Bei der Einführung des digitalen Impfnachweises in Deutschland sollten Manipulationen unter anderem mit den Methoden verhindert werden, mit denen auch Banken den betrügerischen Einsatz von Kreditkarten bekämpfen. Darauf hat der Analyst Thorsten Urbanski von der Sicherheitsfirma Eset hingewiesen.
So könnten IT-Systeme im Hintergrund verhindern, dass eine Kreditkarte zeitgleich in unterschiedlichen Ländern oder Städten verwendet wird. «Ein ähnliches System wäre für den digitalen Impfausweis beziehungsweise die Nutzung des QR-Codes unter Berücksichtigung der Datenschutzkonformität zwingend erforderlich», sagte Urbanski der Deutschen Presse-Agentur.
Zu Beginn der Sommerferien soll eine Impfung nicht nur analog mit einem Eintrag im gelben Impfheft nachgewiesen werden können, sondern auch digital auf Smartphones. Fachleute hatten am Wochenende aber darauf hingewiesen, dass bereits die Einträge und Aufkleber in dem gelben Heft nicht fälschungssicher seien. Dadurch könnten auch Fälschungen in die digitale Welt übertragen werden.
Urbanski forderte die Verantwortlichen für die Entwicklung des digitalen Impfnachweises auf, innerhalb der App mehrstufige Hürden zu integrieren, um den Identitätsmissbrauch generell zu erschweren oder unmöglich zu machen. So solle es verhindert werden, einen Screenshot innerhalb der App zu machen, was bisher in der Corona-Warn-App noch möglich sei. Urbanski räumte gleichzeitig aber ein, dass die Erstellung von Screenshots bei Smartphones technologisch nicht komplett unterbunden werden könne.
Noch problematischer sei es, wenn das Impfdokument ohne Sicherheitsmerkmale einfach ausgedruckt werden könne. «Das scheint aktuell noch geplant zu sein. Es ist utopisch zu glauben, dass jedes Restaurant oder Geschäft sich zur Verifizierung des Impfstatus immer auch einen Personalausweis zeigen lässt.» Hier müsse nach Einschätzung von Eset der Missbrauch durch eine abgesicherte zweite Instanz verhindert werden. Dazu gehörten die Verfahren, die bereits von Payment-Anbietern eingesetzt werden.
Ähnlich wie bei den Kreditkarten müsse bei der Verifizierung des Impfausweises ein Abgleich mit einem Backend-System erfolgen. Dabei müssten allerdings auch die Ortsdaten übertragen werden. «Das stattfindende Tracking wiederum muss vollkommen anonymisiert erfolgen. Die Umsetzung bis Sommer wird eine Herausforderung, wenn man die Infrastruktur erst noch schaffen müsste und zugleich Security- und Datenschutz-Konform umsetzen will.»