Digitaler Impfnachweis droht an eigenen Versprechen zu scheitern

Dem Digitalen Impfnachweis wird in zu kurzer Zeit zu viel abverlangt, kommentiert Dr. Christian Schläger

[datensicherheit.de, 22.06.2021] Deutschland sehne sich nach einer Wiedereröffnung – dies sei spürbar und auch verständlich. Der Digitale Impfnachweis solle diesen Bestrebungen zum Durchbruch verhelfen und mute sich dabei viel – womöglich zu viel – in sehr kurzer Zeit zu, merkt Dr. Christian Schläger, „CEO“ von Build38, an. „Die ,CovPass‘-App soll einen verlässlichen Nachweis für Geimpfte liefern und gleichzeitig Kontakte nachverfolgen.“

2 grundlegende und konträre Anforderungen sollen im Digitalen Impfnachweis kombiniert werden

Diese Kombination von stark personalisierten Informationen wie einem Impfnachweis und anonymen Tracking von Begegnungen sei jedoch bereits von der Konzeption her zum Scheitern verurteilt. Hierbei werde nämlich versucht, zwei grundlegende und konträre Anforderungen in einem Medium zu vereinen.
Gemäß RKI-Datenschutzerklärung würden personenbezogene Daten nur pseudonymisiert erhoben und nach spätestens 30 Tagen gelöscht beziehungsweise von neuen Daten ersetzt. Dieses Vorgehen, welches ein zentrales Argument für die Vertrauensstellung der App sei, werde nun konterkariert.

Probleme mit der Authentizität hochgeladener Impfnachweise

Hinzu kämen Probleme bei der Authentizität der hochgeladenen Impfnachweise. Die Tatsache, dass in der „Corona Warn App“ jedes beliebige Impfzertifikat abgelegt werden könne und bereits aktiv Betrug mit Zertifikaten anderer Personen geschehen sei, „war angesichts der unausgegorenen Validitätsüberprüfungen vorhersehbar“.
Die Aufgabe, Identität und Nachweis zusammenzuführen, müsse in der Warn-App durch eine kontrollierende Person erfolgen – also im Vergleich des angezeigten Namens mit dem im Personalausweis. Dr. Schläger moniert: „Das ist fehlerbehaftet und verlagert die Verantwortung von der App wieder auf ohnehin belastete Menschen an Kassen, Restaurant-Tischen, Einlass-Schranken und Theater-Türen.“

Digitaler Impfnachweis sollte mehr Nutzen als Schaden bieten!

Die Corona-Warn-App dürfe nicht zum Auffangbehälter aller möglichen App-Funktionen werden, nur weil diese einen vermeintlichen Zusatznutzen böten. Sie sollte sich auf ihre Kernfunktion beschränken, um möglichst wenig Angriffsoberfläche für Missbrauch zu bieten und Datensicherheit garantieren zu können. „Denn sichere Datenverarbeitung bedeutet auch, dass man das richtige Vehikel für die Nutzerprozesse und Daten wählt.“
Damit der Digitale Impfnachweis nicht mehr Schaden anrichtet, als er Nutzen bietet, sei ein zuverlässiger Schutz des hochgeladenen Zertifikats genauso entscheidend wie die Datensicherheit der Identität von Nutzer, ausstellender Behörde, des verwendeten Gerätes sowie die Sicherstellung der Integrität der App selbst.

Auch beim Digitalen Impfnachweis sollte auf Innovationskraft einheimischer Start-Ups gesetzt werden

Performante Technologien – auch Made in Germany – gebe es bereits auf dem Markt. Diese seien getestet und bereits seit Jahren erfolgreich im Einsatz. „Warum ist also das Konsortium um Telekom und SAP dazu geneigt, alles neu (und eventuell fehlerhaft) zu entwickeln, sowie zusätzliche Funktionen ohne Respekt vor der passenden Softwarearchitektur zu bauen?“ Eine mögliche Erklärung hierfür sei das Bestreben, zusätzliche Entwicklungsaufwände zu produzieren und abrechnen zu können.
Dies sei kurzsichtig, unökonomisch und benachteilige die jungen Firmen in Deutschland, welche bereits erprobte SaaS-Lösungen im Angebot hätten. Das Interesse und die Bereitschaft deutscher Start-Ups, optimierte Lösungen zu entwickeln und anzubieten, sei bereits vor der „Pandemie“ vorhanden gewesen und sei an den neuen Herausforderungen nur noch weiter gewachsen. Dr. Schläger fordert abschließend: „Es wird Zeit, der Innovationskraft der einheimischen Tech-Branche zu vertrauen, anstatt sich auf die unrealistischen Versprechen der Tech-Giganten zu verlassen.“

Weitere Informationen zum Thema:

datensicherheit.de, 27.05.2021
Digitaler Impfnachweis für Deutschland: Schweiz als warnendes Beispiel / Nevis erläutert Sicherheitslücken des geplanten digitalen Impfnachweises und gibt Empfehlungen zur Behebung

datensicherheit.de, 26.05.2021
Datenschutz in Corona-Zeiten: Digitale Impfpässe müssen DSGVO-konform sein / Mit Digitalen Impfpässen möchte die Europäische Kommission ein Stück Normalität zurückbringen

datensicherheit.de, 01.04.2021
Heftige Debatte zum Impfpass – Datenschützer fordern Bundesgesetz / Impfpass könnte für Besuch eines Restaurants oder Konzerts entscheidend werden