Das Covid-Zertifikat: Hey, Bundesbern, das geht besser

Dominik Bärlocher

10.6.2021

Der Entwurf des Covid-Zertifikats ist da. Und wirft Fragen auf. Eine weniger komplizierte und weniger fehleranfällige Lösung ist allerdings bereits bei dir im Haus.

Zweimal pieksen und du bist gegen Covid geimpft und das Risiko, jemanden anzustecken oder selbst infiziert zu werden, ist drastisch reduziert. Theoretisch wärst du dann von der Maskenpflicht entbunden. Diese gilt zwar noch, dürfte oder sollte demnächst fallen. Der Bund hält sich bedeckt.

Das Problem: Die Impfung ist unsichtbar. Was unterscheidet also eine Geimpfte von einer, die einfach sagt, dass sie geimpft sei?

Es muss ein Zertifikat her. Der Bund hat seine Lösung bereits präsentiert, bis Ende Juni wird sie der breiten Bevölkerung zur Verfügung stehen. Die Kollegen von Watson haben die Lösung analysiert, die Entwickler von Ubique und Co. zeigen auf GitHub den Code und die Prinzipien hinter der App.

So geht der Covid-Check in der Badi

Wenn der Bund das Zertifikat ausrollt, dann geht das so.

1. Du gehst in die Badi.
2. Am Eingang zeigst du einen QR Code in einer App.
3. Der Code wird gescannt.
4. Deine Impfdaten werden mit einer Datenbank abgeglichen.
5. Du zeigst der Person, die deinen QR Code gescannt hat, deine ID oder deinen Pass.
6. Die Person, die deinen QR Code gescannt hat, schaut auf deine ID und vergleicht dein Gesicht mit dem Gesicht auf der ID.
7. Die Person, die deinen QR Code gescannt hat, schaut auf den Namen auf deiner ID und den Namen in der App.
8. Die Person, die deinen QR Code gescannt hat, schaut auf die App und sieht deinen Gesundheitszustand.
9. Wenn Gesicht, Name und Impfdaten korrekt sind, darfst du schwimmen gehen.

Das grosse Problem: Eine Sicherheitslösung ist nur so stark wie ihr schwächstes Element. Da die meisten Personen an Eingängen der Schweiz nicht ausgebildet sind, eine Identität zu verifizieren, klafft hier ein gigantisches Loch. Im Jargon heisst das «Die Verifikation ist schwach». Und selbst wenn die Menschen an der Tür ausgebildet sind; ihre Fehlerquote ist nach wie vor höher als wenn da eine Maschine arbeitet.

So, wie die Lösung dasteht, stellt der Bund ein state-of-the-art Zertifikat aus. Das Zertifikat ist nicht das Problem, denn das funktioniert. Das Problem ist die Identitätsprüfung durch den Cousin der Bademeisterin. Dies, obwohl wir auf dem Smartphone Bordmittel haben, die eine automatisierte biometrische Verifikation zulassen.

Der Blick auf den Hintergrund der App und des ganzen Systems zeigt dann auch, warum das so kompliziert ist. Vielleicht. Das Diagramm, das erklärt, was wo wie passiert, hat Schreibfehler, erfundene Wörter und undokumentierte Funktionen. Das Diagramm ist knapp verständlich.

Kurz: Es müsste doch eine bessere Lösung geben.

Was das Zertifikat speichert

Das Covid-Zertifikat speichert folgende deiner Daten:

• Name
• Vorname
• Name in computerlesbar → ä/ae, ü/ue, ö/oe, alles Grossbuchstaben
• Vorname in computerlesbar → ä/ae, ü/ue, ö/oe, alles Grossbuchstaben
• Daten zur Impfung

Der letzte Datensatz wird redundant gespeichert. Sowohl die Einträge unter «tg», «vp», «mp» und «ma» sind nichts weiter als verschieden formatierte Aussagen zum selben Impfstoff und zur selben Krankheit.

Die Komplexität eines «Ja»

Im Wesentlichen beantwortet das sogenannte Covid-Zertifikat eine Frage: Geimpft? Ja. Träger des Zertifikats sind offiziell bestätigt geimpft. In der Folge dieses Artikels verwende ich «Geimpfte» für all jene, die entweder zwei Injektionen hinter sich haben oder genesen sind.

