Coronakrise Der digitale Impfnachweis soll doch ohne Blockchain auskommen

Mit nicht weniger als fünf Blockchains sollte sichergestellt werden, dass der digitale Impfnachweis in Deutschland fälschungssicher ist. Der Plan sorgte für Spott und Kritik – nun kommt alles anders.
Impfstoff von Biontech: Der Impfnachweis soll helfen, Mobilität innerhalb der EU zu ermöglichen

Impfstoff von Biontech: Der Impfnachweis soll helfen, Mobilität innerhalb der EU zu ermöglichen

Foto: Jochen Eckel / imago images/Jochen Eckel

Es klang ja wirklich ein wenig nach technologischem Overkill: Fünf Blockchains wurden im Internet zum Running Gag, als der SPIEGEL Anfang März meldete, dass die deutsche Lösung für einen digitalen Impfnachweis von IBM und dem Kölner Blockchain-Unternehmen Ubirch kommen würde. Die beiden Firmen hatten den »Geheimwettbewerb« des Bundesgesundheitsministeriums für sich entschieden und Ubirch hatte erklärt, dass es die Integrität der Nachweise aus Redundanzgründen über nicht weniger als fünf Blockchains sicherstellen wollte. (Mehr zum Ziel und zur vorgesehenen Funktionsweise des Systems lesen Sie hier.)

Weil Ubirch zunächst keine Begründung lieferte, warum der technisch komplexe Ansatz nötig sei, sahen sich die Firma und auch das Gesundheitsministerium unter anderem auf Twitter einigem Spott sowie dem Vorwurf ausgesetzt, das Impfnachweissystem damit unnötig zu verteuern – obwohl der Auftrag nur ein Volumen von 2,7 Millionen Euro hatte, wie aus der Ausschreibung  hervorgeht.

Ubirch-Gründer und CEO Stephan Noller schrieb dem SPIEGEL, die Aufregung über die fünf Blockchains und die angeblich daraus folgenden Kosten habe er »nicht wirklich nachvollziehen« können. »Tatsächlich geht es dabei um kryptografische Redundanz, das heißt, einen maximalen Nachweis der Echtheit eines Datenpakets bei gleichzeitig maximaler Transparenz und Prüfbarkeit. Da wir bei Ubirch dafür einen sehr effizienten Mechanismus verwenden, sind die zusätzlichen Kosten de facto vernachlässigbar.«

Doch nun kommt es ohnehin anders. Die Verantwortlichen werden keinerlei Blockchain-Technologien verwenden, heißt es aus dem Kreis der Verantwortlichen – zumindest gilt das »in der ersten Phase der Implementierung«, wie Ubirch auf Twitter mitteilte . Die Technik sei in den EU-Vorgaben für digitale Impfnachweise nicht vorgesehen, zudem benötige man »keine zentrale Speicherung der [Impf-]Zertifikate«, weshalb man die Zertifikate oder Informationen zu den Zertifikaten nicht in einer Blockchain verankern müsse. Man habe das als Option geprüft, sich aber dagegen entschieden. Stattdessen kommt nun ein herkömmliches Public-Key-Infrastruktur-Verfahren  zum Einsatz, in dem der sichere Austausch von Daten über die Kombination von öffentlichen und privaten Schlüsseln sichergestellt wird – ein erprobtes kryptografisches Verfahren.

Wieder Mobilität innerhalb der EU ermöglichen

Die ersten digitalen Impfzertifikate könnten laut Vertretern des Gesundheitsministeriums im Zeitraum Mitte Mai bis Ende Juni ausgegeben werden. Einen genaueren Starttermin nennen die Verantwortlichen nicht, denn der hänge unter anderem davon ab, wann die EU die noch ausstehenden Spezifikationen für das Projekt bekannt gebe.

Zunächst soll der Impfnachweis vor allem helfen, Mobilität innerhalb der EU zu ermöglichen und zu vereinfachen; es gebe allerdings auch Kontakte zu den Verantwortlichen ähnlicher internationaler Lösungen wie dem Dachverband der Fluggesellschaften (IATA), die mit ihrem »Travel Pass« auf den internationalen Flugverkehr abzielen. Man sehe angesichts des Gewichts der EU-Lösung gute Chancen, die europäischen Impfnachweise dort nachträglich integrieren zu können.

Vorerst kein Genesenen-Zertifikat

Nicht geklärt ist der Umgang mit der Information von Menschen, die bereits an Covid-19 erkrankt waren, genesen sind und daher wohl für einen gewissen Zeitraum immun sind. Ein Genesenen-Zertifikat soll es im digitalen Impfpass zunächst nicht geben, da es noch zu viele offene wissenschaftliche Fragen gebe. Noch nicht geklärt ist auch die Frage, wie bereits doppelt geimpfte Menschen nachträglich an ihr digitales Zertifikat kommen sollen. Standardmäßig sollen die digitalen Impfzertifikate künftig beim zweiten Impftermin erstellt werden, zusätzlich zum Eintrag in den gelben Impfbüchern.

Bedenken über die Datensicherheit des Projekts, an dem mit IBM ein amerikanisches Großunternehmen beteiligt ist, versuchen die Macher zu zerstreuen; demnach ist IBM in dem Impfpasskonsortium vorwiegend für die Nachweis-App für Bürger sowie die zugehörige Prüf-App für Betreiber zuständig. Die Datenverarbeitung finde in einer Cloud der Deutschen Telekom und den Rechenzentren des Konsortialpartners govdigital statt, einer Genossenschaft öffentlicher IT-Dienstleister. Bei der bundesweiten Einführung der Voraussetzungen für die elektronische Impfzertifikat-Erstellung soll das Neckarsulmer IT-Unternehmen Bechtle als weiterer Partner helfen.

Wie viele Corona-Apps braucht man?

Auf den Smartphone-Screens vieler Nutzerinnen und Nutzer dürfte es bald diverse Corona-Apps geben – zur Warn-App und Check-in-Apps wie Luca wird in wenigen Wochen die Impfnachweis-App kommen. Als Alternative für alle Nicht-Smartphone-Nutzer werden die Arztpraxen und Impfzentren einen maschinenlesbaren Papierausdruck mit dem QR-Code anbieten. Die Papierausdrucke sollen auch jenen helfen, die beispielsweise ein neues Smartphone in Betrieb nehmen. Sie können den QR-Code und damit ihr Zertifikat dann ins neue Gerät einscannen und weiterverwenden.

Doch das Bundesgesundheitsministerium hat noch einen weiteren Plan: Um die Corona-Warn-App aufzuwerten, will es den digitalen Impfnachweis möglichst bald darin integrieren. Der große Vorteil: Die offizielle App der Bundesregierung ist bereits auf vielen Millionen Smartphones installiert, der Impfnachweis würde sofort auf breiter Basis genutzt werden können. Gleiches gilt für die ebenfalls geplante Check-in-Funktion. Allerdings würde das wohl einen Grundsatz aufweichen, der rund um die Corona-Warn-App bisher als Dogma galt, nämlich ihr weitgehender Verzicht auf die Speicherung personenbezogener Daten.