Die Impfpassdiskussion aus technologischer Perspektive

ID-Infrastruktur Die Impfpassdiskussion aus technologischer Perspektive

22.04.2021 Von Xavier Coemelck

Anbieter zum Thema

Während Länder weltweit noch darum kämpfen, genügend Impfstoff für ihre Bürger zu beschaffen und zu verteilen, wartet die Pandemie bereits mit der nächsten Problematik auf, bei der auch technische Kriterien eine große Rolle spielen werden: Stellen Impfpässe einen gangbaren Weg in eine neue Normalität dar oder nicht?

Ein digitaler Impfpass verspricht mehr Fälschungssicherheit.
(© Stockwerk-Fotodesign - stock.adobe.com)

Impfpässe sollen bescheinigen, dass ein Bürger eine Covid-19-Impfung erhalten hat – oder eventuell auch weitere Impfungen von internationaler Relevanz. Im Wesentlichen sollen Impfpässe daher als Immunitätsnachweise fungieren. Auch wenn derzeit kein Impfstoff hundertprozentig perfekten Schutz bietet, lässt sich durch Impfungen das Infektionsrisiko erwiesenermaßen deutlich reduzieren – und damit durch Impfnachweise ein erhöhtes Vertrauen schaffen, auf dessen Grundlage die Welt wieder in Bewegung kommen kann. Mit Impfpässen könnte der Zugang zu Gebäuden, Arbeitsplätzen, Veranstaltungen oder auch das Reisen über Ländergrenzen hinweg geregelt werden.

Die Vorteile solcher Ausweise liegen auf der Hand – vom Nutzen für die öffentliche Gesundheit bis hin zur Haftungsbegrenzung für Unternehmen und Organisationen. Aber auch die Risiken sind klar. Der Umgang mit persönlichen Gesundheitsdaten ist in den meisten Ländern stark reglementiert, sowohl um die Privatsphäre und Würde eines jeden Einzelnen zu schützen, als auch um die sichere Bereitstellung von Dienstleistungen über bestimmte Netzwerke hinweg zu ermöglichen.

Impfausweise sind nur dann sinnvoll, wenn sie dazu beitragen, Vertrauen zu stärken – sowohl bei Einzelpersonen, als auch bei Organisationen und Regierungen. Jedes Immunitätspass- oder Impfausweisprogramm muss auf einer starken Vertrauensgrundlage basieren, was vor allem eines heißt: Die Daten in einem solchen Pass müssen lückenlos geschützt und fälschungssicher sein.

Digitale Signaturen anstelle von Papierdokumenten

Für maximale Fälschungssicherheit sollte eine digitale Signatur erstellt werden, die in der Regel auf einem Mobilgerät oder einer Smartcard gespeichert ist. Die digitale Signatur ist so konzipiert, dass sie mit Systemen und relevanten Behörden interagiert, um individuelle Personen sicher zu identifizieren und alle offiziellen Dokumente, die sie bei sich trägt, zu validieren.

Ein solcher digitaler Ausweis ist von Natur aus sicherer und dauerhafter als ein Papierdokument, das leicht kopiert und reproduziert werden kann. Zum Beispiel ist der Abruf virtueller Nachweise an die sichere Identifikation einer Person gebunden, oft in Form eines biometrischen Scans – entweder durch Gesichtserkennung oder Fingerabdruck.

Oberste Priorität für die Daten und Privatsphäre von Bürgern

Persönliche Daten sind unter Kriminellen eine wertvolle Währung. Im Vergleich zum Diebstahl medizinischer Identitäten verblassen selbst die Auswirkungen von Kreditkartenbetrug. Daher muss der komplette Lebenszyklus personeller Impfdaten mit den fortschrittlichsten Sicherheitsmethoden geschützt werden – von der Erfassung bis hin zur Speicherung, Verwaltung und Präsentation. Das kann zum Beispiel mit folgenden Maßnahmen gelingen:

Sicherung von personellen Identitäten mittels digitaler Signaturen, die entweder auf einem Mobilgerät oder auf einer physischen Smartcard gespeichert werden.

