6 days ago
5
Die Einführung der elektronischen Patientenakte (ePA) ist von allerlei Sicherheitsproblemen überschattet worden, die teilweise bis heute noch nicht gänzlich abgehakt sind. Nun könnte man als Optimist zumindest erwarten, dass die deutsche Bundesregierung dafür dann beim kommenden EU Digital Identity Wallet sauberer vorgehen würde. Doch einige Sicherheitsforscher sehen keine Lerneffekte und haben bereits Zweifel.
Denn ein Großteil der Schwächen, unter denen die ePA leidet, ergibt sich durch Identifikations- und Authentifizierungsprobleme im Hintergrund. Und diese dürften auch das geplante EUDI Wallet betreffen. Letzteres soll als eine Art digitale Brieftasche fungieren, z. B. für euren Personalausweis. Schon bei der ePA behob die Gematik die erheblichen Sicherheitsprobleme laut den Sicherheitsforschern eher mit „viel Gaffa Tape“. Dieses Szenario könnte sich wiederholen.
Die deutsche Version des EUDI Wallets soll am 2. Januar 2027 starten. Nicht nur der Personalausweis, auch der Führerschein oder die Gesundheitskarte sollen digital darin landen. Doch aktuell seien die Sicherheitsvorgaben unklar. Es gebe seitens der Bundesregierung zudem keine Transparenz zur Planung. Bestätigt ist aber schon, dass man in Deutschland für das Wallet auf signierte Daten (Signed Credentials) setzen wird. Das wirkt sich direkt auf die notwendigen Identifikations- und Authentifizierungsprozesse aus.
Kritik an Verwendung von Signed Credentials
Wie Netzpolitik berichtet, läuft es bei den signierten Daten so, dass diese etwa mit einem Sicherheitsschlüssel versehen werden. Dieses „Echtheitssiegel“ bleibt auch weit nach der Übermittlung bestehen. Und genau dieses Siegel ist für Kriminelle interessant, um Datenhandel und Identitätsdiebstahl zu betreiben. Jeder, der an die signierten Daten gelangt, verfügt dann nämlich über nachweislich authentische Daten, was sehr reizvoll für z. B. den Weiterverkauf ist. Dritte könnten dann mit diesen Daten Schindluder treiben, ohne dass der ursprüngliche Inhaber das kontrollieren könnte.
Es wird am Ende spannend sein, zu sehen, ob das EUDI Wallet es besser machen kann, als die ePA, oder ob man eher auf Teufel komm raus unter intransparenten Bedingungen etwas zusammenzimmert, das nicht den aktuellen, technischen Sicherheitsforderungen entspricht. Derzeit sieht es wohl erneut eher nach letzterem aus.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
