Digitaler Impfpass: Warum sich das "grüne Zertifikat" in Deutschland verspätet

Inhaltsverzeichnis

Den einen ging es zu schnell, andere fanden, die Politik habe viel zu lange gezaudert: Am 17. März hatte die EU-Kommission ihren Vorschlag einer Verordnung zu "digitalen grünen Nachweisen" vorgelegt – die de facto EU-weit gültige Impfpässe sein sollen. Da liefen die Coronaimpfungen in den Mitgliedsstaaten teilweise längst auf Hochtouren.

Um den Prozess zu beschleunigen, hatten sich die zuständigen EU-Gremien für einen ungewöhnlichen und riskanten Weg entschieden: Parallel zum ohnehin abgekürzten Gesetzgebungsprozess startete man bereits die technische Implementierung des nötigen Backends und der Apps. Wäre die Gesetzgebung gescheitert oder hätten Mitgliedsstaaten auf wesentlichen Änderungen im Verhandlungsentwurf bestanden, stünde man nun vor Umarbeitungen oder schlimmstenfalls vor einem millionenteuren Software-Schrotthaufen.

Nach drei Verhandlungsrunden haben sich die Mitgliedsstaaten am 20. Mai mit dem EU-Parlament auf eine Version der Verordnung ohne wesentliche Änderungen verständigt: Ab Juli können alle EU-Bürger digitale Zertifikate erhalten, mit denen sie sich an den Staatengrenzen innerhalb des Schengenraums von eventuellen Einreiseverboten oder Quarantänepflichten befreien können. Die Zertifikate enthalten der Verordnung zufolge Informationen zur ersten und zweiten Covid-19-Impfung, unter anderem Zeitpunkte und den jeweiligen Impfstoff. Außerdem lässt sich einkodieren, ob der Besitzer bereits genesen ist und damit ebenfalls Reisefreiheit in der EU genießt. Auch die Aufnahme von Testergebnissen ist vorgesehen.

Bürger erhalten ihr Zertifikat in Form eines QR-Codes, in aller Regel auf Papier. Bereits in der ausgedruckten Form genügt es als Impfnachweis, den etwa ein Grenzbeamter zusammen mit einem Lichtbildausweis mit seiner Validier-App prüfen kann. Diese Prüf-App benötigt keine permanente Internetverbindung. Sie zeigt grün, wenn alles in Ordnung ist, und rot, wenn der Nachweis nicht die erforderlichen Kriterien aufweist. Abgesichert mit einer Zwei-Faktor-Authentifizierung lässt sich das Zertifikat in ein eigenes Wallet übertragen (nicht das des Betriebssystems).

PKI-Gateway in Betrieb

Eine Public-Key-Infrastruktur (PKI) soll sicherstellen, dass die Zertifikate nur von autorisierten Stellen ausgestellt und weder gefälscht noch im Nachhinein manipuliert werden können. Dem Konzept zufolge generiert und verwaltet jeder Staat selbst die Zertifikate, muss sich dabei aber an die EU-Spezifikation halten. Ein PKI-Gateway, gehostet im EU-Rechenzentrum Luxemburg, fungiert als Root-CA und übernimmt den Austausch öffentlicher Schlüssel zwischen den teilnehmenden Staaten.

Bereits Ende März hatten T-Systems und SAP von der Kommission den Auftrag erhalten, die nötige Software zu entwickeln. Am 7. Mai startete eine Testphase des Gateways mit einigen Mitgliedsstaaten. Nach Penetrationstests ging es am 1. Juni in den Regelbetrieb und steht bereits für teilnehmende Staaten offen.

Ähnlich wie bei der deutschen Corona-Warn-App verläuft die Entwicklung der Softwarekomponenten vollständig quelloffen – sie lässt sich auf GitHub verfolgen. T-Systems und SAP entwickeln nicht nur das Gateway, sondern auch Vorlagen für die nötige App-Infrastruktur. Die Mitgliedsstaaten müssen nicht bei null anfangen, sondern können sich aus diesem Pool für ihre eigenen Apps bedienen. Es geht sowohl um die Wallets als auch um Apps, die Zertifikate validieren oder erstellen können.

