/Corona-Impfpass

Digitalisierter Impfpass statt Papier? – Ist das überhaupt möglich?

In Deutschland soll es in Zukunft einen digitalen Impfnachweis über eine erhaltene Impfung gegen SARS-CoV-2 geben. Ein digitaler europäischer Impfausweis soll bis zu den Sommerferien 2021 zur Verfügung stehen. In Israel gibt es diesen schon länger. Hier ermöglicht er es den Nutzern wieder am gesellschaftlichen Leben teilzunehmen. In Deutschland wäre ein ähnliches Szenario denkbar. Ein erstes Pilotprojekt zum digitalen Impfpass wurde im Kreis Altöttingen in Bayern gestartet. Seit Ende Januar wird hier auf Wunsch ein digitaler Corona-Impfnachweis als App oder QR-Code verteilt. Somit könnte im Alltag der gelbe Impfpass zu Hause bleiben. Das Kölner Start-Up UBIRCH steckt hinter der Technologie und entwickelte zusammen mit der Genossenschaft kommunaler Rechenzentren Govdigital das digitale Zertifikat. Wir haben uns die initiale Version angeschaut.

Im gelben Impfpass werden aktuell alle Impfstoffe eingetragen, die eine Person erhalten hat.

„Wir haben uns mit einigen Partnern zusammengetan, um ein datenschutzfreundliches System zu bauen […]. Damit wird es möglich den Corona-Test-Status mit sich herumzutragen und an wichtigen Stellen vorzuzeigen, wenn es darum geht erhöhte Anforderungen des Infektions-Schutzes zu erfüllen […]. Dazu muss lediglich der QR-Code gescannt werden und die Angaben zur Person mit einem gültigen Identitätsnachweis z. B. dem Personalausweis abgeglichen werden“
(Quelle: www.ubrich.de, zuletzt aufgerufen am 28.03.2021)

Der digitale Impfnachweis ist ein freiwilliges Angebot und soll nach Willen der EU Kommission nach seiner Einführung als „Grüner Impfpass“ das Reisen innerhalb der EU wieder ermöglichen. Ein Impfnachweis im gelben Impfpass aus Papier soll aber weiterhin seine Gültigkeit behalten.

2D-Code wird eingescannt

Der Nachweis über die Corona-Impfung wird in Form eines 2D-Codes dargestellt. Das kann beispielsweise ein QR-Code sein. Der Code wird in der Arztpraxis oder in einem Impfzentrum im Zuge einer Impfung generiert. Nutzer:innen können diesen ausdrucken oder mit ihrem Smartphone scannen. Bei iOS-Geräten kann beispielsweise die App „Apple Wallet“ genutzt werden, um den Code zu sichern. Für Android gibt es zahlreiche Apps im App-Store wie beispielsweise „WalletPasses“. Laut Hersteller enthält der QR-Code alle relevanten Daten, um die Impfung nachzuweisen. Diese werden ausschließlich im Code gespeichert.

In Deutschland wurden bereits über 12.000.000 Menschen mit einem Corona-Impfstoff geimpft. Wie kommen diese an die Möglichkeit einen digitalen Impfnachweis zu nutzen? Dazu gibt es bisher laut EU noch keine genauen Lösungen.

Keine DSGVO-Probleme und Fälschungen

Sobald Geimpfte mehr Möglichkeiten bekommen am gesellschaftlichen Leben teilzunehmen, wie zum Beispiel an Konzertbesuchen, wird die Wahrscheinlichkeit höher, dass es Betrüger gibt die einen Impfnachweis fälschen. Damit das nicht passiert, sind in einer für den digitalen Impfpass angelegten Blockchain nicht die Daten selbst, sondern eine Bestätigung gespeichert. Damit kann der digitale Impfpass zu jeder Zeit überprüft werden. Kevin Wittek, Projektmitarbeiter des Teilprojektes /blockchain erklärt die Sache etwas näher:

QR Code auf einem Smartphone
Auf dem Endgerät wird der QR Code gespeichert.

