MenüZurück
Wird geladen.

20.05.2021

14:26

„CovPass“

Spahns Digitalberater kritisiert Vorgehen beim digitalen Impfnachweis scharf

Von: Julian Olk

Wegen der knappen Zeit bei der Entwicklung des digitalen Impfnachweises drohen Sicherheitsmängel. In Thüringen sind solche schon eingetreten.

Die Entwickler haben etwas mehr als drei Monate Zeit für die Ausarbeitung des digitalen Impfnachweises, der künftig auf bis zu 80 Millionen Smartphones verfügbar und europaweit nutzbar sein sowie Lockdowns überflüssig machen soll.

„CovPass“

Die Entwickler haben etwas mehr als drei Monate Zeit für die Ausarbeitung des digitalen Impfnachweises, der künftig auf bis zu 80 Millionen Smartphones verfügbar und europaweit nutzbar sein sowie Lockdowns überflüssig machen soll.

Düsseldorf Es kommt nicht oft vor, dass jemand von den „Grenzen einer Behörde“ spricht, der einer selbigen so nahesteht. Dass Jörg Debatin diese Worte benutzt, ist ein Zeichen für die angespannte Situation beim digitalen Impfnachweis, den das Bundesgesundheitsministerium verantwortet. Debatin ist Leiter des Health Innovation Hub (HIH), der von Minister Jens Spahn (CDU) geschaffenen Denkfabrik für digitale Medizin. Er ist damit Spahns wichtigster Digitalberater.

Debatin bemängelt, dass es Gespräche zur Entwicklung eines Impfnachweises schon im Herbst gegeben habe. Auch wenn die Mitarbeiter des Ministeriums insgesamt einen guten Job machten: „Dass wir noch immer über den Impfnachweis sprechen, ist wahrlich kein Beispiel praktikabler Staatsführung in einer Krisensituation“, sagte Debatin Handelsblatt Inside.

Erst im Februar hatte das Ministerium die Entwicklung eines digitalen Scheins, der die Impfung gegen Covid-19 nachweist, ausgeschrieben. Das Zertifikat wird Immunisierten ermöglichen, sich wieder mit mehr Menschen zu treffen sowie Geschäfte oder Kulturstätten zu besuchen.

Nach wenigen Tagen hatte das Ministerium einem Konsortium um das IT-Unternehmen IBM den Zuschlag für die Entwicklung erteilt. In der zweiten Hälfte des zweiten Quartals werde der digitale Impfnachweis verfügbar sein, hat Spahn angekündigt. Er wird „CovPass“ heißen.

Damit haben die Verantwortlichen etwas mehr als drei Monate Zeit für die Entwicklung eines Systems, das künftig auf bis zu 80 Millionen Smartphones verfügbar und europaweit nutzbar sein sowie Lockdowns überflüssig machen soll. Nun zeigt sich, dass dieser Plan auf Kosten der Sicherheit des Systems durchgedrückt werden könnte – sowohl was den Aufbau des Impfnachweises als auch die Überprüfung betrifft.

Digitaler Impfnachweis: Behörden bemängeln fehlende Informationen

Bei staatlichen Digitalprojekten ist es üblich, dass der Bundesdatenschutzbeauftragte (BfDI) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Systeme vor ihrem Einsatz prüfen. Doch der BfDI-Chef Ulrich Kelber teilt Handelsblatt Inside mit, dass es „nicht möglich sein wird, vor dem Start eine umfassende Prüfung vorzunehmen, zumal bis heute nicht klar ist, wie die technische Umsetzung konkret aussehen wird“. Das könne dazu führen, dass Datenschutzmängel erst nach Start des Projekts auffallen.

Die Behörde habe zwar erste Unterlagen erhalten, die jedoch die Technologie nicht erklärten. Auch habe das Gesundheitsministerium vor der Ausschreibung des Impfnachweises nicht um Beratung gebeten. Die Lage beim BSI ist nach Handelsblatt-Informationen ähnlich. Es habe ebenfalls erste Gespräche gegeben. Die Informationen seien für eine Bewertung aber zu dürftig. Ein BSI-Sprecher wollte das auf Anfrage weder bestätigen noch dementieren.

