VaccinationCertificate

Elektronischer Impfnachweis: Heureka! Heureka?

Eine englisch-sprachige Version des Artikels findet sich hier.

Als ich den ursprünglichen Spiegel-Artikel zum deutschen Impfnachweis las, war ich fasziniert (Hervorhebung von mir):

Technisch funktioniert das Ubirch-System so: Jede geimpfte Person bekommt im Impfzentrum oder beim Hausarzt einen QR-Code – auf einer Plastikkarte oder einem Stück Papier, per Mail oder App. Der QR-Code ist ein anonymer Fingerabdruck, der aus personenbezogenen Daten wie dem Namen sowie den Angaben zum Impfdatum, dem verwendeten Impfstoff sowie einer Zufallszahl generiert wird und damit nicht zurückzurechnen ist. Er wird kryptografisch signiert und – aus Gründen der Redundanz – in insgesamt fünf Blockchains hinterlegt.

Da war ein Staat bei der Auswahl einer völlig neuen Digitalisierungslösung auf Anhieb auf Gold gestossen und hatte das Ei des Kolumbus gefunden! Grossartig! Ich tanzte innerlich vor Freude. Eine dieser wahnsinnig gehypten Blockchains reichte nicht aus, da musste ein echter Quantensprung der Digitalisierung dahinter stecken! Der Rest meiner Arbeit konnte warten. Ich wollte, nein, ich musste, mehr wissen. (Dass der Artikel sich da irrte und in der Zwischenzeit korrigiert wurde, wusste ich damals noch nicht.)

Die Suche nach dem verlorenen Fingerabruck

Auf dem Spiegel-Bild im Artikel war eine Plastikkarte mit grossem QR-Code zu sehen. Im Grafikprogramm entzerrte ich das Bild so, dass der QR-Code mir quadratisch entgegenblickte.

Doch trotz etlicher Versuche und Tricks weigerte er sich, von Software erkannt zu werden. Ich trug mich schon mit dem Gedanken, die 2401 Pixel von Hand nachzuzeichnen.

Aber halt, da war doch etwas faul! 2401 Pixel für einen kleinen anonymen Fingerabdruck, der in etwa einem Zehntel davon Platz finden könnte‽ Also ab zur Quelle.

Das Ubirch-Bild ist klarer und auch kommentiert.

Der QR-Scanner erkennt sofort die URL:

https://verification.dev.ubirch.com/v/gd-vcc/#f=Musterfrau;g=Erika;i=Alt%C3%B6tting;r=BioNTech%20%2F%20Pfizer%20Corminaty%C2%AE;b=19640812;d=20210114,20210121;t=vaccination;p=T22000129;s=1p7v3g6whqw

Kein anonymer Fingerabdruck im QR-Code, sondern die vollständigen personenbezogenen Daten, direkt lesbar für jeden, der mit seinem Handy einen halbwegs klaren Blick auf den QR-Code erhaschen kann. Ich war am Boden zerstört! Und Ubirch erläutert das auch klar. Der anonyme Fingerabdruck wird nur im Zusammenhang mit der Blockchain erwähnt, nicht mit dem QR-Code.

Mit anderen Worten: Jeder, der aus irgendeinem Grund meinen QR-Code scannt, kennt anschliessend meinen Namen, meinen Wohnort, mein Geburtsdatum. Ich will gar nicht darüber nachdenken, an wie vielen Stellen man sich mit diesen Informationen problemlos authentisieren kann.

Wie funktioniert der Ubirch-Impfnachweis?

Nehmen wir an, der Impfnachweis würde für eine Berechtigung irgendwo benötigt. Und unterlassen wir mal die Diskussion, ob es eine gute Idee ist, Rechte der breiten Bevölkerung an Impfungen zu knüpfen.

  1. Eine berechtigte Person B will meinen Impfnachweis sehen
  2. Ich zeige den QR-Code
  3. B zückt sein Smartphone und scannt den Code
  4. Auf dem Smartphone erscheint mein Name, Geburtsdatum, Impftermin und ein paar weitere Informationen (siehe Bild)
  5. Das Smartphone errechnet den anonymen (eigentlich: pseudonymen) Fingerabdruck und fragt die fünf Blockchains an, ob dieser Abdruck auch dort verzeichnet sei; wahrscheinlich über einen Server von Ubirch. Was passiert, wenn die fünf sich nicht einig sind? Keine Ahnung.
  6. Im Erfolgsfall erscheint ein grünes Häkchen, im anderen Fall läutet die Sirene und ein schneller Eingreiftrupp wird mit Fallschirmen abgesetzt, um mich in Gewahrsam zu nehmen. Vielleicht.
  7. B bittet mich um einen Identitätsbeweis in Form eines Lichtbildausweises
  8. B vergleicht Name etc. zwischen Impfnachweis und Ausweis
  9. B vergleicht Foto auf dem Ausweis mit meinem Gesicht
  10. Wenn alles geklappt hat, darf ich weiter

Das ist ja ganz schön kompliziert. Digitalisierung habe ich mir einfacher, weniger invasiv und weniger fehleranfällig vorgestellt. Ich bin ernüchtert:

  • Es erfolgt eine Dreiecksverifikation:
  • Bei jedem dieser Vergleichsschritte werden persönliche Daten über mich geteilt und verifiziert. Ersteres sollte vermieden werden, zweiteres ist fehleranfällig.
  • Die Verifikation kann nur online erfolgen. Dabei erhält mindestens ein Server diesen anonymen (eigentlich nur pseudonymen) Fingerabdruck. Damit ist für den Betreiber des Dienstes nachverfolgbar, wo ich überall überprüft wurde.