Einsatz adaptiver, risikobasierter Authentifizierungsmethoden, die vermeintlichen Missbrauch frühzeitig erkennen und verhindern.

Digitale Verifizierung von Identitätsnachweisen, um jeden Bürger sicher in die zugrundeliegende Service-Infrastruktur einzubinden.

Einsatz einer Multi-Faktor-Authentifizierungsmethode für autorisierte Mitarbeiter beim Zugriff auf Bürgerdaten.

Lückenlose Strategie zum Schutz von digitalen Zertifikaten: Sicherung von Netzwerkverbindungen und Kommunikationswegen, nahtlose Verwaltung von Software/Firmware für die Ausstellung und Verwaltung digitaler Zertifikate, Authentifizierung von Geräten, Verschlüsselung und Signatur von Daten.

Einsatz von Hardware-Sicherheitsmodulen zum Schutz und zur Verwaltung der kryptografischen Schlüssel, die zum Signieren und Validieren von Gerätezertifikaten benötigt werden.

Internationalität und Interoperabilität

Auch Reisepässe funktionieren nur, wenn sie universell anerkannt werden. Und die Verwendung von Impfausweisen wird noch weit über die von Reisepässen hinausgehen. Impfpässe sollen dabei helfen, Grenzen zu überqueren – können aber auch für Veranstaltungen, einen Restaurantbesuch oder Übernachtungen in einem Hotel erforderlich sein. Ein Vorbild für die Gewährleistung von Interoperabilität über alle Grenzen hinweg könnten die multinationalen Bemühungen um globales Reisen sein – insbesondere die ICAO-Standards der UN, die ein universelles System für sichere Flugreisen schaffen.

Überbrückung der technologischen Kluft

Smartphones und eine gute Mobilfunkabdeckung sind mittlerweile in den meisten urbanen Zentren eine Selbstverständlichkeit. Aber die Zivilisation endet dort nicht. Und so lassen sich mobile Geräte zwar sehr effektiv zum Speichern und Präsentieren digitaler Berechtigungsnachweise verwenden, aber nicht jeder besitzt ein Smartphone. Digitale Ausweise sollten daher Hand in Hand mit physischen Smartcards arbeiten, um eine breite Palette von Anwendungsfällen und reibungslose Interaktion zu gewährleisten.

Ökosystem-Ansatz

Lückenlose, effektive Cybersicherheit basiert auf einem Ökosystem-Ansatz. Im Idealfall sollten also nicht nur die Impfdatensätze gesichert, sondern die komplette Lieferkette von der Impfstoffproduktion bis hin zur Verteilung an die Bürger verifiziert und authentifiziert werden.

Bedenkt man die oben genannten Aspekte, wird die Einführung von Impfpässen zu keiner trivialen Angelegenheit. Auf der anderen Seite würden sich Investitionen in eine sichere ID-Infrastruktur auch für andere zukunftsorientierte Programme bezahlt machen, wie zum Beispiel die elektronische Bereitstellung von behördlichen Dienstleistungen.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung im Gesundheitswesen

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Keiner weiß, wo genau wir in einem Jahr stehen werden. Die technologischen Grundlagen für sichere Impfnachweise und vertrauenswürdige Transaktionen sind heute in jedem Fall bereits vorhanden. Die Herausforderung besteht nun darin, gemeinsame Standards auf der ganzen Welt zu schaffen und sicherzustellen. Mit anderen Worten: Durch internationale Zusammenarbeit Vertrauen auf eine Weise zu ermöglichen, die Türen öffnet anstatt sie zu verschließen.

Xavier Coemelck, Entrust
Der Autor, Xavier Coemelck, leitet seit 2015 bei Entrust als Regional Vice President Sales & Services sowohl den direkten und indirekten Vertrieb als auch den Servicebereich für das gesamte Portfolio des Unternehmens in Europa, dem Nahen Osten und Afrika (EMEA). Bevor er zu Entrust kam, war Coemelck vier Jahre lang bei Oracle tätig, zuletzt als Regional Vice President Europe.