„Im Prinzip steht im QR-Code   ein Hash drin, also eine Prüfsumme, eine ZeichenketteAber auch andere Daten stehen dort drin, wie zum Beispiel Name und wo man welche Art von Test gemacht hat […] Zur Speicherung der Gültigkeit des Zertifikats wird eine  kryptographische Methode eingesetzt, der Merkle-Tree (Hash-Baum). Wir speichern hierbei nur die Wurzel des Baums, während die eigentlich Zertifikate die Blätter darstellen. […] Diese Wurzel wird dann auch auf verschiedenste Blockchains gespeichert. Und jetzt ist das theoretisch so, dass ist die Idee von Blockchain so ist, dass Daten, die auf dieser gespeichert sind, für jeden öffentlich nachvollziehbar sind. Wir wollen aber auch nicht direkt gehasht, diese Daten und Zertifikate auf die Blockchain schreiben, weil dann wäre das ein Datenschutzproblem, denn so ein Hash ist trotz allem meistens personenbezogen. Die Hashes selber werden aber nicht drauf geschrieben, sondern nur diese Wurzel vom Baum, in dem viele verschieden Zertifikate drin sind dadurch ist das hinreichend anonym. Das muss man an der Stelle auch positiv bemerken, dass man dadurch DSGVO Probleme vermeidet.“

Fünf Blockchains sorgen für eine Redundanz

In der Berichterstattung rund um den digitalen Impfpass gab es viel Kritik hinsichtlich der technischen Umsetzung. Häufig wurde dabei der Fakt belächelt, dass fünf Blockchains zum Einsatz kommen.
 
Kritisiert haben Experten des Chaos Computer Club, dass die Daten zwar in der Blockchain liegen, sich aber nur über UBIRCH zuordnen lassen. Der Hauptvorteil der Blockchain ist die Transparenz – das wäre in diesem Fall dann umgangen. 
 

Auch Kevin Wittek findet die fünf Blockchains absurd. Er erzählt, dass die Twitter Community sich besonders über dieses Art der Umsetzung des digitalen Impfpasses lustig gemacht hat. 

“Viele haben sich darüber lustig gemacht, dass die Zertifikate auf fünf Blockchains geschrieben werden. Der Merkle-Root wird eben nicht nur auf einer Blockchain gespeichert, sondern auf fünf. Ganz Twitter hat sich darüber lustig gemacht:. “Deutschland schreibt nicht nur das Zertifikat auf eine Blockchain sondern gleich auf fünf.” Das ist erstmal absurd und das würde man so nicht machen. Aber in dem Konzept, wie die das machen, ist es einfach eine Art Broadcast. Eigentlich ist es egal, wo sie ihre Daten draufschreiben, weil es eben keine Blockchain Anwendung im klassischen Sinne ist, sie müssen das nur auf viele Stellen verteilen und dann hat das eine hohe Redundanz. Jetzt schreiben sie das auf fünf Blockchains, sie hätten den Merkle-Root aber auch auf Twitter posten können. Sie könnten den auch jeden Morgen in den Bundesanzeiger drucken. Das würde auch gehen. Und das ist übrigens die ursprüngliche original “Blockchain” E-Government Implementierung, wie sie in Estland gemacht wird. Sie haben da eine von der Regierung quasi betriebene Datenbank, die Blockchain genannt wird. Der Hash der Daten wird aber jeden Morgen in der Tageszeitung abgedruckt wird, und dadurch wird das System von außen kontrollierbar.”

Die aktuelle Version soll nun allerdings ohne die (fragwürdige) Blockchain-Integration an den Start gehen und auf klassische PKI Strukturen aufsetzen. Es ist allerdings weiterhin denkbare das zukünftige Versionen gezielt Blockchain an sinnvollen Stellen einsetzen und z.B. auf moderne Ansätze wie Self-Sovereign-Identity (SSI) setzen werden.    

BIG NEWS gabs heute im #Digitalausschuss zum digitalen #Impfpass, der wegen seiner unsagbar dämlichen 5 Blockchains massiv Kritik bekam, als die Beauftragung von IBM u ubirch durch das @BMG_Bund bekannt wurde. Meine Fragezettel drehte sich v.a. um die #5Blockchains - umsonst!