Kurz: Es werden zu viele Daten erfasst, müssen zu viele Daten überprüft werden und fallen zu viele Daten bei der Überprüfung an.

Das Ziel nicht aus den Augen verlieren

Das namensgebende Ziel des Impfnachweises ist, nachzuweisen, dass ich geimpft sei. Dafür sind Name, Geburtsdatum, Passnummer, Impfzeitpunkt und -ort sowie Impfstoff völlig irrelevant. Ebenso scheint eine Online-Abfrage überflüssig und der Dreiecksvergleich besteht aus zu vielen Schritten.

Wie könnte also ein Ablauf aussehen, der Datenschutz von Anfang an einbezieht?

  • Minimale Information
  • Möglichst offline (wenig Datenanfall, ausfallsicherer)
  • Möglichst wenige, einfache Schritte

Variante 1: Offline

  1. Im QR-Code steht nur die Minimalinformation, beispielsweise die Nummer einer Identitätskarte.
  2. Diese Information wird vom ausstellenden Arzt/Impfzentrum digital signiert und als QR-Code z.B. auf eine Karte gedruckt oder von der frisch Geimpften auf ihr Handy geladen.
  3. Drittens? Es braucht kein Drittens, das war es schon!

Ach ja: Der QR-Code ist viel kleiner, da deutlich weniger Daten gespeichert werden müssen.

Für die Verifikation

  1. scannt B den QR-Code mit dem Handy,
  2. das Handy verifiziert lokal die digitale Signatur und zeigt die Ausweisnummer an,
  3. B vergleicht Ausweisnummer und Foto.

(Hinter den Kulissen kann man noch Zertifikatsketten, Salt und Listen von missbrauchten Schlüsseln einbringen, falls man das will. An der Einfachheit des Ablaufs und der notwendigen bzw. gesammelten Datenmenge ändert sich dadurch aber nichts. Und denkt daran: Dies ist nicht die Zutrittskontrolle für den Bunker, aus dem man Nuklearsprengköpfe abschiessen kann.)

Variante 2: Online (oder fast)

  1. Wir lassen den Ausweis ganz weg, der wird eigentlich gar nicht gebraucht.
  2. Dafür brauchen wir ein Foto. Dieses wird beim Impfen geschossen und – bevor es irgendwohin übertragen wird – signiert und so verschlüsselt, dass es nur mit dem QR-Code entschlüsselt werden kann.
  3. Diese einzeln verschlüsselten Fotos können entweder zentral abgelegt werden oder mit der Verifikationsapp ausgeliefert werden. (Auf einem modernen Handy haben viele Millionen Fotos in genügender Auflösung für den Gesichtsvergleich Platz.)

Für die Verifikation

  1. scannt B den QR-Code mit dem Handy,
  2. welches die digitale Signatur verifiziert und das Foto anzeigt.
  3. Nur noch Foto mit der Person vergleichen, kein Name oder Ausweis nötig.

Und wo bleibt da die Blockchain?

Es gibt ganz wenige Probleme, die mit einer Blockchain einfacher oder besser gelöst werden können. Der Impfnachweis gehört nicht dazu.

Was macht aber eine Blockchain? Sehr, sehr vereinfacht (gerne ein andermal dazu viel mehr):

  • Verhindern, dass Eintragungen (z.B. Geldtransaktionen) mehrfach eingetragen werden können. Das ist das komplizierteste der Unterfangen. Wenn man es nicht braucht, ist das Problem fast schon um Grössenordnungen einfacher.
  • Erzwingen von Konsens zwischen misstrauischen Parteien. Auch das ist schwierig. Wenn man es nicht braucht, wie in diesem Fall, spart man sich durch das Weglassen nochmals viel Aufwand.
  • Schutz gegen nachträgliche Modifikation. Das ist das Einfachste und wird z.B. durch Bibliotheken schon seit Jahrtausenden gewährleistet. Wenn man es nur dafür braucht, geht es meist auch ohne Blockchain. Ausser man vertraut dem Dienstanbieter nicht. Aber in der Ubirch-Anwendung wird genau der Diensteanbieter jedesmal angefragt, ob der Eintrag echt sei. Henne und Ei.

Was ersparen wir uns, wenn wir auf die Blockchain verzichten? Komplexität, Fehlerquellen, Latenzen und unnötige Datensammlungen. Und auch wenn Daten offensichtlich falsch sind, erlauben uns Blockchains keine Korrektur oder gar Löschung. Von der Komplexität, Eigenschaften über fünf Blockchains hinweg zu garantieren, möchte ich gar nicht erst anfangen.