Ein Zertifikat muss folgende Attribute haben, um alltagstauglich zu sein:

• Fälschungssicher: Du sollst nicht in der Lage sein, das Zertifikat deines Kollegen zu verwenden
• Eindeutig: Es muss dich zweifelsfrei identifizieren können
• Einfach: Die Identifizierung muss einfach und schnell machbar sein
• Günstig: Dir sollen im Idealfall keine Kosten oder wenn, dann nur ganz geringe Kosten entstehen

Dann kommt der Aspekt der Skalierbarkeit. In der Schweiz wohnen derzeit laut Bundesamt für Statistik 8 667 000 Menschen. In einer idealen Welt sind diese mehrheitlich innerhalb weniger Monate geimpft, minus die zu jungen und alle, die keine Lust auf Impfung haben. Alle diese Menschen hätten ein Anrecht auf so ein Zertifikat. Das muss zentral ausgestellt werden und kann nicht, wie bisher, auf kantonaler Ebene verwaltet werden. Wenn jetzt jede dieser Personen noch separat an einen Schalter gehen, einen Impfausweis vorlegen und dann warten muss, ist das administrativ ein beinahe unmöglich stemmbarer Aufwand.

«Mindestens 60 Prozent all dieser Menschen sollen in der Lage sein, das Zertifikat eigenständig zu erlangen», sagt Pascal Tavernier, Gründer der IT-Consulting-Firma Healthwyre. Seine Firma hat sich darauf spezialisiert, die Digitalisierung des Gesundheitssektors voranzutreiben.

Teil der Lösung ist dein Smartphone. Es kann Daten austauschen, Bilder schiessen und hat Sicherheitsmechanismen verbaut.

Konzept, nicht Technologie

Der Bund arbeitet fieberhaft am Zertifikat. Denn die Sommerferien rücken nahe und die NZZ beschwört die Vision des «Volkszorns» herauf, sollte das Zertifikat nicht breit ausgerollt sein, bis wir alle in die Badi wollen. Der Tages-Anzeiger meldet dazu: Das Zertifikat soll gestaffelt ausgerollt werden.

Doch bevor ein Smartphone einen QR-Code anzeigt, muss die Technologie für eine Datenbank mit knapp 8.7 Millionen Einträgen gefunden werden. Das Projekt wird Open Source sein. Ende Juni soll das Zertifikat parat sein.

«Es gibt diese technologische Lösung bereits in der Schweiz», sagt Pascal Tavernier. Er spricht davon, dass die Lösung bereits seit über 10 Jahren im Einsatz ist, international anerkannt ist und ohne Zusatzkosten erhältlich ist.

Pascal Tavernier glaubt, dass der biometrische Pass die Lösung für das Problem mit der Verifikation deiner Identität darstellt. Denn wenn du kein Smartphone mit NFC hast, dann kommt das rote Büchlein zum Zuge.

Kein Pass mehr ohne Chip

Der biometrische Pass, auch E-Pass oder Pass 10 genannt, ist seit dem 1. März 2010 im Einsatz. Ab diesem Zeitpunkt sind keine Pässe ohne Chip mehr ausgegeben worden. Da ein Pass eine Gültigkeit von 10 Jahren hat, heisst das, dass seit dem 1. März 2020 keine gültigen Schweizer Pässe mehr im Umlauf sind, die nicht biometrisch sind.

Auf deinem Pass sind Daten gespeichert, die offiziell anerkannt die zweifellose und eindeutige Identifizierung deiner Person zulassen.

• Hochauflösendes Foto
• Name
• Geburtsdatum
• Dokumentennummer

Ab hier wird es spannend, denn der biometrische Pass kann via einer sogenannten Chain of Trust zur Autorisierung einer digitalen Datenbank genutzt werden. Stellt sich jetzt die Frage «Welche Badi ist schon mit einem biometrischen Scanner wie am Flughafen ausgestattet?» Antwort: Keine, muss sie auch nicht. Das Smartphone reicht aus. Denn wenn die Biometriesysteme eines Phones gut genug für eBanking sind, dann sind sie sicher gut genug für die Badi.

