Was bringt der EU-Impfpass?

Der EU-Impfpass soll europaweit für Nachvollziehbarkeit in Sachen Corona sorgen. Das müssen Sie wissen. [...]

Da der gelbe Impfpass nicht fälschungssicher ist, plant die EU ein digitales Zertifikat, um Corona-Impfung, -Test oder überstandene Erkrankung nachweisen zu können (c) pixabay.com

Angesichts immer mehr Geimpfter, zahlreicher Testmöglichkeiten und einer nicht unbeträchtlichen Zahl an Menschen, die eine COVID-19-Erkrankung überstanden haben, soll in der EU Reisen wieder möglich sein. Entsprechende Nachweise sollen die EU-Mitgliedsstaaten künftig digital mit dem EU-Impfpass überprüfen können.

EU-Impfpass – Definition

Das häufig im Volksmund als Corona-EU-Impfpass bezeichnete Dokument ist im engeren Sinne eigentlich kein Impfpass, sondern ein digitales Zertifikat. Von der EU wird dieses offiziell als „Digital Green Certificate“ bezeichnet. Das Zertifikat soll die Echtheit von Nachweisen über eine Coronaimpfung, einen negativen Test oder eine durchgemachte COVID-19-Erkrankung garantieren. Das Zertifikat gibt es digital – etwa für das Smartphone – oder gedruckt auf Papier als QR-Code.

EU-Impfausweis – Funktionsweise

Das Digital Green Certificate ist ein 2D-Barcode – empfohlen wird die Verwendung des Aztec Codes (ISO/IEC 24778) – der in gedruckter oder digitaler Form, etwa in einer App, vorliegt. Dabei sollen die Barcodes fälschungssicher sein. Das System zur Überprüfung der Barcodes basiert auf einer Public Key Infrastructure (PKI).

Beim Design dieser PKI im Rahmen des eHealth Network auf Basis des Trust Framework verfolgte die EU das Ziel, möglichst wenige zentrale Komponenten zu verwenden sowie möglichst keine Daten zentral zu speichern. Gleichzeitig soll aber die länderübergreifende Überprüfung der Zertifikate durch Behörden und autorisierte Stellen – das könnten etwa Airlines sein – der EU-Mitgliedsstaaten sichergestellt werden. Die Überprüfung erfolgt dabei mit einer Prüf-App.

Um die Sicherheit der Zertifikate zu gewährleisten, wird der Barcode bei seiner Erstellung digital mit einem Schlüssel des Herausgebers signiert. Herausgeber können etwa Impfzentren, Arztpraxen oder Testcenter sein. Die Herausgeber erhalten hierzu private Schlüssel, um die Zertifikate zu signieren. Die Liste der autorisierten Herausgeber sowie die Daten des Zertifikats werden lokal, regional, oder national in Datenbanken der EU-Mitgliedsstaaten gespeichert. Hierzulande arbeiten IBM, Ubrich, Gov.digital sowie Bechtle am Aufbau einer entsprechenden Plattform.

Die Mitgliedsstaaten melden wiederum die Schlüssel der gültigen Zertifikate an die EU, die hierzu ein Public Key Directory unterhält. Gleichzeitig wird sie ein zentrales Gateway unterhalten, über das die Mitgliedsstaaten auf das Directory zugreifen können. Diese Infrastruktur sollen die Telekom und SAP entwickeln.

Will nun etwa ein Grenzbeamter die Gültigkeit eines Zertifikats überprüfen, so scannt er den Barcode des Zertifikats. Den darin enthalten Kryptoschlüssel der elektronischen Signatur verifiziert die Prüf-App nun auf seine Gültigkeit. In der derzeit vorliegenden Version 1 des Trust Framework ist diese Überprüfung nur offline vorgesehen. Das heißt, die Prüf-App muss sich regelmäßig über das Gateway mit dem Key Directory synchronisieren. In einer späteren Ausbaustufe soll die Verifizierung auch online möglich sein.

Grundsätzlich sollen als Impfung nur die Impfstoffe anerkannt werden, die eine EU-weite Zulassung haben. Allerdings hat die EU-Kommission den Mitgliedsstaaten freigestellt, auch andere Impfstoffe zu akzeptieren. Als Testnachweise sollen NAAT/RT-PCR-Test sowie Rapid Antigen Tests anerkannt werden. Selbsttests sind ausgeschlossen.

