit größtmöglicher Anwenderfreundlichkeit verbinden wollen, sollten ganz auf Passwörter verzichten.“ Schließlich seien nur lange und komplexe, aus unterschiedlichen Zeichen bestehende Passwörter sicher. Diese seien aber für die Anwender wiederum so schwer zu merken, dass sie häufig für mehrere Dienste verwendet würden. Damit steige das Risiko, dass sich Cyber-Kriminelle Zugang zu Firmenportalen und -Apps verschafften.
Akzeptanz für Sicherheitsanwendungen beim digitalen Impfnachweis erfolgsentscheidend
Ideale Methoden zur Nutzerverifizierung, die Passwörter überflüssig machten, seien die biometrische Gesichtserkennung oder Fingerabdruck-Scans. Moderne Mobilgeräte könnten solche biometrischen Daten erfassen und ließen sich unkompliziert in Zwei- oder Multi-Faktor-Authentifizierungsverfahren einbinden.
„Indem solche Lösungen Technologien verwenden, die viele Menschen bereits kennen – und gerne nutzen, bieten sie nicht nur eine höchst sichere, sondern auch eine sehr komfortable Nutzererfahrung. Das steigert zusätzlich die Akzeptanz für solche Sicherheitsanwendungen“, betont Stephan Schweizer, „CEO“ bei Nevis.
Weitere Informationen zum Thema:
datensicherheit.de, 26.05.2021
Datenschutz in Corona-Zeiten: Digitale Impfpässe müssen DSGVO-konform sein / Mit Digitalen Impfpässen möchte die Europäische Kommission ein Stück Normalität zurückbringen
datensicherheit.de, 18.05.2021
HSE-Ransomware-Attacke: Hacker-Gruppe Conti mutmaßlicher Täter / Ende der 19. KW 2021 wurde die irische Gesundheitsbehörde HSE Opfer eines Angriffs mit Ransomware – durch die Hacker-Gruppe Conti, meldet Palo Alto Networks
aerzteblatt.de, 27.10.2020
Ausland / Vertrauliche Psychotherapiedaten in Finnland gehackt
Aktuelles, Experten, Studien - Nov 7, 2024 17:39 - noch keine Kommentare
KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf
weitere Beiträge in Experten
- eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz
- US-Angemessenheitsbeschluss und Datenschutz bei Strafverfolgungsbehörden – EDSA bezieht Position
- Neue Grundsatzentscheidung zwingt Notare zur Ermittlung von Daten für das Nachlassverzeichnis
- Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung
- Cyber-Schwachstellen von Alarmierungsbehörden und Außenministerien aufgedeckt
Aktuelles, Branche, Studien - Nov 7, 2024 17:50 - noch keine Kommentare
ONEKEY-Report warnt Industrie vor Einkauf von Cyber-Sicherheitslücken
weitere Beiträge in Branche
- SweetSpecter hatte OpenAI im Visier
- Smart Cities: Aspekte der Sicherheit in urbaner Zukunft
- Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor
- Trinity-Ransomware: Vorfall zeigt, warum starke Sicherheitskultur unverzichtbar auch für den Gesundheitssektor ist
- Cyber-Angriffe auf die Lieferkette: Unternehmen sollten Risiken erkennen und gezielt vorbeugen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren