In Deutschland soll ein digitaler Corona-Impfnachweis beziehungsweise Immunitätsnachweis eingeführt werden. Den Auftrag zur Entwicklung hat ein Konsortium bestehend aus vier Unternehmen erhalten. Das Budget dafür beträgt bis drei Millionen Euro. Seit der Auftragsvergabe wurde viel diskutiert und umgeplant. Ein Überblick.

• Was soll der digitale Impfnachweis können?
• Ab wann soll der Impfnachweis verfügbar sein?
• Wie soll der digitale Impfnachweis technisch funktionieren?
• Wie fälschungssicher ist der Impfpass?
• Worin unterscheidet sich der deutsche vom EU-Impfpass?

Was soll der digitale Impfnachweis können?

Der Impfnachweis soll vor allem nachvollziehbar zeigen, dass eine Person geimpft ist und dabei fälschungssicher sein. Auch von einer Covid-19-Erkrankung Genesene sollen sich mit diesem Nachweis ausweisen können, deshalb wird er auch als Immunitätsnachweis bezeichnet.

Im Gegensatz zum analogen gelben Impfpass oder Impfbuch dient der geplante digitale Impfnachweis ausschließlich dem Nachweis der Corona-Impfung beziehungsweise der überstandenen Erkrankung. Im Impfbuch werden dagegen alle Impfungen einer Person aufgeführt. Ab 2022 soll der jetzt im Aufbau befindliche digitale Impfnachweis im Rahmen der Fortentwicklung der elektronischen Gesundheitskarte in den digitalen Impfpass bezieungsweise die elektronische Gesundheitsakte übernommen werden, heißt es aus dem Bundesgesundheitsministerium.

Ab wann soll der Corona-Immunitätsnachweis verfügbar sein?

Nach derzeitigem Stand soll der digitale Nachweis in Deutschland zu Beginn der zweiten Jahreshälfte 2021 startklar sein. Auch das auf EU-Ebene geplante sogenannte Grüne Zertifikat ist für Sommer geplant. Beide sollen miteinander kompatibel sein.

Der Chaos Computer Club (CCC) meldet allerdings Zweifel am Zeitplan für den Immunitätsnachweis an. Er werde nicht rechtzeitig zum Sommer verfügbar sein, sagte CCC-Sprecher Matthias Marx im Dlf. "Die Technik steht noch nicht, und dann müssen noch Zehntausende Arztpraxen und Hunderte Impfzentren angebunden werden", so Marx. Möglicherweise werde die digitale Lösung erst fertig, wenn alle, die es wollten, geimpft seien. Dann stelle sich die Frage, ob das System noch notwendig sei.

Der digitalpolitische Sprecher der CDU Tankred Schipanski hingegen zeigt sich zuversichtlich, dass die Datenübermittlung gut funktionieren werde. "Am Anfang geht es immer ruckelig, aber wir haben 2021 – da ist es zu erwarten, dass in einer Arztpraxis entsprechende IT vorhanden ist", sagte er im Dlf. Die technischen Herausforderungen seien gut zu meistern - er sei eher gespannt, wie die politischen Fragen auf EU-Ebene gelöst würden.

Wie soll der digitale Immunitätsnachweis technisch funktionieren?

Der Impfnachweis soll technisch auf Basis einer sogenannten Public Key Infrastruktur, kurz PKI, aufgebaut werden. Der zunächst vorgesehene Einsatz der Blockchain-Technologie wurde wieder verworfen.

Bei der PKI werden die Daten der Geimpften als ein Datensatz verschlüsselt und mit einem geheimen Schlüssel signiert. Zu den Daten gehören etwa Informationen zum Ort der Impfung und des verwendeten Vakzins. Der Datensatz soll dann über ein zusätzliches Modul in der Corona-Warn-App und in anderen Anwendungen als "Digitales Grünes Zertifikat" angezeigt werden. Mit dem zugehörigen öffentlichen Schlüssel, der ungeschützt verbreitet werden kann, wird der Datensatz überprüfbar, etwa an einem Grenzübergang, beim Shoppen oder an der Theaterkasse. Die freie Prüfbarkeit hatte der Chaos Computer Club (CCC) gefordert. Die Prüfung soll grundsätzlich offline erfolgen können, so die Pläne. Zudem soll es auch den analogen Impfnachweis auf Papier weiterhin geben, etwa für diejenigen, die kein Smartphone haben.

CCC-Sprecher Matthias Marx hält die herkömmlichen Papiernachweise ohnehin für ausreichend. Diejenigen, die die Nachweise kontrollierten, hätten womöglich ohnehin nicht das größte Interesse an einer besonders gründlichen Prüfung, sagte er im Dlf. Die digitale Variante habe keinen Mehrwert gegenüber analogen Impfnachweisen, dafür aber verschiedene Nachteile. Beispielsweise könnten über zentrale Systeme potenziell Bewegungs- und Kontaktprofile von Geimpften erstellt werden.

