raphting.dev

Digitaler Impfpass - Kritik

Der digitale Impfpass kommt. Die Bundesregierung hat IBM den Zuschlag zur Koordination des Projekts gegeben. Eine Firma namens Ubirch aus Köln liefert das entsprechende Protokoll zur Ausstellung und Verifizierung von Impfdaten. Ich möchte nicht über die Nützlichkeit oder die gesellschaftlichen Aspekte des digitalen Impfpasses schreiben. Mir geht es vor allem um die technische Umsetzung in Bezug auf Datensparsamkeit. Ich kritisiere zunächst drei Punkte der Implementierung, wie sie zur Zeit ersichtlich ist. Die Daten, die ich online finde, sind allerdings spärlich. Abschließend erläutere ich einen Ansatz, der mir praktikabler erscheint und auf den Datenschutz und das Voranschreiten der Wissenschaft Rücksicht nimmt.

1. Was das Bundesgesundheitsministerium gerne hätte

Das vom Bundesgesundheitsministerium beschriebene Konzept erscheint mir nicht schlüssig. Die Beschreibung vermischt einen Überblick mit technischen Details. Deshalb ist mir nicht klar, ob hier vielleicht nur zu sehr vereinfacht wurde. Besonders gestört habe ich mich an dem Absatz

Die App speichert die Impfbescheinigung lokal auf dem Smartphone. Dieser 2D-Barcode ist nur einmalig einlesbar und die Impfbescheinigung ist anschließend an das einlesende Smartphone gebunden.

Es muss jedem klar sein, dass ein Barcode mehrfach einlesbar ist, sofern er nach dem Abfotografieren nicht zu Staub zerfällt. Es reicht aus, das selbe Backup auf weiteren Telefonen einzuspielen, selbst wenn eine App die registrierten Barcodes online abgleicht. Ich nehme an, die Anforderung wurde gestellt, um eine Weitergabe des Barcodes zu verhindern. Eine Weitergabe des Telefons wäre allerdings jederzeit möglich.

2. Wofür wir keine Blockchain brauchen

Weiter geht es mit der Blockchain, dem Thema des digitalen Impfpasses mit den meisten Witzen im Netz. Das Konzept der Blockchain hat keinen Vorteil den ich sehen kann, der nicht auch mit einer herkömmlichen Datenbank zu erreichen wäre. Die vorgeschlagene Blockchain wird laut Infografik von GovDigital betrieben. Man könnte argumentieren, dass die private Blockchain eine Nachvollziehbarkeit der Reihenfolge gewährleistet. In privater Hand, wäre die Reihenfolge allerdings trotz Blockchain jederzeit veränderbar. Banken müssen Transaktionen ebenfalls nachvollziehbar abspeichern. Auch dort muss man sich nicht auf eine Blockchain stützen.

3. Datensparsamkeit

Wenn ich das Beispiel auf der Seite von Ubirch richtig verstehe, wird ein digitaler Fingerabdruck der Patientendaten (ein sogenannter kryptographischer Hashwert) in der Blockchain gespeichert. Sofern ich bei einer Kontrolle alle meine Daten, die auch durch die Impfstelle gemeldet wurden, abgebe, kann der Hashwert erneut von meinen Daten berechnet werden und wird danach in der Blockchain gefunden. Sofern der Hashwert gefunden wurde und meine vorgezeigten Daten bei der Kontrolle ausreichend sind, ist die Kontrolle erfolgreich. Die Kontrollstelle erhält also meinen Namen, Geburtsdatum, verabreichter Impfstoff, Daten der Impfstoffgaben und Dokumentnummer zum Abgleich mit einem Ausweis. Als NutzerIn der App kann ich mich also keiner Kontrolle unterziehen, ohne alle Patientendaten an eine möglicherweise nicht vertrauenswürdige Kontrollstelle zu geben.

Digital aber machbar

Meine Kritikpunkte habe ich oben erläutert: Barcodes sind, anders als vom Gesundheitsministerium angenommen, mehrfach einlesbar. Ein zentraler Speicherort von Patientendaten oder dessen Fingerabdruck, vor allem in einer Blockchain, ist umständlicher als nötig. Bei Kontrollen werden mehr Daten ausgetauscht als eigentlich notwendig.

Ich schlage folgendes Konzept vor: Jede Impfstelle erhält ein digitales Zertifikat. Digitale Zertifikate können wie digitale Unterschriften verwendet werden. Mit diesem Zertifikat ist es der Impfstelle möglich, Patientendaten zu beglaubigen. Die Impfstelle erstellt einen 2D Barcode der Patientendaten und unterschreibt diese Daten digital mit ihrem Zertifikat. Danach erhält die geimpfte Person diesen Barcode.

Konzept Digitaler Impfpass

Mit einer App wird der 2D Barcode eingescannt. Bevor eine Kontrolle durchgeführt wird, kann die Anwenderin entscheiden, welche Daten sie preisgeben möchte. In der Regel ist nur ein “Okay/nicht Okay” und eine Ausweisnummer notwendig. Es spielt keine Rolle, welcher zugelassenen Impfstoff verwendet wurde, oder ob das “Okay” zum Beispiel wegen einer durchgemachten Erkrankung gegeben wird.

Die eingelesenen, von der Impfstelle digital unterschriebenen Patientendaten werden von der Anwenderin mithilfe einer App zu einer Validierungsstelle im Internet geschickt. Zurück kommt ein kleineres Datenpaket, das ebenfalls digital unterschrieben ist. Diesmal ist die Unterschrift allerdings von der zentralen Stelle, zum Beispiel vom Gesundheitsministerium. Dieses kleinere Datenpaket enthält nur noch die Informationen “Okay, Ausweisnummer, Gültig bis”. Dieses kleinere Datenpaket kann die Anwenderin nun per 2D Barcode an die Kontrollstelle übergeben. Die Kontrollstelle kann die digitale Unterschrift verifizieren. Das geht übrigens auch ohne Verbindung zum Internet. Danach muss nur noch die Ausweisnummer mit dem vorgelegten Ausweis abgeglichen werden.

Der Nachteil ist, dass die Patientendaten einmal durch die Onlinestelle laufen müssen, und nicht ausschließlich im Impfzentrum und bei der geimpften Person verbleiben. Im Ubirch Konzept gehen die Daten allerdings immer vollständig an alle besuchten, unter Umständen nicht vertrauenswürdigen, Kontrollstellen. Der Vorteil ist, dass begrenzt gültige Zugangsberechtigungen nach dem Stand der Wissenschaft immer wieder neu ausgestellt werden können. Zum direkten Vergleich: Sobald Daten in der Ubirch Blockchain enthalten sind, liegt es im Ermessen der Kontrollstelle zu entscheiden, ob ihnen zum Beispiel ein bestimmter Hersteller eines Impfstoffs genügt. Im von mir vorgeschlagenen Konzept entscheidet eine zentrale Stelle darüber, was nach dem Stand der Wissenschaft zumindest für eine begrenzte Gültigkeit als “Okay” erscheint.

Es bleibt abzuwarten, wie die konkrete Umsetzung aussehen wird. Vielleicht wird doch keine Blockchain eingesetzt. Vielleicht wird doch mit digitalen Zertifikaten gearbeitet, um eine Überprüfung ohne Verbindung zum Internet zu ermöglichen. Vielleicht wird es doch noch ein System geben, bei dem nicht alle Patientendaten an die Kontrollstelle gegeben werden müssen, sondern nur die tatsächlich notwendigen Daten.

By Raphael Sprenger licensed under CC BY-NC 4.0