ID-Infrastruktur Die Impfpassdiskussion aus technologischer Perspektive

Autor / Redakteur: Xavier Coemelck / Ira Zahorsky

Während Länder weltweit noch darum kämpfen, genügend Impfstoff für ihre Bürger zu beschaffen und zu verteilen, wartet die Pandemie bereits mit der nächsten Problematik auf, bei der auch technische Kriterien eine große Rolle spielen werden: Stellen Impfpässe einen gangbaren Weg in eine neue Normalität dar oder nicht?

Firmen zum Thema

Ein digitaler Impfpass verspricht mehr Fälschungssicherheit.
Ein digitaler Impfpass verspricht mehr Fälschungssicherheit.
(© Stockwerk-Fotodesign - stock.adobe.com)

Impfpässe sollen bescheinigen, dass ein Bürger eine Covid-19-Impfung erhalten hat – oder eventuell auch weitere Impfungen von internationaler Relevanz. Im Wesentlichen sollen Impfpässe daher als Immunitätsnachweise fungieren. Auch wenn derzeit kein Impfstoff hundertprozentig perfekten Schutz bietet, lässt sich durch Impfungen das Infektionsrisiko erwiesenermaßen deutlich reduzieren – und damit durch Impfnachweise ein erhöhtes Vertrauen schaffen, auf dessen Grundlage die Welt wieder in Bewegung kommen kann. Mit Impfpässen könnte der Zugang zu Gebäuden, Arbeitsplätzen, Veranstaltungen oder auch das Reisen über Ländergrenzen hinweg geregelt werden.

Die Vorteile solcher Ausweise liegen auf der Hand – vom Nutzen für die öffentliche Gesundheit bis hin zur Haftungsbegrenzung für Unternehmen und Organisationen. Aber auch die Risiken sind klar. Der Umgang mit persönlichen Gesundheitsdaten ist in den meisten Ländern stark reglementiert, sowohl um die Privatsphäre und Würde eines jeden Einzelnen zu schützen, als auch um die sichere Bereitstellung von Dienstleistungen über bestimmte Netzwerke hinweg zu ermöglichen.

Impfausweise sind nur dann sinnvoll, wenn sie dazu beitragen, Vertrauen zu stärken – sowohl bei Einzelpersonen, als auch bei Organisationen und Regierungen. Jedes Immunitätspass- oder Impfausweisprogramm muss auf einer starken Vertrauensgrundlage basieren, was vor allem eines heißt: Die Daten in einem solchen Pass müssen lückenlos geschützt und fälschungssicher sein.

Digitale Signaturen anstelle von Papierdokumenten

Für maximale Fälschungssicherheit sollte eine digitale Signatur erstellt werden, die in der Regel auf einem Mobilgerät oder einer Smartcard gespeichert ist. Die digitale Signatur ist so konzipiert, dass sie mit Systemen und relevanten Behörden interagiert, um individuelle Personen sicher zu identifizieren und alle offiziellen Dokumente, die sie bei sich trägt, zu validieren.

Ein solcher digitaler Ausweis ist von Natur aus sicherer und dauerhafter als ein Papierdokument, das leicht kopiert und reproduziert werden kann. Zum Beispiel ist der Abruf virtueller Nachweise an die sichere Identifikation einer Person gebunden, oft in Form eines biometrischen Scans – entweder durch Gesichtserkennung oder Fingerabdruck.

Oberste Priorität für die Daten und Privatsphäre von Bürgern

Persönliche Daten sind unter Kriminellen eine wertvolle Währung. Im Vergleich zum Diebstahl medizinischer Identitäten verblassen selbst die Auswirkungen von Kreditkartenbetrug. Daher muss der komplette Lebenszyklus personeller Impfdaten mit den fortschrittlichsten Sicherheitsmethoden geschützt werden – von der Erfassung bis hin zur Speicherung, Verwaltung und Präsentation. Das kann zum Beispiel mit folgenden Maßnahmen gelingen:

