Sicherheitsbedenken beim digitalen EU COVID-Zertifikat

Eset_News
Anzeige

Beitrag teilen

Seit dem 1. Juli 2021 soll das COVID-Zertifikat der EU verfügbar sein. Die Experten von ESET haben aber wie bereits im Vorfeld weiterhin Sicherheitsbedenken. Es gibt einige Schwachpunkte die sich für Missbrauch ausnutzen lassen. 

Nach Einschätzung von ESET ist ein Missbrauch jedoch weiterhin nicht auszuschließen, da die Verfahren mit den bestehenden identisch sind. „Man muss aber klar festhalten, dass die Erstellung von Screenshots bei Smartphones technologisch nicht einwandfrei verhindert werden kann. Noch problematischer wird das, wenn das COVID-Impfdokument ohne Sicherheitsmerkmale einfach ausgedruckt wird. Das wird aber aktuell bei der Ausstellung immer noch praktiziert.

Anzeige

Keiner wird den Ausweis prüfen

Es ist utopisch zu glauben, dass jedes Restaurant oder Geschäft sich zur Verifizierung des Impfstatus immer auch einen Personalausweis zeigen lässt.“ Hier muss nach Einschätzung von ESET der Missbrauch durch eine abgesicherte zweite Instanz verhinderte werden“, so Thorsten Urbanski, Sprecher des europäischen IT-Sicherheitsherstellers ESET. „Es gibt Verfahren, die beispielsweise von Payment-Anbietern eingesetzt werden. Mittels Backend-System und Plausibilitätscheck kann die zeitgleiche Nutzung der Kreditkarte in unterschiedlichen Ländern oder Städten verhindert werden.

Verifizierung des COVID-Impfausweises

Ein ähnliches System wäre für den digitalen COVID-Impfausweis bzw. Nutzung des QR-Codes unter Berücksichtigung der Datenschutzkonformität zwingend erforderlich gewesen. Bei der Verifizierung des Impfausweises via QR-Code und Datenbankabgleich muss ein Abgleich mit einem Backend-System erfolgen. Das setzt aber voraus, dass die Verifizierung durch ein Zweitgerät via App die Standortdaten anonymisiert beim jeweiligen Verifizierungsvorgang erfasst und an die abzugleichende Instanz übermittelt. Es ist klar, dass die stattfindende Prüfung wiederum muss vollkommen anonymisiert erfolgen muss. Um Missbrauch zu vermeiden, wäre diese Plausibilitätsprüfung erforderlich gewesen.“ Ein weiterer Schwachpunkt: Die Eingabesysteme – z.B. in Arztpraxen – nur unzureichend mittels Passwort, statt Zwei-Faktor-Authentifizierung geschützt.

Anzeige

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

DriveLock erhält BSI-anerkannte Zertifizierung CC EAL3+

DriveLock erzielt BSI-anerkannte Zertifizierung Common Criteria EAL3+. Der Spezialist für IT- und Datensicherheit erfüllt damit einen wichtigen Sicherheitsstandard für öffentliche Stellen ➡ Weiterlesen

IEC-Zertifizierung für Kaspersky Industrial Produkt

IEC-Zertifizierung für Kaspersky Industrial CyberSecurity for Networks. Die Kaspersky-Technologie erfüllt alle Anforderungen an einen sicheren Softwareentwicklungs-Lebenszyklus industrieller Unternehmenslösungen. Kaspersky Industrial ➡ Weiterlesen

Test: Security-Lösungen für Unternehmen

Das Labor AV-TEST hat die Ergebnisse seines neuen Tests von Security-Lösungen für Unternehmen veröffentlicht. Viele Produkte wurden zusätzlich mit dem ➡ Weiterlesen

Ivanti: Empfehlungen zur Patch-Priorisierung der Schwachstellen

Analyse des Patch Tuesday im Juli und Empfehlungen von Ivanti zur Priorisierung bei der Behebung der Schwachstellen (CVEs). Der Patch ➡ Weiterlesen