„Kein Zweifel, die Mitarbeiter des Bundesgesundheitsministeriums sind während der Pandemie super engagiert und machen insgesamt einen guten Job. Das Vorgehen beim digitalen Impfnachweis zeigt allerdings die systemischen Grenzen einer Behörde.“ hih

Jörg Debatin

„Kein Zweifel, die Mitarbeiter des Bundesgesundheitsministeriums sind während der Pandemie super engagiert und machen insgesamt einen guten Job. Das Vorgehen beim digitalen Impfnachweis zeigt allerdings die systemischen Grenzen einer Behörde.“

Um bewusste Desinformation handelt es sich angeblich nicht, wie ein Brief aus dem Bundesgesundheitsministerium zeigt. „Das Konsortium übermittelt alle […] relevanten technischen Dokumente an den BfDI und das BSI“, heißt es in dem Dokument, das Handelsblatt Inside vorliegt. Womöglich scheitert die Information am Entwicklungsstand des digitalen Impfnachweises.

Maria Klein-Schmeink glaubt das allerdings nicht. „Ich verstehe nicht, warum die Bundesregierung hier nicht voll transparent ist“, sagte die Fraktionsvizin der Grünen, die die Informationen aus dem Gesundheitsministerium angefordert hatte.

IBM und Partner haben inzwischen auf der Plattform Github erste Teile des Quellcodes veröffentlicht. Die Verantwortlichen betonen stets, die Sicherheit des Systems sei gewährleistet, weil die Daten der Impfnachweise nirgends zentral gespeichert würden.

Einen potenziellen zentralen Angriffspunkt gibt es dennoch. Die Signaturen, die die Echtheit des Impfnachweises belegen, werden durch einen zentralen Server erstellt. Dabei hätte ein dezentrales System mit einer Offline-Signatur durch die Arztpraxen respektive Impfzentren genauso gut realisiert werden können, sagt Matthias Marx, Sprecher des Chaos Computer Clubs (CCC).

Das allerdings wäre zu zeitaufwendig gewesen, meint ein IT-Verantwortlicher aus dem Umfeld der Bundesregierung. Vom Bundesgesundheitsministerium hieß es, die zentrale Signaturerstellung sei sicherer. Schließlich seien bei einem dezentralen Ansatz sehr viele Institutionen und IT-Systeme für die Signatur des Impfnachweises verantwortlich.

Fehlen wird auch eine Funktion, mit der man falsche oder erschlichene Impfnachweise sperren könnte. Laut dem Ministerium scheitert das an den Vorgaben der EU, die Bundesregierung setze sich aber weiter dafür ein. Jedes EU-Mitgliedsland entwickelt zwar seinen eigenen digitalen Impfnachweis. Damit diese international nutzbar sind, gibt es aber zusätzlich ein europäisches Regelwerk.

Fraglich ist zudem, wer den Impfnachweis überhaupt ausstellen kann. Die Hersteller der IT-Systeme für Arztpraxen integrieren derzeit die Technologie. Aus Industriekreisen ist jedoch zu hören, dass sie erst Anfang Mai die Arbeiten beginnen konnten. Die großen IT-Hersteller könnten zwar gerade so zum Start des Impfnachweises fertig werden. Jedoch gibt es über 100 verschiedene IT-Systeme in den deutschen Arztpraxen.

Hinzu kommt, dass schon jetzt etwa zehn Millionen Deutsche vollständig geimpft sind. „Das wird einen Run auf den digitalen Impfnachweis auslösen“, sagt KBV-Vorstandsmitglied Thomas Kriedel. Die Bundesregierung will deshalb gesetzlich festlegen, dass Arztpraxen und Impfzentren einen Code per Post nachsenden dürfen, aus dem der digitale Nachweis generiert werden kann. Allerdings liegen nicht in allen Impfzentren die Meldedaten der Geimpften vor. Zudem sollen Apotheken die Impfnachweise ausstellen. Ab Mitte Juni soll das möglich sein, kündigte ein Sprecher des Deutschen Apothekerverbands (DAV) an. Technisch umgesetzt werden soll das über das Webportal des DAV.

Impfbescheinigung in Thüringen hat grundlegende Sicherheitsmängel

Was passieren kann, wenn sensible Gesundheitstechnologie unter Zeitdruck an den Start gebracht wird, zeigt das Beispiel Thüringen. Als erstes deutsches Bundesland führte der Freistaat am 12. Mai in einem Pilotprojekt einen eigenen digitalen Impfnachweis ein.

