Die Sicherheitslücke bei der Überprüfung von Zertifikaten medizinischer persönlicher Schutzausrüstung

Die Optical & Digital Document Security (ODDS) ist die Flagschiff-Fachkonferenz für physische, digitale und virtuelle Dokumentensicherheit. Die Konferenz fand dieses Jahr vom 17. bis 19. April in Prag, Tschechische Republik, statt. Die Konferenz war mit 170 Delegierten aus 27 Ländern von 84 Organisationen (Unternehmen, staatliche Stellen, Zentralbanken und Forschungseinrichtungen) gut besucht. Personen, die in den Bereichen digitale Transaktionen, Identität und Authentifizierung tätig sind, sowie Designer, Hersteller und Aussteller von sicheren Dokumenten, finden auf der Konferenz ein wertvolles Forum zum Erklären, Lernen, Vernetzen und Ausloten von Möglichkeiten.

Forscher des inITs stellen auf der abendlichen Table-Top-Ausstellung die Ergebnisse der Zertifikatsprüfung und weiterer entwickelter Dokumentensicherheitsansätze vor. Vlnr: Christoph-Alexander Holst, Julian Bültemeier und Prof. Dr. Volker Lohweg.

Das inIT war in diesem Jahr mit dem Paper „Semi-automated Certificate Authenticity Verification on the example of medical personal protective equipment“ von Julian Bültemeier, Prof. Volker Lohweg, Christoph-Alexander Holst sowie Frederik Klöckner und Benny Drescher von der KEX Knowledge Exchange AG/INC Invention Center, Aachen vertreten. Vorgestellt wurde eine im Rahmen des Projektes corona.KEX.net entwickelte halbautomatische Zertifikatsprüfung für die Prüfung medizinischer, persönlicher Schutzausrüstung. Julian Bültemeier, der Hauptautor, wies aber auch auf die derzeitige Sicherheitslücke bei den Zertifikaten hin: „Die derzeitigen Zertifikate verfügen über keinerlei Sicherheitsmerkmale, mit denen die Echtheit der Dokumente überprüft werden kann. Deswegen werden aktuell die Zertifikate lediglich einer Plausibilitätsprüfung unterzogen. Eine Fälschung ist derzeit mit einfachsten Mitteln möglich. Dass diese Sicherheitslücke ein dramatisches Problem darstellt, konnte während der Corona-Pandemie weltweit beobachtet werden. Mit Hilfe gefälschter Zertifikate wurden Masken in Umlauf gebracht, die nicht nur wirkungslos waren, sondern in einigen Fällen durch Schimmelpilze oder andere gesundheitsgefährdende Stoffe selbst ein Gesundheitsrisiko für den Anwender darstellten.“

Diese alarmierende Sicherheitslücke im Bereich der Zertifizierung medizinischer persönlicher Schutzausrüstungen wurde mit den Forschern des inITs während der Konferenz ausführlich mit der Community diskutiert. Dabei wurde deutlich, dass ein Umdenken dringend erforderlich ist, um die Vertrauenswürdigkeit der Zertifizierung und damit die Sicherheit der medizinischen Produkte zu erhöhen. Dazu bedarf es eines verstärkten Engagements der beteiligten Zertifizierungsstellen sowie einer stärkeren Unterstützung von politischer Seite.

Neben den Vortragssessions findet auf dieser ältesten Konferenz zum Themengebiet traditionell eine Table-Top-Ausstellung statt. Das inIT war hierbei mit zwei Themen vertreten: Echtheitszertifikatsprüfung und automatische Generation von Intagliodruck-Vorlagen. Der Table-Top war über die Maßen besucht und zeugte davon, dass der Themenkreis Echtheitsprüfung von Medizinprodukte-Zertifikaten und neue Methoden zur Banknotengeneration auf reges Interesse stießen.

Die nächsten ODDS-Konferenzen werden voraussichtlich 2024 in Lissabon (Portugal) und 2025 in San Francisco (USA) stattfinden.

Zurück