Noch ist wenig zu sehen

[Update 9.6.2021] Es tut sich inzwischen etwas in Deutschland. Wie heute bekannt wurde, enthält die nun verfügbare neue Version 2.3.2 der Corona-Warn-App eine Funktion, um den Impfnachweis eintragen zu können. Außerdem werden laut Apothekenverband ab Montag, 14.6. ausgewählte Apotheken bei Vorlage des gelben Impfbuches den digitalen Imfnachweis ausstellen. [/Update]

In Deutschland verläuft die Entwicklung bislang weit weniger flüssig und transparent. Das Bundesgesundheitsministerium hatte dafür ein Konsortium bestehend aus IBM, Ubirch, govdigital und Bechtle beauftragt. Bundesgesundheitsminister Jens Spahn (CDU) musste kommunizierte Termine in die Zukunft verlegen. Mittlerweile heißt es von ihm lediglich, die nationale Infrastruktur werde "noch im 2. Quartal" fertiggestellt.

Das "CovPass" genannte System soll die Schlüsselverwaltung, Zertifikatserstellung und eine gleichnamige Wallet-App bereitstellen. Die Zertifikate gelten national und gleichzeitig als grünes EU-Zertifikat – in Form eines ausgedruckten QR-Codes oder in der App. Auch die Corona-Warn-App soll bald eine Wallet-Funktion erhalten und die QR-Codes aufnehmen können. Allein: Von CovPass ist bislang wenig zu sehen. Das Konsortium hält sich bedeckt, und auch die angekündigte Veröffentlichung des Quellcodes auf GitHub lässt noch auf sich warten.

Weil die EU früh mit offenen Karten gespielt hat, konnte sich beispielsweise auch der EU-Datenschutzausschuss schnell ein Bild machen. Bereits am 6. April hatte er in einer ersten Stellungnahme sein Placet zum Projekt gegeben. In Deutschland dagegen war die Meinung des zuständigen Bundesdatenschutzbeauftragten Ulrich Kelber offensichtlich wenig gefragt. In einem Interview mit dem Handelsblatt kritisierte Kelber deshalb jüngst die Bundesregierung scharf. Es sei "äußerst misslich, wenn die Behörde mit Expertise nicht zu einem frühen Zeitpunkt angesprochen" werde.

Fest steht immerhin, dass die personenbezogenen Gesundheitsdaten in Deutschland nicht in einer zentralen Datenbank, sondern ausschließlich im Zertifikat gespeichert sind, also entweder auf Papier in Besitz des Bürgers oder lokal im Smartphone-Wallet.

"Sind nicht das Passamt"

Hierzulande konzentriert sich die Kritik eher grundsätzlich auf die Sinnhaftigkeit des teuren Projekts. Das Argument von Minister Spahn, man stelle dem fälschungsanfälligen gelben Impfpass ein sicheres System entgegen, lässt sich allzu leicht entkräften: Der alte Impfpass bleibt weiterhin europaweit als Nachweisdokument für Impfungen gültig, wird also nicht ersetzt. Als neuralgischer Punkt gilt in diesem Zusammenhang das Ausstellen der Zertifikate bei bereits erfolgten Impfungen: Auch mit gefälschten gelben Impfheftchen dürfte es leicht sein, im Nachhinein an ein Zertifikat zu kommen – welche ausgebende Stelle wird schon die Muße haben, das Dokument genau unter die Lupe zu nehmen?

Generell stellt sich die Frage, wie bereits geimpfte Personen ab Juli an ihr Zertifikat kommen sollen. Wer sich seine Spritzen in einem Impfzentrum abgeholt hat, soll der Bundesregierung zufolge bald Post mit dem QR-Code-Zertifikat bekommen. Allerdings liegen nicht in jedem Impfzentrum alle nötigen Informationen vor. Hinzu kommt, dass einige Impfzentren schon Ende Juni geschlossen werden sollen. Es herrscht also zusätzlicher Zeitdruck.