EU-Impfpass – persönliche Daten

Die Zertifikate enthalten eine begrenzte Anzahl von Informationen wie Name, Geburtsdatum, Ausstellungsdatum sowie relevante Informationen zu Impfstoff, Test oder überstandene COVID-19-Erkrankung. Ferner enthält das Zertifikat eine eindeutige Kennung. Diese Daten werden jedoch nach Angaben der EU nicht zentral gespeichert und können nur überprüft werden, um die Authentizität und Gültigkeit eines Zertifikats zu bestätigen.

EU-Impfausweis – Bezugsquellen und Geltungsbereich

Das Digital Green Certificate soll direkt von den Impfstellen – also Impfzentren, impfende Ärzte – nach der vollständigen Schutzimpfung ausgestellt werden sowie von Teststellen nach einem negativen Coronatest. Bereits früher Geimpfte sollen das Zertifikat gegen Vorlage des gelben Impfpasses bei Ärzten und Impfzentren erhalten. Hierzulande wird zudem diskutiert, ob die Aufgabe auch Apotheken übernehmen.

Im Rahmen des Programms „Re-open EU“ soll das digitale Zertifikat das Reisen zwischen den EU-Mitgliedsstaaten vereinfachen. Inwieweit das Zertifikat darüber hinaus auch von anderen – etwa Barbesitzern, Restaurants etc. – genutzt werden kann, ist derzeit noch offen, denn die EU hat noch nicht abschließend geklärt, wer nun wirklich Zugriff auf die Prüf-App erhält. Sollte die EU dies sehr restriktiv handhaben, benötigen die Reisenden noch zusätzlich die Apps des jeweiligen Landes, um ihren Status nachzuweisen.

Das Zertifikat erhalten EU-Bürger und ihre Familienangehörigen unabhängig von ihrer Nationalität. Ferner soll esauch für Nicht-EU-Bürger mit Wohnsitz in der EU sowie für Besucher ausgestellt werden, die das Recht haben, in andere Mitgliedsstaaten zu reisen. Nach Informationen der EU-Kommission gilt das Digital Green Certificate-Zertifikat in allen EU-Mitgliedstaaten. Ferner gilt es sowohl für Island, Liechtenstein, Norwegen als auch für die Schweiz.

Das System des Digital Green Certificate ist nur für eine begrenzte Zeit angelegt. Es ersetzt also nicht den klassischen gelben Impfpass aus Papier. Seitens der EU heißt es offiziell, dass man das System so lange betreiben wolle, bis die WHO die Corona-Pandemielage offiziell für beendet erklärt. Allerdings behält sich die EU vor, das System bei einem Auffrischen der Pandemie wieder zu aktivieren. Für Inhaber eines Zertifikats, das eine durchgemachte COVID-19-Erkrankung bestätigt, gilt noch eine Besonderheit: Diese Zertifikate gelten maximal 180 Tage.

EU-Impfpass – Sicherheit

Während die EU die des Digital Green Certificate in den höchsten Tönen lobt, sehen Kritiker zwei immanente Schwachstellen. So kritisieren sie, dass das Zertifikat nachträglich nur gegen Vorlage des gelben Impfpasses an verschiedenen Stellen erhältlich sei, die kaum die Echtheit des Nachweises wirklich überprüfen könnten. Damit sei dem Betrug Tür und Tor geöffnet, zumal wohl im Internet schon ein schwunghafter Handel mit gefälschten Impfpässen im Gange sei. Um dies zu unterbinden, so die Forderung der Kritiker, dürften die Zertifikate nur direkt von der damals impfenden Stelle ausgegeben werden, da in der Regel nur dieser die Daten zu Person und Impfvorgang nachprüfbar vorlägen.

Der zweite Kritikpunkt gilt der Sicherheit der Schlüssel, mit denen Impfzentren und Ärzte das Zertifikat signieren. Kritiker befürchten, dass Betrüger und Kriminelle hier Zugriff auf die geheimen Schlüssel erhalten könnten, um eigene Zertifikate auszustellen, wenn die die IT-Systeme dieser Institutionen nicht absolut sicher geschützt sind.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

*Jürgen Hill ist Chefreporter Future Technologies. Thematisch befasst sich der studierte Diplom-Journalist und Informatiker derzeit mit aktuellen IT-Trendthemen wie KI, Quantencomputing, Digital Twins, IoT, Digitalisierung etc. Zudem verfügt er über einen langjährigen Background im Bereich Communications mit all seinen Facetten (TK, Mobile, LAN, WAN). 


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*