Sicherheitsbedenken beim digitalen EU COVID-Zertifikat

Eset_News

Beitrag teilen

Seit dem 1. Juli 2021 soll das COVID-Zertifikat der EU verfügbar sein. Die Experten von ESET haben aber wie bereits im Vorfeld weiterhin Sicherheitsbedenken. Es gibt einige Schwachpunkte die sich für Missbrauch ausnutzen lassen. 

Nach Einschätzung von ESET ist ein Missbrauch jedoch weiterhin nicht auszuschließen, da die Verfahren mit den bestehenden identisch sind. „Man muss aber klar festhalten, dass die Erstellung von Screenshots bei Smartphones technologisch nicht einwandfrei verhindert werden kann. Noch problematischer wird das, wenn das COVID-Impfdokument ohne Sicherheitsmerkmale einfach ausgedruckt wird. Das wird aber aktuell bei der Ausstellung immer noch praktiziert.

Anzeige

Keiner wird den Ausweis prüfen

Es ist utopisch zu glauben, dass jedes Restaurant oder Geschäft sich zur Verifizierung des Impfstatus immer auch einen Personalausweis zeigen lässt.“ Hier muss nach Einschätzung von ESET der Missbrauch durch eine abgesicherte zweite Instanz verhinderte werden“, so Thorsten Urbanski, Sprecher des europäischen IT-Sicherheitsherstellers ESET. „Es gibt Verfahren, die beispielsweise von Payment-Anbietern eingesetzt werden. Mittels Backend-System und Plausibilitätscheck kann die zeitgleiche Nutzung der Kreditkarte in unterschiedlichen Ländern oder Städten verhindert werden.

Verifizierung des COVID-Impfausweises

Ein ähnliches System wäre für den digitalen COVID-Impfausweis bzw. Nutzung des QR-Codes unter Berücksichtigung der Datenschutzkonformität zwingend erforderlich gewesen. Bei der Verifizierung des Impfausweises via QR-Code und Datenbankabgleich muss ein Abgleich mit einem Backend-System erfolgen. Das setzt aber voraus, dass die Verifizierung durch ein Zweitgerät via App die Standortdaten anonymisiert beim jeweiligen Verifizierungsvorgang erfasst und an die abzugleichende Instanz übermittelt. Es ist klar, dass die stattfindende Prüfung wiederum muss vollkommen anonymisiert erfolgen muss. Um Missbrauch zu vermeiden, wäre diese Plausibilitätsprüfung erforderlich gewesen.“ Ein weiterer Schwachpunkt: Die Eingabesysteme – z.B. in Arztpraxen – nur unzureichend mittels Passwort, statt Zwei-Faktor-Authentifizierung geschützt.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Hacker sehen KI als neuen Angriffsvektor

Eine neue Umfrage unter Hackern zeigt, dass KI nicht nur Hackern hilft, effizienter zu werden, sondern dass KI selbst „reif ➡ Weiterlesen

KI-gestützte Angriffe: Unternehmen sind ungeschützt

Eine aktuelle Studie hat ergeben, dass 40 Prozent der Unternehmen, die aktuell von KI-gestützten Angriffen betroffen sind, sich nicht ausreichend ➡ Weiterlesen

ePA – Elektronische Patientenakte mit Sicherheitslücken?

Am 15. Januar startete die Testphase der ePA - der elektronischen Patientenakte trotz vorliegender Berichte über mögliche Sicherheitslücken. Es ist ➡ Weiterlesen

FortiOS und FortiProxy: Angriffe auf Zero-Day-Schwachstelle

Das BSI hat bereits die zweithöchste Warnstufe Orange für die aktiv ausgenutzten Schwachstellen in FortiOS und FortiProxy ausgegeben. Die Zero-Day-Schwachstelle ➡ Weiterlesen

Die zehn größten Datenpannen im Jahr 2024

Datenpannen sorgen nicht nur für häufige, aufmerksamkeitsstarke Schlagzeilen – sie sind eine deutliche Erinnerung an die Schwachstellen, die in vielen ➡ Weiterlesen

Sicherheitsrisiken durch Mitarbeiterverhalten

Eine neue Untersuchung zeigt, dass Unternehmen den Datenzugang von Arbeitnehmern nicht nur verwalten, sondern auch sichern müssen. Der Grund: Viele ➡ Weiterlesen

Amazon-S3-Datensätze einfach zurücksetzen

Mit der neuen Funktionalität Clumio Backtrack von Commvault können Unternehmen in Amazon Simple Storage Service (Amazon S3) gespeicherte Objekte oder ➡ Weiterlesen

BSI: Kritische 9.3 Schwachstelle in PaloAlto Networks Expedition

Das BSI warnt eindringlich vor einer kritischen Schwachstelle in Next-Generation-Firewall (NGFW)-Plattform PaloAlto Networks Expedition mit dem CVSS-Wert 9.3 von 10. ➡ Weiterlesen