Schwieriger noch wird es mit den Impfungen von Hausärzten. Viele Praxen stöhnen bereits heute unter der zusätzlichen Last von Covid-19-Impfungen. "Jeglicher zusätzliche Aufwand ist definitiv zu viel", sagte der Bundesvorsitzende des Deutschen Hausärzteverbandes, Ulrich Weigeldt, der Nachrichtenagentur Reuters. "Daher kann man unseren Praxen auch nicht zumuten, dass wir zusätzlich noch die nachträgliche Erfassung der Impfungen übernehmen. Wir sind Hausärzte und nicht das Passamt."

Als erster Landesverband hatte da schon der baden-württembergische Hausärzteverband kategorisch abgelehnt, digitale Impfnachweise herauszugeben. Darauf angesprochen, wiegelte Minister Spahn ab: "Wir wollen, dass in den Impfzentren, Arztpraxen und Apotheken nachträglich ausgestellt wird." Man werde mit den Ärzten und Apotheken schon eine Lösung finden, "und sie werden auch für den Mehraufwand vergütet werden". Spahn verweist gerne auf die vorhandene Anbindung an die Telematik-Infrastruktur. Wie diese aber dabei helfen soll, QR-Codes zu generieren, ist momentan sein Geheimnis.

Insellösungen

Unklar ist bislang auch, welche Stellen berechtigt sein werden, mit einer Verifier-App Zertifikate zu checken. Die Polizei und der Grenzschutz sicherlich. Wird es diese Option aber auch für Hotels, Gastronomie, Kinos, Theater oder Museen geben? Eine Anfrage dazu von c’t wollte das Bundesgesundheitsministerium nicht beantworten.

Die vielfach geäußerte Kritik, das Projekt sei viel zu spät auf die Schiene gesetzt worden, erzeuge neue, noch ungelöste Probleme und sei wohl erst einsatzbereit (und dann bereits obsolet), wenn die deutsche Bevölkerung mehrheitlich durchgeimpft ist, scheint zumindest teilweise berechtigt. Einige wollten nicht auf den trägen Bund warten und haben bereits eigene Insellösungen implementiert. Ein solcher Flickenteppich von Apps erscheint aber wenig sinnvoll, zumal die Nachweise dann nicht ans EU-System angebunden werden können.

Für das Bundesland Thüringen etwa hat die dortige Kassenärztliche Vereinigung eine eigene Public-Key-Infrastruktur (PKI) entwickeln lassen, die seit Mitte Mai im Probebetrieb läuft. Auch dort erhalten die Bürger einen QR-Code. Das wiederum hat den thüringischen Landesdatenschutzbeauftragten Lutz Hasse auf die Palme gebracht, der nun das Projekt prüft und einen Kontrollbesuch bei der Kassenärztliche Vereinigung nicht ausschließt.

Schon seit Januar gibt die bayerische Gemeinde Altötting Impfausweise im Scheckkartenformat bei der zweiten Impfung mit aus. Abgesichert wird nicht mit einer PKI, sondern über eine Blockchain. Kein Wunder, wurde das System doch vom Start-up Ubirch entwickelt, das auch im CovPass-Konsortium sitzt. Altöttings Landrat Erwin Schneider jubelte schon im März über seinen kleinen Triumph: "Es freut einen, dass man zum Beispiel weiter ist als Microsoft oder Oracle, die jetzt daran arbeiten."

c’t Ausgabe 13/2021

Windows-User kennen die Ermahnung, das Microsoft-Konto zu nutzen. Fluch und Segen dieses Kontos beleuchten wir in c’t 13/2021. Wir zeigen, wie Sie Internet-Ausfälle überbrücken, haben Mini-PCs fürs Homeoffice, Mainboards für Ryzen-CPUs, Tools für virtuelle Gruppenchats und diverse Android-Smartphones getestet und Infoquellen für Wertpapier-Anleger zusammengetragen. Ausgabe 13/2021 finden Sie ab dem 4. Juni im Heise-Shop und am gut sortierten Zeitschriftenkiosk.

(hob)