Sicherheit muss bei der Umsetzung eines digitalen Impfausweises oberste Priorität haben, fordert jetzt der IT-Security-Hersteller Eset. Er hat eine Liste mit Mindestanforderungen zusammengestellt, die der kommende Ausweis erfüllen sollte.
Mit der steigenden Rate an Geimpften wächst auch die Hoffnung auf ein Ende der Corona-Pandemie. Mit Aufkleber, Stempel und Unterschrift wird derzeit in verschiedenen Ausführungen von Ausweisen die erfolgte Impfung vermerkt. Hier haben Kriminelle leichtes Spiel: Gefälschte Impfausweise haben Hochkonjunktur. „Viele Büchereiausweise sind fälschungssicherer als die aktuell im Umlauf befindlichen Impfausweise“, sagt Eset-Sicherheitsexperte Thorsten Urbanski. Derzeit gebe es in Deutschland keinen fälschungssicheren Impfausweis. Auch die Aufkleber nach erfolgter Erst- und Zweitimpfung öffneten Betrügern Tür und Tor. „Hier müssen schleunigst vertrauenswürdige und vor allem sichere digitale Lösungen her“, fordert Urbanski. Neben einer geschützten App ist nach Ansicht des Experten zusätzlich eine Ausweiskarte erforderlich, die mit QR-Code und Chip ausgestattet ist.
Zentrale Datenbanklösungen erforderlich
Zumindest in der gesamten Europäischen Union sollten zentralen Datenbanklösungen mit Funktionalität zum Einsatz kommen. Prädestiniert dafür wäre nach Ansicht von Urbanski das EU-Projekt Gaia-X. „Der Zugriff darauf und die Datenhaltung müssen selbstverständlich vollverschlüsselt sein. Nur autorisierte Stellen, wie Impfzentren oder Gesundheitsämter, dürfen auf diese Datenbanken zugreifen, um Falscheingaben zu verhindern.“
Sicherheit muss bei der Umsetzung eines digitalen Impfausweises oberste Priorität haben. Hier wäre es zum Beispiel möglich, Schnittstellen zu bestehenden Angeboten wie dem „Digitalen Ausweis“ zu etablieren. Dabei ist es essentiell die Funktionalität auch ohne Smartphone zu gewährleisten. So könnten zum Beispiel individuelle QR-Codes genutzt werden, die auf Token-Basis vollverschlüsselt einen Datenabgleich durchführen.
Der Hersteller hat eine Liste mit den Mindestanforderungen für den kommenden Impfausweis zusammengestellt:
· Echtheitsprüfung: Grenzüberschreitende Verifizierung der Impfdaten via App und QR-Code – etwa für Hotel-Check-In, Flugreisen oder Einkauf im stationären Handel. Die Funktionalität muss auch ohne App/Smartphone gewährleistet sein.
· Datenaustausch und Datenspeicherung: Der Datenaustausch sollte verschlüsselt via Token-System stattfinden. Die Verifizierung muss in der Funktionalität grenzüberschreitend möglich sein.
· Zentrale Datenbanklösung: Eine sichere EU-Infrastruktur als Basis für eine zentrale Datenbanklösung, die einen DSGVO konformen Datenaustausch garantiert. Das EU-Projekt GAIA X wäre hierfür eine ideale Plattform für den Health Care Bereich.
· Sicherer Zugriff: Der Zugriff und Datenaustausch auf die Impf-Datenbanken und die Datenhaltung müssen selbstverständlich vollverschlüsselt sein. Zugriff nur für autorisierte Stellen, wie z.B. Impfstellen und Gesundheitsämter, um Falscheingaben zu verhindern.
Schnittstellendesign und fälschungssichere Impfkarte
· Design: Schnittstellendesign für eine „Digitale Ausweis“ App zur Verifizierung der Person bzw. Darstellung z.B. der Personalausweisnummer im Lesegerät zum Abgleich mit dem physischen Dokument und der App (Verifizierung, dass der Besitzer des Smartphones auch der Eigentümer/die geimpfte Person ist).
· Analoger Ausweis als Karte: Die Funktionalität sich auch ohne App/Smartphone gewährleisten lassen , durch individuellen QR Code auf einer fälschungssicheren Impf-Karte (vergleichbar mit dem Personalausweis). QR Codes und Datenaustausch auch hier nur verschlüsselt, am besten auf Token-Basis.