Sicherheitsbedenken beim digitalen EU COVID-Zertifikat

Eset_News

Beitrag teilen

Seit dem 1. Juli 2021 soll das COVID-Zertifikat der EU verfügbar sein. Die Experten von ESET haben aber wie bereits im Vorfeld weiterhin Sicherheitsbedenken. Es gibt einige Schwachpunkte die sich für Missbrauch ausnutzen lassen. 

Nach Einschätzung von ESET ist ein Missbrauch jedoch weiterhin nicht auszuschließen, da die Verfahren mit den bestehenden identisch sind. „Man muss aber klar festhalten, dass die Erstellung von Screenshots bei Smartphones technologisch nicht einwandfrei verhindert werden kann. Noch problematischer wird das, wenn das COVID-Impfdokument ohne Sicherheitsmerkmale einfach ausgedruckt wird. Das wird aber aktuell bei der Ausstellung immer noch praktiziert.

Keiner wird den Ausweis prüfen

Es ist utopisch zu glauben, dass jedes Restaurant oder Geschäft sich zur Verifizierung des Impfstatus immer auch einen Personalausweis zeigen lässt.“ Hier muss nach Einschätzung von ESET der Missbrauch durch eine abgesicherte zweite Instanz verhinderte werden“, so Thorsten Urbanski, Sprecher des europäischen IT-Sicherheitsherstellers ESET. „Es gibt Verfahren, die beispielsweise von Payment-Anbietern eingesetzt werden. Mittels Backend-System und Plausibilitätscheck kann die zeitgleiche Nutzung der Kreditkarte in unterschiedlichen Ländern oder Städten verhindert werden.

Verifizierung des COVID-Impfausweises

Ein ähnliches System wäre für den digitalen COVID-Impfausweis bzw. Nutzung des QR-Codes unter Berücksichtigung der Datenschutzkonformität zwingend erforderlich gewesen. Bei der Verifizierung des Impfausweises via QR-Code und Datenbankabgleich muss ein Abgleich mit einem Backend-System erfolgen. Das setzt aber voraus, dass die Verifizierung durch ein Zweitgerät via App die Standortdaten anonymisiert beim jeweiligen Verifizierungsvorgang erfasst und an die abzugleichende Instanz übermittelt. Es ist klar, dass die stattfindende Prüfung wiederum muss vollkommen anonymisiert erfolgen muss. Um Missbrauch zu vermeiden, wäre diese Plausibilitätsprüfung erforderlich gewesen.“ Ein weiterer Schwachpunkt: Die Eingabesysteme – z.B. in Arztpraxen – nur unzureichend mittels Passwort, statt Zwei-Faktor-Authentifizierung geschützt.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Mastodon: zwei hoch gefährliche Schwachstellen entdeckt 

In seiner Reihe "Codeanalyse von Open Source Software“ (kurz CAOS) hat das BSI Software auf ihre Sicherheit untersucht. Bei der ➡ Weiterlesen

Qcell: APT-Gruppe Abyss veröffentlicht 5,4 TeraByte Daten

Wieder gab es wohl einen großen Datendiebstahl bei einem deutschen Unternehmen. Es hat wohl den Solarzellen-Anbieter Qcells erwischt. Die APT-Gruppe ➡ Weiterlesen

Container Security: Bedrohungen erkennen und beheben

Eine neue Container-Security-Lösung unterstützt Unternehmen dabei, Schwachstellen schneller zu erkennen und proaktiv zu reduzieren, indem sie statische Analysen mit Analysen ➡ Weiterlesen

Flugsicherung DFS von Hackern attackiert

Die Deutsche Flugsicherung (DFS) wurde von Hackern angegriffen. Ziel des Cyberangriffs war wohl nach ersten Erkenntnissen die administrative IT-Infrastruktur. Allerdings ➡ Weiterlesen

Phishing: Angriffe mit Infostealer zur Datenexfiltration

Threat-Analysten haben Phishing-Angriffe beobachtet, bei denen ein fortschrittlicher, verdeckter Ansatz zum Einsatz kommt, um besonders große Mengen an sensiblen Daten ➡ Weiterlesen

Schwachstellen erkennen und effizient handeln

Sicherheitsteams stehen großen Mengen an Schwachstellen- und Threat-Intelligence-Daten gegenüber. Deshalb hat Tenable neue Funktionen in seinem Vulnerability Management entwickelt, die ➡ Weiterlesen

Qilin-Ransomware stiehlt Anmeldedaten aus Chrome

Bei einer Untersuchung eines Qilin-Ransomware-Angriffs stellte das Sophos X-Ops-Team fest, dass die Angreifenden Anmeldedaten entwendeten, die in Google-Chrome-Browsern auf bestimmten ➡ Weiterlesen

Malware-as-a-Service am gefährlichsten

Malware- und Ransomware-as-a-Service waren im ersten Halbjahr 2024 die häufigsten Cyberbedrohungen. Auch Phishing ist weiterhin eine große Gefahr. Über die ➡ Weiterlesen