Geimpft, getestet, genesen, getrickst? „QR-Codes sind eine tickende Zeitbombe“

QR-Codes seien nicht fälschungssicher, sie in Pandemie-Zeiten als Eintrittskarten zu verwenden, gefährde die Gesundheit der Bevölkerung. [...]

Aber auch ein digitales Worst-Case-Szenario ist durchaus realistisch (c) pixabay.com

Österreich testet, Österreich impft. Um weitreichende Öffnungsschritte zu ermöglichen, müssen diese Maßnahmen schnell und fehlerfrei überprüfbar sein. Schließlich reicht eine erkrankte, laut Zertifikat jedoch gesunde Person aus, um für einen neuen Cluster im Handel, der Gastronomie oder dem Kulturbetrieb zu sorgen. EU-weit sollen Impf- und Testergebnisse künftig mittels QR-Code verifiziert werden. „Fahrlässig!“ urteilt Andreas Spechtler, Vorstandsvorsitzender des auf Authentifizierungslösungen spezialisierten Unternehmens Authentic Vision. QR-Codes seien nicht fälschungssicher, sie in Pandemie-Zeiten als Eintrittskarten zu verwenden, gefährde die Gesundheit der Bevölkerung.

Wer geimpft, getestet oder genesen ist, darf in Österreich wieder etwas uneingeschränkter am öffentlichen Leben teilhaben. Das Stammlokal, der Frisörsalon und die Konzertbühne sind nicht länger Tabu, die Einhaltung der „3G-Regel“ bzw. ein Nachweis derselben befugen zum Eintritt. Um lange Wartezeiten inklusive Schlangenbildung zu vermeiden, ist eine schnelle und unkomplizierte Überprüfung dieses Nachweises erforderlich. Im digitalen Zeitalter scheint ein Quick-Response-Code, kurz QR-Code genannt, wie geschaffen dafür. Die EU sieht vor, erfolgte Impfungen und negative Testergebnisse auf diese Weise zu bescheinigen. In Österreich fungieren die Codes bereits als Eintrittskarten, und zukünftig sollen die QR-Codes auch beim Grünen Pass eingesetzt werden – obwohl das Bundesministerium für Soziales, Gesundheit, Pflege und Konsumentenschutz aktuell vor Fälschungen warnt, die bereits in Umlauf sind.

„Die QR-Codes funktionieren insofern einwandfrei, als dass sie genau das machen, wofür sie entwickelt wurden. Wird der Code gescannt, leitet er in Sekundenschnelle zum verlinkten Datensatz weiter“, erklärt Andreas Spechtler, Executive Chairman von Authentic Vision. „Der Sicherheitsaspekt spielte bei der Entwicklung aber keine entscheidende Rolle. Vor allem ausgedruckte QR-Codes sind leicht anfällig für Fälschungen und in Bezug auf Impfnachweise und Testergebnisse eine tickende Zeitbombe.“

Analoger Gebrauch ist nicht sicher

Im Smartphone angezeigte QR-Codes zu fälschen ist laut Spechtler „keine triviale Herausforderung“, ein ungleich größeres Risiko stellen jedoch gedruckte analoge Codes dar, die in Corona-Zeiten etwa als Aufkleber auf Teststreifen und in Impfpässen zum Einsatz kommen. In physischer Form kann ein QR-Code problemlos kopiert und vervielfältigt werden. Das ermöglicht einerseits „getrickste“ Nachweise – sprich Personen, die nicht geimpft, getestet oder genesen sind, täuschen vor, die „3G-Regel“ zu erfüllen – öffnet aber auch einer Reihe anderer Gefahren Tür und Tor.

„Hier gibt es gleich mehrere potenzielle Sicherheitslecks, vor allem in Hinblick auf Corona-Selbsttests“, erklärt Spechtler. „Schädliche QR-Codes können vor der Ausgabe in Apotheken oder im Handel eingeschleust werden. Der Angreifer erhält in Folge Zugriff auf die Daten der Testpersonen oder leitet diese im schlimmsten Fall auf seine eigene Website weiter, die dem Design der offiziellen Seite gleicht. Dort wird die Testperson dann dazu aufgefordert, Bankdaten oder Kreditkarteninformationen einzugeben. Ein anderes Risiko besteht darin, dass der Angreifer durch

ein Sicherheitsleck Zugriff auf die originale Code-Liste erhält oder die Codes aufgrund ihres einfachen Aufbaus selbst generiert. Verwendet der Angreifer diese Einmal-Codes, macht er sie für die rechtmäßige Testpersonen unbrauchbar. Trotz negativem Testergebnis ist ‚die Eintrittskarte‘ schon vorab entwertet und kann nicht mehr verwendet werden. Im schlimmsten Fall wird somit das gesamte Selbsttest-System unbenutzbar.“

Aber auch ein digitales Worst-Case-Szenario ist durchaus realistisch, wie die App „Corona Green Pass Austria“ derzeit beweist. Diese generiert vermeintlich gültige QR-Codes, um den Nutzern Zutritt zu Gastronomie und körpernahen Dienstleistungen zu verschaffen. Die österreichische Regierung mahnt daher zur Vorsicht – die Codes seien nur schwer als Fälschungen zu erkennen, ihre Nutzung sei strafbar.

Holografischer Fingerabdruck schützt

Abhilfe versprechen einzigartige Sicherheitsmerkmale, die nicht kopiert werden können und zugleich als Gütesiegel fungieren. Eine solche Technologie entwickelte Authentic Vision in fünf Jahren Forschungsarbeit. Das Salzburger Unternehmen stellt Sicherheits-Hologramme her, die in der Produktion wenige Cent kosten und für den Schutz von Markenprodukten bereits weltweit verwendet werden. Nun sollen sie auch Testergebnisse und Impfnachweise fälschungssicher machen. Authentic Vision wurde bereits in die Land Salzburg-App integriert und ein Testlauf erfolgreich umgesetzt. Authentic Vision wäre somit startklar für einen Einsatz in Österreich, der EU und darüber hinaus.

„Wir haben einen holografischen Fingerabdruck geschaffen, der eindeutig einer Person bzw. einem Testergebnis oder einem Impfnachweis zugeordnet werden kann“, erläutert Andreas Spechtler. „Das Sicherheits-Hologramm kann als Aufkleber an Testkits sowie in Impfpässen angebracht und danach nicht mehr entfernt werden, ohne es zu zerstören. Es handelt sich um Unikate. Nicht einmal wir selbst können zwei völlig idente Exemplare dieser Hologramme herstellen. Sie sind absolut fälschungssicher.“

Authentic Vision ist ein 2012 gegründeter Anbieter von mobilen Authentifizierungs-Lösungen und bietet neueste Technologien zum Schutz vor Fälschungen und zur Authentifizierung, die das Investment in Produktinnovationen, Markenwert und Reputation schützen. Der patentierte Holographic Fingerprint™, die mobile Authentifizierungs-App und Echtzeit-Analysefunktionen schützen physische Güter vor Fälschungen und warnen Marken- und Produktinhaber vor möglichen betrügerischen Aktivitäten.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*