Marx fordert daher auch eine dezentrale IT-Architektur, damit die Erstellung von Bewegungsprofilen oder Besuchsprotokollen erschwert wird. Diese Anforderung soll mit dem digitalen Impfausweis erfüllt werden. In einer Mitteilung aus dem Bundestags-Ausschuss "Digitale Agenda" heißt es, die Lösung beruhe auf einem Open-Source-Ansatz und es entstehe keine Datenbank mit personenbezogenen Daten.

Damit zeigte sich etwa Anke Domscheit-Berg, netzpolitische Sprecherin der Bundestags-Fraktion Die Linke, zufrieden: "Wir werden also diesen digitalen Impfnachweis nur auf unserem eigenen Handy haben und es wird keine große Datenbank geben, weder auf europäischer noch auf nationaler Ebene, wo unser aller Nachweise auf einen Haufen gelegt sind. Also das wird es nicht geben."

Die Politikerin Domscheit-Berg und Computer-Club-Sprecher Matthias Marx warnten aber vor dem Glauben, "dass irgendeine App uns aus der Pandemie rausbringt." Digitale Lösungen könnten kleine Beiträge leisten, das gelte auch für die "aktuell hochgehypte Luca App", so Marx. Es dürfe aber nicht davon ablenken, dass es zur Bekämpfung der Pandemie große Maßnahmen brauche. Nicht der Impfpass helfe uns zurück in ein normales Leben, sondern die Impfung, betonte Marx.

Wie fälschungssicher ist der digitale Impfpass?

Es besteht die Gefahr, dass digitale Impfnachweise gefälscht werden, weil die Zertifikatsinfrastruktur angreifbar ist. Zum Beispiel können die streng zu schützenden geheimen Schlüssel, mit denen der Impfnachweis beglaubigt wird, entwendet werden und in falsche Hände gelangen oder auch gehackt werden. Hier verweisen Experten darauf, dass vor allem in den Arztpraxen eine zum Teil haarsträubend geringe Absicherung der IT-Infrastruktur zu finden sei.

Im Vergleich zu analogen Impfnachweisen, von denen ein paar Dutzend gefälscht würden, etwa mit geklauten Aufklebern von Impfchargen, ist es möglich, mit den entwendeten Schlüsseln in kürzester Zeit Tausende gefälschte digitale Nachweise zu erzeugen. Die Schlüssel können bei der PKI-basierten Lösung jedoch zurückgerufen werden – ein großer Vorteil, weil zertifizierte Nachweise beim Update der öffentlichen Schlüssel ungültig werden.

Der Chaos Computer Club weist zudem darauf hin, dass sich verschiedene Alleingänge einzelner Bundesländer, den Impfstatus über eine zentrale Website nachprüfbar zu machen, als nicht fälschungssicher erwiesen haben. In Thüringen etwa könnten Geimpfe ein Impfzertifikat mit einem QR-Code herunterladen, der einen auf solch eine Website leitet. "Dieses System kann man austricksen, indem man ein eigenes Zerfitifikat mit einem eigenen QR-Code erstellt, der auf eine eigene gefälschte Prüfwebsite führt, die genauso aussieht wie die offizielle", erklärte CCC-Sprecher Matthias Marx im Dlf. So eine gefälschte Website sei keine große Hürde für Menschen, die sich "ein bisschen mit IT auskennen". Der Unterschied würde den Prüfenden laut Marx wahrscheinlich nicht auffallen.

Worin unterscheidet sich der deutsche vom EU-Impfpass?

Der geplante EU-Impfpass, das sogenannte "Grüne Zertifikat", und die deutsche Lösung unterscheiden sich voneinander. Das "Grüne Zertifikat" soll unter anderem anzeigen, ob jemand vollständig gegen das Coronavirus geimpft ist und mit welchem Wirkstoff er geimpft wurde. Es soll Aufschluss darüber geben können, ob jemand negativ getestet wurde oder bereits eine Covid-19-Erkrankung überstanden hat. Über einen Barcode sollen diese Informationen fälschungssicher abgerufen werden können. Das Dokument soll in der jeweiligen Landessprache und auf Englisch ausgestellt werden.

Der deutsche digitale Impfnachweis orientiert sich am Konzept des europäischen Ansatzes. Die deutsche Lösung wird mit der europäischen kompatibel und interoperabel sein. Die Zertifikate werden auch in den europäischen Nachbarländern geprüft werden können und vice versa.