1. Der ID-Leser vor Ort gleicht das Bild auf dem Pass mit dem Foto ab, das die Kamera vor Ort macht. Das kennst du vom Flughafen her.
2. Wenn die ID bestätigt wird, sprich der Eigentümer des Passes bestätigt ist, wird eine Verbindung zu einer Datenbank hergestellt.
3. Die Maschine vor Ort stellt die Frage: Geimpft?
4. Die Datenbank antwortet mit «Ja».
5. Die Türen zur Badi gehen auf.

Das geht super, wenn du einen Pass bei dir trägst, nicht aber mit der ID. Denn diese bleibt vorerst unbiometrisch.

Was dein Pass über dich weiss

Du kannst deinen eigenen Pass selbst auslesen. Denn die dem Pass zugrundeliegende Technologie ist dieselbe, die du für Apple Pay oder Google Pay verwendest. Diese Technologie heisst NFC.

Es spielt dabei keine Rolle, welche Nation ihn ausgestellt hat, da die Daten international standardisiert sind. Alles, was du dazu brauchst, ist eine App, die den biometrischen Standard der ICAO unterstützt. Zum Beispiel die App ReadID Me (Apple iOS und Android.

Wenn du die App benutzt, dann musst du zuerst beweisen, dass du physischen Zugriff auf die Daten auf dem Pass hast. Sprich: Du musst die Fotoseite des Passes fotografieren können. Dann gleicht die App die fotografierten Daten mit den ausgelesenen Daten ab. Wenn diese übereinstimmen, zeigt die App dir die Daten auf dem Pass an.

Geht auch mit Smartphone

Der Reisepass ist gross, klobig und meistens in der heimischen Schublade versorgt. Die ID ist nicht biometrisch. Dein Smartphone aber hast du immer dabei. Weit über 70 Prozent aller Smartphones sind NFC-fähig, was das Rechteck mit abgerundeten Ecken in deiner Hosentasche zum perfekten Identifikator macht. Die 70 Prozent reichen aus, um die 60 Prozent aller zertifizierten Personen oder mehr, die Pascals Lösung vorsieht, abgedeckt sind.

Auch hier kommt das Konzept der Chain of Trust zum Tragen. Dein Smartphone verfügt über ein recht gutes, recht ausgeklügeltes Sicherheitssystem. Dein iPhone erkennt dein Gesicht auch im Dunkeln, die Fingerprint-Sensoren der meisten Smartphones sind zuverlässig und schnell. Beide Authentifizerungsfaktoren sind gut genug, dass alle eBanking Apps dem einen und/oder dem anderen Faktor vertrauen.

Dein Fingerabdruck und deine Gesichtsdaten speichert dein Handy auf einer sicheren Enklave lokal. Apple oder Google wissen nicht, wie deine Finger aussehen oder dein Gesicht.

Die Authentifizierung per Smartphone sähe in der Praxis dann so aus:

1. Du stehst an der Badi an
2. Am Eingang zückst du dein Smartphone
3. Die Eingangskontrolle scannt den QR Code der App
4. Dein Phone fordert dich auf, deine Identität mit Selfie zu verifizieren
5. Das Selfie wird lokal mit den lokal gespeicherten Passdaten abgeglichen
6. Wenn das übereinstimmt, dann übermittelt dein Smartphone dem Server ein «OK»
7. Die Eingangskontrolle erhält vom Server das «OK»
8. Die Türe zur Badi geht auf

Das heisst nicht, dass biometrische Daten zentral abgelegt werden sollen. Bundesbern soll deine Fingerabdrücke nicht auf Vorrat haben, denn das wäre leicht undemokratisch. Die Lösung Pascals sieht vor, dass du einmalig auf dem Smartphone deinen Pass validierst – und die Kette des Vertrauens wird um ein Glied erweitert.

1. Du bekommst das Zertifikat ausgestellt
2. Du machst ein Selfie
3. Die App gleicht dein Selfie mit dem Bild auf dem Pass ab
4. Wenn das übereinstimmt, dann wird das Zertifikat in der App abgelegt

Dann kannst du den Pass zuhause lassen. Die Daten des Passes sind sicher auf dem Phone gespeichert. Die Eingangskontrolle vertraut deinem Smartphone. Die Chain of Trust sähe dann so aus: Eingangskontrolle → Smartphone mit Passdaten → Datenbank. Daten müssen nicht übermittelt werden, da die Verifikation auf deinem Smartphone abläuft. Die zusätzliche Verifikation mit «Zeig mir deine ID» entfällt völlig.