  • Sicherung von personellen Identitäten mittels digitaler Signaturen, die entweder auf einem Mobilgerät oder auf einer physischen Smartcard gespeichert werden.
  • Einsatz adaptiver, risikobasierter Authentifizierungsmethoden, die vermeintlichen Missbrauch frühzeitig erkennen und verhindern.
  • Digitale Verifizierung von Identitätsnachweisen, um jeden Bürger sicher in die zugrundeliegende Service-Infrastruktur einzubinden.
  • Einsatz einer Multi-Faktor-Authentifizierungsmethode für autorisierte Mitarbeiter beim Zugriff auf Bürgerdaten.
  • Lückenlose Strategie zum Schutz von digitalen Zertifikaten: Sicherung von Netzwerkverbindungen und Kommunikationswegen, nahtlose Verwaltung von Software/Firmware für die Ausstellung und Verwaltung digitaler Zertifikate, Authentifizierung von Geräten, Verschlüsselung und Signatur von Daten.
  • Einsatz von Hardware-Sicherheitsmodulen zum Schutz und zur Verwaltung der kryptografischen Schlüssel, die zum Signieren und Validieren von Gerätezertifikaten benötigt werden.

Internationalität und Interoperabilität

Auch Reisepässe funktionieren nur, wenn sie universell anerkannt werden. Und die Verwendung von Impfausweisen wird noch weit über die von Reisepässen hinausgehen. Impfpässe sollen dabei helfen, Grenzen zu überqueren – können aber auch für Veranstaltungen, einen Restaurantbesuch oder Übernachtungen in einem Hotel erforderlich sein. Ein Vorbild für die Gewährleistung von Interoperabilität über alle Grenzen hinweg könnten die multinationalen Bemühungen um globales Reisen sein – insbesondere die ICAO-Standards der UN, die ein universelles System für sichere Flugreisen schaffen.

Überbrückung der technologischen Kluft

 

Smartphones und eine gute Mobilfunkabdeckung sind mittlerweile in den meisten urbanen Zentren eine Selbstverständlichkeit. Aber die Zivilisation endet dort nicht. Und so lassen sich mobile Geräte zwar sehr effektiv zum Speichern und Präsentieren digitaler Berechtigungsnachweise verwenden, aber nicht jeder besitzt ein Smartphone. Digitale Ausweise sollten daher Hand in Hand mit physischen Smartcards arbeiten, um eine breite Palette von Anwendungsfällen und reibungslose Interaktion zu gewährleisten.

Ökosystem-Ansatz

Lückenlose, effektive Cybersicherheit basiert auf einem Ökosystem-Ansatz. Im Idealfall sollten also nicht nur die Impfdatensätze gesichert, sondern die komplette Lieferkette von der Impfstoffproduktion bis hin zur Verteilung an die Bürger verifiziert und authentifiziert werden.

Bedenkt man die oben genannten Aspekte, wird die Einführung von Impfpässen zu keiner trivialen Angelegenheit. Auf der anderen Seite würden sich Investitionen in eine sichere ID-Infrastruktur auch für andere zukunftsorientierte Programme bezahlt machen, wie zum Beispiel die elektronische Bereitstellung von behördlichen Dienstleistungen.

Keiner weiß, wo genau wir in einem Jahr stehen werden. Die technologischen Grundlagen für sichere Impfnachweise und vertrauenswürdige Transaktionen sind heute in jedem Fall bereits vorhanden. Die Herausforderung besteht nun darin, gemeinsame Standards auf der ganzen Welt zu schaffen und sicherzustellen. Mit anderen Worten: Durch internationale Zusammenarbeit Vertrauen auf eine Weise zu ermöglichen, die Türen öffnet anstatt sie zu verschließen.

Xavier Coemelck, Entrust
Der Autor, Xavier Coemelck, leitet seit 2015 bei Entrust als Regional Vice President Sales & Services sowohl den direkten und indirekten Vertrieb als auch den Servicebereich für das gesamte Portfolio des Unternehmens in Europa, dem Nahen Osten und Afrika (EMEA). Bevor er zu Entrust kam, war Coemelck vier Jahre lang bei Oracle tätig, zuletzt als Regional Vice President Europe.

Bildquelle: Entrust

(ID:47363300)