Zürich, 08. Juni 2021 – Wegen gravierender Sicherheitsmängel ist der digitale Impfausweis für die Schweiz vorerst gescheitert – unter anderem weil es für jeden möglich war sich als Mediziner auszugeben und Einblick in sensible Gesundheitsdaten Fremder zu erhalten. Nun plant Deutschland, wie das Bundesgesundheitsministerium bekannt gab, die Einführung eines digitalen Impfnachweises als freiwilliges und ergänzendes Angebot zum bekannten gelben Impfpass aus Papier. Vor dem Hintergrund, dass die COVID-19-Pandemie bereits gezeigt hat, dass in Deutschland in Sachen Digitalisierung Nachholbedarf besteht, stellt sich nun die Frage, ob hierzulande ein ähnliches Debakel wie bei den Schweizer Nachbarn droht? Nevis Security, ein Entwickler von Sicherheitslösungen, erläutert Grundlegendes zum geplanten digitalen Impfnachweis und wie Sicherheitsmängeln bei den genutzten Anmeldeverfahren bedienerfreundlich vorgebeugt werden könnte.
Im Wesentlichen wird der digitale Impfnachweis aus einem QR-Code bestehen, der die Informationen über die Impfdaten sowie eine digitale Signatur enthält. Gespeichert werden sollen die Zertifikate nicht zentral auf einem Server, sondern auf dem Smartphone des Geimpften. Wer kein Smartphone besitzt, erhält zusätzlich zum Eintrag im Impfpass aus Papier einen Ausdruck dieses QR-Codes, um ihn bei Bedarf vorzuzeigen. Um sich beispielsweise in Restaurants als „Geimpft“ auszuweisen, wird der QR-Code präsentiert. Dort scannen ihn die Mitarbeiter mit einer eigens entwickelten Prüf-App und können dann sehen, ob ein Impfschutz, etwa gegen COVID-19, besteht. Spezielle Funktionen des digitalen Impfnachweises erinnern die Nutzer zudem daran, wann sie Impfungen auffrischen müssen. Auf diese Weise kann er dazu beitragen, die allgemeine Gesundheitsvorsorge zu verbessern.
Mehr Gesundheitsschutz, ausbaufähige Sicherheit
Neben den Vorteilen besitzt der digitale Impfnachweis allerdings mehrere Sicherheitslücken. Es gibt zum Beispiel keinen standardisierten Prüfprozess, um die Daten aus dem Papier-Impfpass in die Erfassungssysteme für den digitalen Impfnachweis zu übermitteln. Da die Übertragung in Impfzentren, Arztpraxen, Krankenhäusern oder Apotheken stattfindet, stellen deren IT-Systeme eine weitere potenzielle Schwachstelle dar. Aus der jüngeren Vergangenheit sind zahlreiche Angriffe von Online-Kriminellen auf Gesundheitsdienstleister bekannt, die offenbarten, wie mangelhaft geschützt deren IT teilweise ist. So erbeuteten Cyber-Kriminelle in Finnland 2020 vertrauliche Informationen aus Psychotherapie-Sitzungen und nutzten sie für Erpressungszwecke. Aufgrund eines Ransomware-Angriffs musste auch der öffentliche Gesundheitsdienst in Irland in diesem Jahr bereits seine gesamten Computersysteme abschalten.
Passwortfreie Verfahren erfüllen höchste Sicherheitsstandards
Damit auch bei den digitalen Impfnachweisen höchste Sicherheitsstandards erfüllt werden, ist eine essenzielle Voraussetzung, dass alle Beteiligten sich mit äußerst sicheren Anmeldeverfahren in die genutzten Systeme einloggen können. Bekannt ist dafür die Zwei-Faktor-Authentifizierung. Dennoch wissen viele Dienstleister nicht, dass nicht alle Verfahren zur Zwei-Faktor-Authentifizierung gleich sind. Wer darauf setzt, sollte nicht vergessen, dass Anwender neben Sicherheit Komfort schätzen. Zwei-Faktor-Authentifizierungs-Lösungen, die den Zugriff auf externe Hardware-Geräte wie Code-Generatoren oder Token erfordern, können daher unpraktisch sein. Auch wenn es zunächst jeglicher Vernunft zu widersprechen scheint: Gesundheitsdienstleister, die Sicherheit mit größtmöglicher Anwenderfreundlichkeit verbinden wollen, sollten ganz auf Passwörter verzichten. Schließlich sind nur lange und komplexe Passwörter sicher, die aus unterschiedlichen Zeichen bestehen. Die sind aber für die Anwender wiederum so schwer zu merken, dass sie sie häufig für mehrere Dienste verwenden. Damit steigt das Risiko, dass sich Cyber-Kriminelle Zugang zu Firmenportalen und -Apps verschaffen.
Ideale Methoden zur Nutzerverifizierung, die Passwörter überflüssig machen, sind die biometrische Gesichtserkennung oder Fingerabdruck-Scans. Moderne Mobilgeräte können solche biometrischen Daten erfassen und lassen sich unkompliziert in Zwei- oder Multi-Faktor-Authentifizierungsverfahren einbinden. „Indem solche Lösungen Technologien verwenden, die viele Menschen bereits kennen – und gerne nutzen, bieten sie nicht nur eine höchst sichere, sondern auch eine sehr komfortable Nutzererfahrung. Das steigert zusätzlich die Akzeptanz für solche Sicherheitsanwendungen“, erklärt Stephan Schweizer, CEO bei Nevis.