Der Wegfall von Blockchain-Komplexität und -Restriktionen verhilft zu einem durchschaubaren, übersichtlichen und damit nachvollziehbareren System. Das interessiert Entscheidungsträger aber selten. Denn diese Eigenschaften sind im Gegensatz zu “Blockchain” meist nicht Teil des Buzzword-Bingo.

Im echten Leben steht der Hype-Faktor der Anpreisung eines Produkts nur allzu oft im krassen Gegensatz zu seinen Praxiseigenschaften.

Und nun?

Wenn der Impfnachweis von Anfang an unter den Prämissen Datensparsamkeit und Einfachheit gestanden hätte, wären viel einfachere Lösungen möglich gewesen. Leider scheint das rätselhafterweise trotz Jahrzehnten Datenschutzgesetz und etlicher Jahre DSGVO immer noch nicht Eingang in die Köpfe der Entscheidungsträger gefunden zu haben.

Ich kann allerdings immer noch nicht verstehen, weshalb man über einen Impfnachweis die Menschheit in zwei Gruppen aufteilen will. Entweder erklärt man die Impfung zur Pflicht (allenfalls mit definierten Ausnahmen) oder man setzt auf Überzeugung, dass jeder sich freiwillig impfen lässt. Aber der Aufbau eines solchen Apparats für einen so hohen Preis und einer kurzen Nutzungszeit erscheint mir ein viel zu hoher Preis für den mangelnden Mut der Politiker.

Bitte, liebe Politiker und Chefbeamte, lasst dies nicht eine viele Millionen teure Eintagsfliege sein. Lasst sie bitte ganz weg oder baut sie in ein auch für den Einzelnen hilfreiches System aus. Wenn man ähnliche Überlegungen wie oben für wichtige Dokumente anstellt und von Anfang an die Hoheit des Einzelnen über seine Daten an oberste Stelle stellt, schaffen wir die Digitalisierung.

Es ist dann vielleicht nicht die Digitalisierung, die sich die Konzerne wünschen. Aber vielleicht hören wir alle mal wieder etwas mehr auf die Bedürfnisse der breiten Bevölkerung. Wäre das ein Traum!


Prof. Dr. Marcel Waldvogel kann auf über 30 Jahre Informatik, Digitalisierung und ihre Auswirkungen zurückblicken. Er wendet seine Kenntnisse aus Praxis, Theorie, Forschung und Leitungsfunktionen an, um Datenschutz, IT-Sicherheit und Benutzerfreudlichkeit effizient unter einen Hut zu bringen und sie in Gesellschaft, Wirtschaft, Bildung und Medizin einzusetzen.

Teile Diesen Beitrag

Share on twitter
Share on linkedin
Share on facebook
Share on email

3 Kommentare

  1. Hallo Marcel,
    ich mach mir grosse Sorgen um Köln. Da muss es zu einem Chemieunfall mit bewusstseinserweiternden Substanzen gekommen sein. Kann nur hoffen, dass das THW die Lage in den Griff kriegt bevor dieser Schwachsinn real wird!!!
    Ein Impass mit 5 Blockchains!???
    Hat man eigentlich schon eine Blockchain entwickelt, die DSGVO-konform ist (Datenkorrektur, Datenlöschung, …)???

    BG Thorsten

    1. Hallo Thorsten

      Ich denke, das ist weniger eine Frage der Blockchain, sondern der darauf aufbauenden Anwendung.

      Ich bin kein Jurist, versuche es mal: Das Recht auf Korrektur/Löschung hängt von der Art der Daten ab. Falls aus den Daten kein Personen oder Faktenbezug abgeleitet werden kann, sind auch Änderung/Löschung nicht nötig.

      Der Ansatz könnte also sein, diese Daten nicht persistent zu speichern. Ich vertrete die Ansicht, dass in vielen Fällen Zeitstempel ausreichen, mit denen man seine Daten versieht. Damit kann man die Daten verändern/löschen, man kann es aber nicht versteckt machen. Statt der ursprünglichen Daten wird dann ein Vermerk über den Grund der Veränderung abgelegt. (Viel davon lässt sich mit Standardwerkzeugen wie git und PGP erreichen.)

      Ich hoffe, das gibt wenigstens einen kleinen Einblick in Ansätze.
      -Marcel

  2. Hallo Marcel,
    Danke für Deine Retoure 🙂
    Die Blockchain-Prinzipien vertragen sich nicht mit pbD und der DSGVO, wenn die pdD in die Chain sollen. Nur Transkaktionsdaten in einer Chain abzulegen dürfte nicht ausreichen.
    Aber das war ja nicht der Punkt. Der Punkt ist, welcher Super-Seller verkauft ein Impfpasskonzept mit 5 Blockchains?
    WENN Blockchain hier überhaupt Sinn machen würde, dann sollte man soviel Hirn reinstecken, dass 1 Chain ausreicht. Was mit solchen Vertriebsmethoden beginnt ist eine Blockchain-Inflation. Heute 5, morgen 6 und nächsten Woche 10.
    Das war der Kern meines Posts. Technisch geht vieles schmaler und resourcenärmer.
    Beste Grüsse
    Thorsten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.