„Als jemand, der auf die Blockchain schaut, sehe ich den Baum nicht. Das heißt ich kann gar nicht nachvollziehen, dass mein Zertifikat jetzt ein Blatt in diesem Baum war, weil nur die Wurzel in der Blockchain gespeichert wurde. Diese Zuordnung kann nur UBIRCH herstellen. Deshalb muss man auch immer UBRICH fragen: Ist dieses Zertifikat auch gültig? Dann sagt UBIRCH: Ja, das ist gültig. Und ich habe es zu dem Zeitpunkt X auf diese 5 Blockchains geschrieben, hier ist die Wurzel, bitte glaub mir, dass dies  wirklich die Wurzel des Baums für dieses Zertifikat war. Aber ich muss im Prinzip zu nahezu 100% der Aussage des UBIRCH Server vertrauen. So würde ich das System betrachten und bewerten. Ein paar Sachen sind daran auch gut: Es gibt keine Datenschutzprobleme. Aber im Sinne von einer dezentralen Blockchain Anwendung oder auch einer dezentralen Blockchain Architektur, ist es nicht gut umgesetzt, weil bei Blockchain eine zentrale Idee ist, dass man Vertrauenskonzepte aufbricht und Vertrauen im System. Dass man also dem System vertrauen kann. In dem Fall muss ich aber weiter dieser einen Partei vertrauen und das ist dann kein idealer Einsatz der Blockchain Technologie.“

Im Kampf gegen die Corona Pandemie werden zur Zeit eine Vielzahl an Anwendungen und digitalen Lösungen vorgestellt und diskutiert. So auch die Diskussion über einen digitalen Impfpass. Kevin Wittek hält diesen ebenfalls für sinnvoll: 

“Ja, also ich denke grundsätzlich macht das schon Sinn auch die Chancen der Digitalisierung zu nutzen. Ich habe jetzt keine Zahlen parat, aber Impfpassfälschungen oder Corona Zertifikate sind ein schon existierender Markt… auch im Bereich internationale Luftfahrt. Wobei man natürlich sagen muss: Wir haben einen existierenden Papier-Impfpass, den der Weltgesundheitsorganisation, und der vielleicht auch aktuell fürs Reisen hinreichend gut. War er jedenfalls für die letzten Jahrzehnte. Es ist allerdings jetzt so, dass wenn wir dieses Kontrollen stärker in den Alltag integrieren müssen, wie zum Beispiel beim Einkaufen oder Veranstaltungen, dann wird Digitalisierung natürlich sehr hilfreich als Instrument der Automatisierung und Skalierung.“
Kevin Wittek zu Gast bei dem Podcast "Digitaler Kaffee"
Kevin Wittek arbeitet im Projekt “blockchain”am Institut für Internet-Sicherheit – if(is)

Der digitale #Impfausweis soll Ende 2. Quartal 2021 verfügbar sein u direkt bei Start als Modul in d #CoronaWarnApp angeboten werden. Er soll in Pandemiezeiten das Passieren europäischer Grenzen erleichtern, wird aber nicht Bedingung sein, mögl. Alternative: neg. Testnachweis.

Damit wird die Digitalisierung ein Stück weiter vorangetrieben. Integriert soll der digitale Impfnachweis in die Corona App . Die entsprechenden Umsetzung soll bis zum Ende des 2. Quartals 2021 erfolgen. Damit können so vielleicht auch schon Erfahrungen gesammelt werden, welche bei der Entwicklung des elektronischen Impfpasses einfließen. Dieser soll analog zum gelben Impfpass ab 2022 als Teil der elektronischen Patientenakte (ePA) in Deutschland kommen. Beschlossen wurde dies auf europäischer Ebene.

Nachtrag vom 24.04.2021: Nach Hinweis von Hern Jugel, CTO bei der UBIRCH GmbH, wird der Pfad für einen Nachweis durch den Merkel Tree mit ausgeliefert. Anders wäre eine vollständige Beweiskette nicht möglich und der Verifzierer von der Vertrauenswürdigkeit der UBIRCH GmbH abhängig.

Veröffentlicht von Martin Spiecker am 16.04.2021
Autorin: Clarissa Schott

zurück

Kontakt zu connect.emscherlippe

Projektkoordinator connect.emscherlippe
Martin Spiecker
Westfälische Hochschule
Neidenburger Str. 43
45897 Gelsenkirchen

Logo vom Verbdungsprojekt connect emscherlippe
Logo - We are part of Smart Region Emscher-Lippe

Gefördert vom Ministerium für Wirtschaft, Innovation, Digitalisierung und Energie des Landes Nordrhein-Westfalen

Logo Fördermittelgeber: Ministerium für Wirtschaft, Innovation, Digitalisierung und Energie des Landes Nordrhein-Westfalen
Logo: Westfälische Hochschule Gelsenkirchen Bocholt Recklinghausen