Mit der steigenden Rate an Geimpften wächst auch die Hoffnung auf ein Ende der Corona-Pandemie. Dennoch besteht eine immense Gefahr vor gefälschten Impfausweisen. Mit Aufkleber, Stempel und Unterschrift wird derzeit in verschiedenen Ausführungen von Ausweisen die erfolgte Impfung vermerkt. Hier muss schleunigst eine moderne, zentrale und vor allem sichere Lösung gefunden werden. Die ESET Sicherheitsexperten geben ihre Ideen für einen sicheren digitalen Impfausweis.
„Viele Büchereiausweise sind fälschungssicherer als die aktuell im Umlauf befindlichen Impfausweise“, erklärt Thorsten Urbanski, Sicherheitsexperte bei ESET. „Derzeit gibt es in Deutschland keinen fälschungssicheren Impfausweis. Auch die Aufkleber nach erfolgter Erst- und Zweitimpfung öffnen Betrügern Tür und Tor. Hier müssen schleunigst vertrauenswürdige und vor allem sichere digitale Lösungen her.“ Neben einer geschützten App ist nach Ansicht des Experten zusätzlich eine Ausweiskarte erforderlich, die mit QR-Code und Chip ausgestattet ist.
Zentrale Datenbanklösungen
Der Einsatz von zentralen Datenbanklösungen mit Funktionalität zumindest in der gesamten Europäischen Union wäre wünschenswert. „Prädestiniert dafür wäre das EU-Projekt Gaia-X“, sagt Urbanski weiter. „Der Zugriff darauf und die Datenhaltung müssen selbstverständlich vollverschlüsselt sein. Nur autorisierte Stellen, wie Impfzentren oder Gesundheitsämter, dürfen auf diese Datenbanken zugreifen, um Falscheingaben zu verhindern.“
Sicherheit muss Priorität haben
Sicherheit muss bei der Umsetzung eines digitalen Impfausweises oberste Priorität haben. Hierfür könnten auch Schnittstellen zu bestehenden Angeboten wie dem „Digitalen Ausweis“ etabliert werden. Dabei ist es essentiell, dass die Funktionalität auch ohne Smartphone gewährleistet werden kann. Beispielsweise könnten individuelle QR-Codes genutzt werden, die auf Token-Basis vollverschlüsselt einen Datenabgleich durchführen.
Aktuelle Situation auf einen Blick
Unterschiedliche Impfausweise in Papierform ohne Sicherheitsmerkmale:
- Die Einordnung als amtliches Dokument wird durch unterschiedliche Impfausweise erschwert. Der internationale WHO-Ausweis und alte Dokumente aus den 60er Jahren sind immer noch gültig und von den COVID19-Impfzentren mit dem ausgedruckten Aufkleber versehen.
- Der verwendete Aufkleber – nach erfolgter Erst- und Zweitimpfung – ist nicht fälschungssicher und kann problemlos mit handelsüblichen Laser-Druckern selbst ausgedruckt werden.
- Aktueller Impfausweis kann ohne großen Aufwand gefälscht werden – erste Angebote sollen laut Medienberichten im Darknet bereits vorhanden sein.
- Fehlender analoger Corona-Impfausweis mit fälschungssicheren Bestandteilen
Mindestanforderungen für den kommenden Impfausweis:
· Echtheitsprüfung: Grenzüberschreitende Verifizierung der Impfdaten via App und QR-Code – z.B. für Hotel-Check-In, Flugreisen oder Einkauf im stationären Handel. Die Funktionalität muss auch ohne App/Smartphone gewährleistet sein.
· Datenaustausch und Datenspeicherung: Der Datenaustausch sollte verschlüsselt via Token-System stattfinden. Die Verifizierung muss in der Funktionalität grenzüberschreitend möglich sein.
· Zentrale Datenbanklösung: Eine sichere EU-Infrastruktur als Basis für eine zentrale Datenbanklösung, die einen DSGVO konformen Datenaustausch garantiert. Das EU-Projekt GAIA X wäre hierfür eine ideale Plattform für den Health Care Bereich.
· Sicherer Zugriff: Der Zugriff und Datenaustausch auf die Impf-Datenbanken und die Datenhaltung müssen selbstverständlich vollverschlüsselt sein. Zugriff nur für autorisierte Stellen, wie z.B. Impfstellen und Gesundheitsämter, um Falscheingaben zu verhindern.
· Design: Schnittstellendesign für eine „Digitale Ausweis“ App zur Verifizierung der Person bzw. Darstellung z.B. der Personalausweisnummer im Lesegerät zum Abgleich mit dem physischen Dokument und der App (Verifizierung, dass der Besitzer des Smartphones auch der Eigentümer/die geimpfte Person ist).
· Analoger Ausweis als Karte: Die Funktionalität muss auch ohne App/Smartphone gewährleistet werden können, durch individuellen QR Code auf einer fälschungssicheren Impf-Karte (vergleichbar mit dem Personalausweis). QR Codes und Datenaustausch auch hier nur verschlüsselt, am besten auf Token-Basis