Blockchain-basierte Lösung Ubirch und IBM erhalten Zuschlag für deutschen digitalen Impfnachweis

Der »Geheimwettbewerb« des Gesundheitsministeriums um einen digitalen Impfnachweis für Deutschland ist entschieden. Der Kölner Anbieter Ubirch setzt auf QR-Codes und Blockchain-Verifizierung. Mit an Bord: IT-Riese IBM.
Der Ubirch-Impfausweis wird bisher nur in zwei Landkreisen ausgehändigt

Der Ubirch-Impfausweis wird bisher nur in zwei Landkreisen ausgehändigt

Foto: DER SPIEGEL

29 Unternehmen hatte das Bundesgesundheitsministerium angeschrieben, im Rahmen eines »Verhandlungsverfahrens ohne Teilnahmewettbewerb«, das zunächst auch als »Geheimwettbewerb« ausgelegt war. Gesucht wurde das beste Angebot für einen digitalen Impfnachweis für alle, die gegen Covid-19 geimpft werden. Die Angebotsfrist betrug gerade einmal fünf Tage, sieben Firmen machten mit. Den Zuschlag erhielten nun die Kölner Firma Ubirch (51 Prozent) mit ihrem Blockchain-basierten System und IBM (49 Prozent), wie der SPIEGEL von Ubirch erfuhr.

Einen digitalen Impfnachweis gibt es bereits in Israel. In China sind seit Montag über den Onlinedienst WeChat Zertifikate verfügbar, die Impfungen und Testergebnisse anzeigen. Die EU-Kommission will am 17. März einen Gesetzentwurf für einen »digitalen Grünen Pass« vorlegen, der Angaben zu Corona-Impfungen, Covid-19-Erkrankungen und negativen Tests beinhalten und dadurch die Aufhebung von Reisebeschränkungen erleichtern soll. Die deutsche Lösung soll mit den europäischen Vorgaben kompatibel sein.

Technisch funktioniert das Ubirch-System so : Jede geimpfte Person bekommt im Impfzentrum oder beim Hausarzt einen QR-Code – auf einer Plastikkarte oder einem Stück Papier, per Mail oder App. Der QR-Code setzt sich zusammen aus personenbezogenen Daten wie dem Namen, den Angaben zum Impfdatum, dem verwendeten Impfstoff sowie einer Zufallszahl. Aus diesen Daten wird ein nach Angaben von Ubirch anonymer Fingerabdruck generiert, der nicht erratbar ist. Er wird kryptografisch signiert und – aus Gründen der Redundanz – in insgesamt fünf Blockchains hinterlegt.

Beim Einlesen des QR-Codes etwa beim Grenzübertritt oder bei einer Zugangskontrolle zu einer Veranstaltung sieht die kontrollierende Person zwar Name, Vorname, Geburtsdatum und Ausweisnummer (sowie die Angaben zur Impfung) und kann sie gegebenenfalls mit einem vorzulegenden Ausweis abgleichen. Im Hintergrund wird vom System zur Verifikation aber nur abgefragt, ob es einen zum QR-Code passenden Eintrag in der Blockchain des Ubirch-Systems gibt. Personenbezogene Daten und Impfdaten werden auf diese Weise nicht zentral im System gespeichert.

Die größten Vorteile sind laut Ubirch neben dem Datenschutz die Geschwindigkeit und die Fälschungssicherheit. Einträge im klassischen gelben Impfpass seien oft schwer zu entziffern und leicht fälschbar. Allerdings war es dem Sicherheitsforscher und Journalisten Hanno Böck gelungen , das Ubirch-System mit gefälschten QR-Codes zu überlisten, wenn auch mit gewissen Einschränkungen. Das Problem soll jetzt behoben sein.

Lauffähig in acht Wochen

Ubirch-CEO Stephan Noller sagte dem SPIEGEL: »Ich finde es cool, dass diesmal nicht einfach nur irgendein etablierter Big-Tech-Konzern die Lösung liefert, sondern eine kluge Kombination aus Big-Tech und Start-ups.« Ubirch arbeitet mit Govdigital zusammen, einer Genossenschaft von 15 IT-Dienstleistern der Länder und Kommunen sowie der Bundesdruckerei. Noller betrachtet den Zusammenschluss ebenfalls als Start-up, nur eben als »ein kommunales«. Govdigital stellt eine der verwendeten Blockchains.

IBM wird nach Angaben von Noller unter anderem weitere Apps für das System entwickeln und die Anbindung des Systems an die Arztpraxen vorantreiben.

Bisher wird das Ubirch-System nur in zwei Landkreisen eingesetzt: im oberbayerischen Altötting sowie im Zollernalbkreis in Baden-Württemberg. Innerhalb von acht Wochen, so die Vorgabe des Gesundheitsministeriums, soll es bundesweit lauffähig sein.

Laut der Ausschreibung  hat der Auftrag ein Gesamtvolumen von 2,7 Millionen Euro.

Hinweis: In einer früheren Version dieses Artikels hieß es, bei der Kontrolle des QR-Codes – beispielsweise bei einem Grenzübertritt – würden keine personenbezogenen Daten sichtbar und abgeglichen. Das ist nicht richtig, wir haben die Passage sowie den Absatz zum Erstellen des QR-Codes korrigiert .

Die Wiedergabe wurde unterbrochen.