«Ja, aber Sie...» – Ausnahmen

Natürlich gibt es Ausnahmen. Nicht jeder hat einen Pass, denn dieser ist optional. Nicht jede will ein Smartphone mit NFC-Funktion und einige wollen gar kein Smartphone. Auch an dieses Szenario hat Pascal Tavernier gedacht. Denn wie jeder Prozess hat seine Idee auch Ausnahmen berücksichtigt. Genau deshalb ist es ihm wichtig, dass ein Grossteil der Menschen das Zertifikat alleine bestellen, installieren und verarbeiten kann.

Für die Minderheit, die zwar covid-sicher ist und sich dahingehend ausweisen will, sind die Passkontrollen da. Die Datenbank ist zentralisiert abgelegt, sprich: Du als Glarner kannst in Genf easy ein Papier holen, das es dir erlaubt, ans Servette-Spiel zu gehen.

Warum also macht der Bund sowas?

Pascals Lösung scheint durchdacht, schnell und praktikabel, sofern im Vorfeld juristische und datenschutzbezogene Fragen geklärt werden. Warum also macht der Bund etwas, das menschliche Fehler zulässt und die Warteschlangen vor der Badi ewig lang werden lässt?

Das Zertifikat muss innerhalb weniger Wochen fixfertig und möglichst skalierbar ausgerollt sein. Es muss kompatibel sein mit den Datenbanken der EU. Denn du willst in die Badi oder an den Strand in Mallorca.

Daher hat sich der Bund offensichtlich für eine «ausreichend sichere» Lösung entschieden, die für dich gratis ist. Ausnahmen werden vorerst nicht bedacht, die technologischen Möglichkeiten deines Smartphones auch nicht. Stattdessen wird auf die Kooperation und Geduld der Schweizerinnen und Schweizer gesetzt.

Sicherheitstechnisch sind da vom Schiff aus etwa drei Angriffspunkte, die ich ausprobieren würde und hoffentlich werde. Denn das Motto bei der Sicherheit scheint «secure enough» zu sein. Also «ausreichend sicher», nicht «bombensicher». Wenn da mal jemand durch schlüpft, dann ist das, so weit das die Dokumente vermuten lassen, okay. Wenn die Datenbank mal in die Knie geht, dann ist das akzeptiert. Diese Akzeptanz ist Teil eines jeden Development-Prozesses. In der Fachsprache sind das «accepted risks», die Ausnahmefälle als solche deklariert. Wenn diese unter einem gewissen Wert bleiben – zum Beispiel «einer in hundert schlüpft durch» –, dann ist das okay. Was bedeutet das? Musst du dir keine Sorgen zur Sicherheit machen? Natürlich musst du. Vor allem bei einer Lösung, die auf die Ehrlichkeit und Integrität der Menschen abzielt.

Vor allem aber: Das Zertifikat in seiner aktuellen Form muss nicht der Weisheit letzter Schluss sein. Wir erinnern uns an die Migros-Angestellten, die anfangs am Eingang und Ausgang einer jeden Filiale Menschen gezählt haben. Diese sind mittlerweile glücklicherweise durch ein Ampelsystem ersetzt worden.

Wallet-Integration und Biometrie können also noch kommen. Der Bund hatte vielleicht einfach keine Zeit, diese Lösung zu akzeptablen Konditionen zu implementieren.

Dominik Bärlocher

Senior Editor

dominik.baerlocher@digitecgalaxus.ch

Journalist. Autor. Hacker. Ich bin Geschichtenerzähler und suche Grenzen, Geheimnisse und Tabus. Ich dokumentiere die Welt, schwarz auf weiss. Nicht, weil ich kann, sondern weil ich nicht anders kann.

Folgen

---

Smartphone

Folge Themen und erhalte Updates zu deinen Interessen

Thema folgen

Diese Beiträge könnten dich auch interessieren