Coronavirus: Apotheken stellen ab 14. Juni digitale Impfnachweise aus
Schon in der kommenden Woche wollen zahlreiche Apotheken in Deutschland digitale Impfnachweise ausstellen. Auf dem Portal mein-apothekenmanager.de(öffnet im neuen Fenster) könnten gegen Covid19 geimpfte Personen bundesweit Apotheken in ihrer Nähe finden, die digitale Impfnachweise kostenlos ausstellten, teilte die Bundesvereinigung Deutscher Apothekerverbände (ABDA) am Dienstag mit(öffnet im neuen Fenster) . Der Service soll am 14. Juni 2021 starten.
Neben den Apotheken sollen auch Impfzentren und Ärzte die digitalen Nachweise in Form eines QR-Codes ausstellen. Möglicherweise erhalten geimpfte Personen den Code nachträglich per Post zugeschickt . Für Nutzer soll eine sogenannte Covpass-App zur Verfügung gestellt werden, um den QR-Code in das Smartphone einzulesen. Wann diese veröffentlicht wird, ist unklar.
Das Bundesgesundheitsministerium hat bislang keine Anfragen zum digitalen Impfnachweis und dessen Kryptokonzept beantwortet. Die beteiligten Firmen wie IBM und Ubirch sind zum Schweigen verpflichtet.
Apotheken müssen sich der Mitteilung zufolge auf dem Verbändeportal des Deutschen Apothekerverbandes (DAV) anmelden und registrieren. Das soll vom 9. Juni an möglich sein. Das Verbändeportal sei für den Service an den zentralen Server des vom Bundesministerium für Gesundheit beauftragten Dienstleisters IBM angebunden.
18 Euro Vergütung pro Zertifikat
"In den ersten Tagen wird die Zahl der Apotheken, die das Angebot machen, wahrscheinlich noch begrenzt sein. Wir gehen aber davon aus, dass die Zahl der Apotheken sehr schnell im vierstelligen Bereich liegt" , sagte DAV-Vorsitzender Thomas Dittrich. Der Meldung zufolge sind bereits mehr als 17 Millionen Menschen in Deutschland vollständig geimpft und können den digitalen Impfnachweis nachfragen.
Nach Paragraf 22, Absatz 5 des Infektionsschutzgesetzes (PDF)(öffnet im neuen Fenster) darf jeder Arzt oder Apotheker ein digitales Impfzertifikat ausstellen. Laut Paragraf 9 der aktuellen Coronavirus-Impfverordnung (PDF)(öffnet im neuen Fenster) erhält eine Apotheke für jedes Zertifikat eine Vergütung in Höhe von 18 Euro. Dazu erhalten die Geimpften einen QR-Code, der als Nachweis dient und dann auch in die Covpass-App geladen werden kann.
"Diese nachträgliche Ausstellung eines Impfzertifikates erfordert besondere Sorgfalt auf Seiten der ausstellenden Apotheke, um das tatsächliche Vorliegen einer vorgenommenen Impfung ausreichend zu plausibilisieren und Missbrauch des Impfzertifikates zu verhindern" , heißt es in der Begründung der Verordnung. Der Chaos Computer Club (CCC) warnte bereits vor den Gefahren digitaler Impfnachweise, weil sich die gelben Impfpässe leicht fälschen ließen .
Doch wie wollen Deutschland und die EU sicherstellen, dass die digitalen Nachweise für geimpfte, getestete und genesene Personen in der Coronavirus-Pandemie nicht gefälscht werden können?
CBOR-Webtoken als QR-Code
Die technischen Dienstleister wie IBM, Ubirch und Bechtle in Deutschland setzen dabei auf traditionelle kryptografische Verfahren, um Integrität und Authentizität der Daten sicherzustellen. Anders als ursprünglich geplant, wurde dabei auf die Blockchain-Technik verzichtet.
Dabei dürfte auch eine Rolle gespielt haben, dass der digitale Impfnachweis in allen EU-Ländern funktionieren muss. Das heißt: Die Verfahren zur Generierung und Überprüfung der Nachweise sollten in allen Mitgliedstaaten einfach implementiert werden können. Zudem sollten die Nachweise untereinander kompatibel sein. Daher wurde auf bewährte Verfahren wie eine Public-Key-Infrastruktur zurückgegriffen.
Öffentliche Schlüssel auf zentralen Servern verfügbar
Diese setzt auf ein asymmetrisches Verfahren zur Schlüsselgenerierung. Die von der EU vorgegebenen Datenfelder(öffnet im neuen Fenster) wie Name, Vorname, Geburtsdatum, Impfstoff, Hersteller und Ablaufdatum werden zunächst gehasht. Dieser Wert wird mit dem privaten Schlüssel des Ausstellers in eine Signatur umgewandelt. Zu den Ausstellern gehören Impfzentren, Arztpraxen oder Apotheken.
Der öffentliche Schlüssel wird auf Server in Deutschland und ein europäisches Gateway in Luxemburg hochgeladen. Das Gateway wurde bereits in Betrieb genommen . Die Datenfelder werden ebenso wie die Signatur in ein CBOR-Webtoken (CWT)(öffnet im neuen Fenster) umgewandelt. Dieser Datensatz wird in einen QR-Code gepackt, der ausgedruckt und dann von der eigentlichen Covpass-App eingelesen werden kann. Die Corona-Warn-App soll künftig ebenfalls den QR-Code einlesen und anzeigen können.
Personalausweis erforderlich
Dieser QR-Code kann auch von der Prüf-App gelesen werden. Die Daten sind digital signiert. Die App lädt regelmäßig alle öffentlichen Schlüssel herunter und prüft die digitale Signatur der im QR-Code gespeicherten Daten. Dabei wird nicht unterschieden, ob es sich um eine Impfung, einen negativen Test oder die Bestätigung einer überstandenen Infektion handelt.
Die in der Prüf-App angezeigten persönlichen Daten müssen allerdings anhand eines Personalausweises oder Reisepasses überprüft werden. Jede Covpass-App kann mehrere Impfnachweise einscannen. So können Eltern die Zertifikate ihrer Kinder vorzeigen. Die Prüfapp soll nicht in der Lage sein, die Daten der überprüften Personen zu speichern.
Erste Dokumente online
Die Entwickler haben erste Dokumente zum deutschen digitalen Impfnachweis bereits auf Github hochgeladen(öffnet im neuen Fenster) . Auf Pathcheck.org(öffnet im neuen Fenster) gibt es ebenfalls die Möglichkeit, testweise solche Zertifikate zu generieren. Dort ist es auch möglich, die Daten des Webtokens zu dekodieren(öffnet im neuen Fenster) .