Sicherheitsbedenken beim digitalen EU COVID-Zertifikat

Eset_News
Anzeige

Beitrag teilen

Seit dem 1. Juli 2021 soll das COVID-Zertifikat der EU verfügbar sein. Die Experten von ESET haben aber wie bereits im Vorfeld weiterhin Sicherheitsbedenken. Es gibt einige Schwachpunkte die sich für Missbrauch ausnutzen lassen. 

Nach Einschätzung von ESET ist ein Missbrauch jedoch weiterhin nicht auszuschließen, da die Verfahren mit den bestehenden identisch sind. „Man muss aber klar festhalten, dass die Erstellung von Screenshots bei Smartphones technologisch nicht einwandfrei verhindert werden kann. Noch problematischer wird das, wenn das COVID-Impfdokument ohne Sicherheitsmerkmale einfach ausgedruckt wird. Das wird aber aktuell bei der Ausstellung immer noch praktiziert.

Anzeige

Keiner wird den Ausweis prüfen

Es ist utopisch zu glauben, dass jedes Restaurant oder Geschäft sich zur Verifizierung des Impfstatus immer auch einen Personalausweis zeigen lässt.“ Hier muss nach Einschätzung von ESET der Missbrauch durch eine abgesicherte zweite Instanz verhinderte werden“, so Thorsten Urbanski, Sprecher des europäischen IT-Sicherheitsherstellers ESET. „Es gibt Verfahren, die beispielsweise von Payment-Anbietern eingesetzt werden. Mittels Backend-System und Plausibilitätscheck kann die zeitgleiche Nutzung der Kreditkarte in unterschiedlichen Ländern oder Städten verhindert werden.

Verifizierung des COVID-Impfausweises

Ein ähnliches System wäre für den digitalen COVID-Impfausweis bzw. Nutzung des QR-Codes unter Berücksichtigung der Datenschutzkonformität zwingend erforderlich gewesen. Bei der Verifizierung des Impfausweises via QR-Code und Datenbankabgleich muss ein Abgleich mit einem Backend-System erfolgen. Das setzt aber voraus, dass die Verifizierung durch ein Zweitgerät via App die Standortdaten anonymisiert beim jeweiligen Verifizierungsvorgang erfasst und an die abzugleichende Instanz übermittelt. Es ist klar, dass die stattfindende Prüfung wiederum muss vollkommen anonymisiert erfolgen muss. Um Missbrauch zu vermeiden, wäre diese Plausibilitätsprüfung erforderlich gewesen.“ Ein weiterer Schwachpunkt: Die Eingabesysteme – z.B. in Arztpraxen – nur unzureichend mittels Passwort, statt Zwei-Faktor-Authentifizierung geschützt.


Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Security: BSI-Handbuch für Unternehmensleitung

Das BSI verteilt das neue international erscheinende Handbuch „Management von Cyber-Risiken“ für die Unternehmensleitung. Das mit der Internet Security Alliance ➡ Weiterlesen

Ransomware: Attacke auf Schweizer Medienverlag und NZZ

Die Neue Züricher Zeitung - NZZ meldete vor ein paar Tagen eine Attacke auf ihr Netzwerk und konnte daher nicht ➡ Weiterlesen

Chinesische Cyberangreifer zielen auf Zero-Day-Schwachstellen

Gefundene Zero-Day-Schwachstellen werden oft von einzelnen APT-Gruppen ausgenutzt. Laut Mandiant greifen chinesische Cyberangreifer immer mehr Zero-Day-Schwachstellen an. Der Bericht belegt ➡ Weiterlesen

Verwundbarkeit durch Cloud Bursting

Als Technik zur Anwendungsbereitstellung ermöglicht Cloud Bursting die Vereinigung des Besten aus beiden Welten. Auf der einen Seite ermöglicht es ➡ Weiterlesen

Chrome dichtet 7 hochgefährliche Lücken ab

Das Bug-Bounty-Programm von Chrome lohnt sich: Programmierer und Spezialisten haben 7 hochgefährliche Sicherheitslücken an Google gemeldet und eine Belohnung erhalten. ➡ Weiterlesen

Outlook-Angriff funktioniert ohne einen Klick!

Selbst das BSI warnt vor der Schwachstelle CVE-2023-23397 in Outlook, da diese sogar ohne einen einzigen Klick eines Anwenders ausnutzbar ➡ Weiterlesen

USB-Wurm wandert über drei Kontinente

Die längst verstaubt geglaubte Masche eines USB-Sticks mit Schadsoftware wurde tatsächlich noch einmal aus der Cybercrime-Kiste geholt. Der bekannte Wurm ➡ Weiterlesen

Vulnerability Management erstellt Cyber Insurance Report

Nutzer eines Tenable Vulnerability Management-Konto können ab sofort einen Cyber Insurance Report für ihren Cyberversicherungsanbieter erstellen. Das erleichtert die Versicherbarkeit hilft ➡ Weiterlesen