Mit dem Projekt sollen die „Kinderkrankheiten“ gefunden werden, hatte Thüringens Gesundheitsministerin Heike Werner gesagt. Doch das System, für das das Landesministerium gemeinsam mit der Kassenärztlichen Vereinigung Thüringen (KVT) verantwortlich ist, zeigt grundlegende Mängel auf.

Jeder konnte über das Formular zur Anforderung der digitalen Impfbescheinigung herausfinden, ob eine Person beim Impfportal registriert ist. Dazu mussten lediglich E-Mail-Adresse oder Handynummer sowie das Geburtsdatum der Person eingegeben werden. Diesen Fehler haben die Betreiber bereits behoben.

Angreifer können trotzdem noch immer eine Schwachstelle nutzen, die sie zu den Impfbescheinigungen selbst führt. Diese sind über das Internet abrufbar. Die zugehörige Adresse besteht aus drei verschiedenen, bis zu sechsstelligen Zeichenfolgen, eine davon ist das Geburtsdatum. Eins zu 350 Billionen sei dabei die Wahrscheinlichkeit, an die richtige Kombination zu kommen, erklärt die KVT auf Anfrage. Das sei mehr als genügend gesichert.

Widerspruch kommt aus der IT-Szene. Üblich seien zum Absichern solch sensibler Daten deutlich längere Codes. „Diese kürzeren sind leicht zu knacken“, warnt Martin Tschirsich vom CCC. Durch einen „Bruteforce-Angriff“, bei dem automatisch in kürzester Zeit unzählige Zahlenkombinationen durchprobiert werden, ließen sich sowohl Geburtsdatum als auch die anderen beiden Codes mit annehmbarem Aufwand herausfinden.

„Da analoge Impfnachweise leicht gefälscht werden können, wird die Einführung digitaler Impfpässe nicht nur diskutiert, sondern mancherorts auch vorschnell vollzogen.“ Imago

Chaos Computer Club (CCC)

„Da analoge Impfnachweise leicht gefälscht werden können, wird die Einführung digitaler Impfpässe nicht nur diskutiert, sondern mancherorts auch vorschnell vollzogen.“

Grundsätzlich halten Experten es für problematisch, dass die Daten beim Thüringer Modell zentral gespeichert werden. Dabei sei das laut den EU-Vorgaben für digitale Impfnachweise überhaupt nicht notwendig, sagt Thüringens Landesdatenschutzbeauftragter Lutz Hasse.

Hinzu kommt, dass der Impfstatus durch Scannen eines QR-Codes auf der Impfbescheinigung geprüft wird, der zu einer Internetseite führt. Dritte können leicht eine eigene Webseite erstellen, die der originalen zum Verwechseln ähnlich sieht und alle Bescheinigungen als gültig anzeigt.

Eine andere Möglichkeit hätte es aufgrund der Kürze der Zeit nicht gegeben, und das wäre viel zu teuer geworden, heißt es von der KVT. Deshalb werde die Adresse der Impfcheck-Webseite zusätzlich genannt, sodass der Prüfende sehen kann, ob er auf die offizielle Seite geleitet wird.

Der Landesdatenschutzbeauftragte Hasse hat nun ein Auskunftsverfahren gegen die Betreiber eingeleitet, teilte er Handelsblatt Inside mit. Er sei im Vorfeld nicht in das Pilotprojekt einbezogen worden.

Kommentare (1)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

Account gelöscht!

20.05.2021, 15:50 Uhr

Seit Herbst letztes Jahr ist bekannt, dass es Impfungen geben wird. Und niemand wird in Deutschland zeitnah einen digitalen Impfpass erschaffen ? Manche Sachen sind einfach unglaublich.

Das zweite ist der Datenschutz. Name, Geburtsdatum und Passbild reicht an Daten für den digitalen Impfpass ja wohl völlig aus, und ob jemand anderes weiß, dass ich geimpft bin, ist mir (und wahrscheinlich 90 % der Restbevölkerung auch) völlig Schnurz. Also, keine weiteren Daten speichern, und dafür ein paar Kompromisse beim Datenschutz, dann kämen wir ganz schnell ein paar Schritte weiter. Wer partout nicht will, braucht sich ja keinen Digitalpass ausstellen lassen.

Aber Deutschland und Digitalkompetenz; das einzig gemeinsame sind wohl die Anfangsbuchstaben der beiden Wörter.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×