Kriminelle fälschen Impfnachweise Wie sicher ist der digitale Impfausweis?

Autor: Melanie Staudacher

Der digitale Impfpass ist im Anmarsch. Grundlage sollen Verschlüsselung und Open Source Code sein, um mehr Sicherheit vor Fälschungen zu gewährleisten. Dennoch stehen Security-Hersteller und auch der TÜV Süd dem Impfausweis per App skeptisch gegenüber.

Firmen zum Thema

Der Nachweis einer Corona-Impfung soll bald auch digital per App möglich sein.
Der Nachweis einer Corona-Impfung soll bald auch digital per App möglich sein.
(Bild: Fokussiert - stock.adobe.com)

Der Europäische Rat hat beschlossen, einen digitalen Impfnachweis anzubieten. Denn bisher wird eine erfolgte Impfung nur mit Aufklebern, Stempeln und Unterschriften auf Impfpässen aus Papier vermerkt. Experten mahnen jedoch, dass diese nicht fälschungssicher sind und nachgemacht werden können. Doch auch der digitale Impfass könnte zu einem gefundenem Fressen für Fälscher werden. Deswegen muss der Impfpass, egal ob analog oder digital, sicher genug sein, damit kein Missbrauch oder Identitätsdiebstahl möglich ist.

Wie funktioniert der digitale Impfpass?

Beim digitalen Impfass handelt es sich um eine freiwillige Ergänzung zum gelben Impfheft. Er wird in der Arztpraxis oder in einem Impfzentrum in Form eines 2D-Barcodes, auch Impfprüftoken genannt, generiert. Diesen scannt der Nutzer direkt ab oder nimmt ihn auf einem Papierausdruck mit, um ihn später über eine kostenfreie App einzuscannen. Die App speichert die Impfbescheinigung lokal auf dem Smartphone. Der Barcode ist nur einmalig einlesbar und die Impfbescheinigung ist anschließend an das Smartphone gebunden, das sie eingelesen hat.

Dadurch kann der Nutzer selbst entscheiden ob und wann er seine Daten löschen möchte. „Zudem sollen die Daten verschlüsselt gespeichert werden. Dies sind datenschutzrechtlich positive Voraussetzungen“, sagt Angela Lechermann, Teamleiterin Datenschutz Consulting Services bei der TÜV Süd Akademie. „Allerdings stellt sich die Frage, wie es sichergestellt ist, dass die Daten der Geimpften beim Auslesen geschützt werden. Dies gilt insbesondere für Reisen in Länder, die datenschutzrechtlich als unsichere Drittländer angesehen werden. Gleichzeitig ist es auch schwierig, die digitale Datenerhebung nach der Pandemie wieder aufzuheben. Dies ist insbesondere problematisch, da es sich um besonders sensible Daten nach Art. 9 DSGVO handelt. Diese Verarbeitung ist prinzipiell verboten und nur mit sehr engen Ausnahmen zulässig.“

Für Dienstleister, die den Impfstatus überprüfen möchten, ist eine Prüf-App geplant. Damit können sie den Barcode einscannen. Alternativ ist immer auch der Nachweis mit dem analogen Impfpass möglich. Bei beiden Ausweisen muss zur Überprüfung ergänzend ein Lichtbildausweis vorgelegt werden.

Thorsten Urbanski, Sicherheitsexperte bei Eset, steht dem Prüfverfahren jedoch skeptisch gegenüber: „Es ist utopisch zu glauben, dass jedes Restaurant oder Geschäft sich zur Verifizierung des Impfstatus immer auch einen Personalausweis zeigen lässt. Es gibt bereits Verfahren, die beispielsweise von Payment-Anbietern eingesetzt werden. Mittels Backend-System und Plausibilitätsprüfung kann zum Beispiel die zeitgleiche Nutzung der Kreditkarte in unterschiedlichen Ländern oder Städten verhindert werden. Ein ähnliches System wäre für den digitalen Impfausweis beziehungsweise die Nutzung des QR-Codes unter Berücksichtigung der Datenschutzkonformität zwingend erforderlich. Bei der Verifizierung des Impfausweises via QR-Code und Datenbankabgleich muss ein Abgleich mit einem Backend-System erfolgen. Das setzt aber voraus, dass die Verifizierung durch ein Zweitgerät via App die Standortdaten beim jeweiligen Verifizierungsvorgang erfasst und an die abzugleichende Instanz übermittelt. Das stattfindende Tracking wiederum muss vollkommen anonymisiert erfolgen.“

Auch Christine Schönig, Regional Director Security Engineering CER bei Check Point, mahnt, dass „die Diskussion der Verhältnismäßigkeit zwischen Digitalisierung und Datenschutz nicht einfach außen vor gelassen werden darf.“

Damit ein möglichst umfassender Schutz vor Vervielfältigung besteht, ist der digitale Impfnachweis kryptographisch vor Veränderungen geschützt. Einen weiteren Pluspunkt für die Sicherheit des digitalen Impfpasses sieht Andreas Philipp, Business Development Manager bei Primekey, in der Nutzung von Open Source Code, wie er schon bei der Cororna-Warn-App verwendet wurde: „Das wird auf jeden Fall zur Transparenz beitragen, weil so der Quellcode von unabhängigen IT-Sicherheitsexperten eingesehen und auf Schwachstellen oder Backdoors geprüft werden kann.“

Wie wird der digitale Impfpass sicherer?

In Europa gilt seit 2016 die eIDAS-Regulierung, in Deutschland auch elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen (IVT) genannt. Diese gibt die Grundlage in Hinblick auf elektronische Signaturen und die Bereitstellung von Vertrauensdiensten und trägt somit zum Schutz vor Fälschungen bei. „Wenn die darin festgehaltenen technischen Verfahren sowie Standards gewissenhaft umgesetzt werden, dann ist der digitale Impfpass bereits sehr gut vor Fälschungen geschützt“, sagt Philipp.

Ein offener Quellcode und die Zusammenarbeit mit der Open Source Community tragen dazu bei, dass Schwachstellen schneller identifiziert und geschlossen werden können. „Das betrifft auch Schwachstellen, die eine Fälschung ermöglichen würden. Die Transparenz bei der Corona-App wurde vom Chaos Computer Club positiv hervorgehoben, ein großer Erfolg! Wenn der digitale Impfpass daran anknüpfen kann, dann ist bereits sehr viel erreicht“, ergänzt Philipp.

Eine weitere Möglichkeit, um den digitalen Impfpass zu vervollständigen, sieht Schönig darin, die Daten aus dem gelben Impfheft einzulesen und so die Authentizität der Informationen zu verbessern. Sie fügt hinzu: „Leider sind jedoch die Impfnachweise im gelben Impfpass einfach fälschbar und das darf mit dem digitalen Ausweis nicht ebenso geschehen.“

Dieser Beitrag erschien zuerst auf unserem Schwesterportal IT-Business.

(ID:47401688)