Digitale Impfausweise

1374 führte Venedig einen Pestbrief ein. Wer diesen Schein vorzeigte, entging einer 30-tägigen Absonderung und durfte direkt in die Stadt einreisen. Später wurde diese Frist auf 40 Tage erhöht, aus dem „quaranta giorni“ entstand das Wort Quarantäne.

Zusammen mit anderen Lösungen für real existierende Probleme des internationalen Reisen entstand aus dem Pestbrief später der Reisepass. Je mehr sich ändert, desto mehr bleibt gleich.

Mit dem Beginn der Massenimpfungen gibt es nun an vielen Orten auch öffentlich ausgetragene Debatten darüber, ob, wofür und wie Ausweisdokumente für Geimpfte, Gesunde, Geheilte oder sonstwie abgrenzbare Gruppen ausgestellt werden, die dann zu irgendeiner bestimmten andersartigen Behandlung führen sollen.

Ganz vorne mit dabei mitmischen will der Landkreis Altötting, der dort Geimpften Karte mit rückseitigem QR-Code aushändigt. Technischer Dienstleister für diesen QR-Code ist Ubirch, die auch das URL-Ziel des QR-Codes sind:

Bild

In der URL enthalten sind eine Reihe von Angaben https://verification.dev.ubirch.com/v/gd-vcc/#f=Musterfrau;g=Erika;i=Alt%C3%B6tting;r=BioNTech%20%2F%20Pfizer%20Corminaty%C2%AE;b=19640812;d=20210121,20210121;t=vaccination;p=T22000129;s=y0wd7tjr3y

f = Nachname (Musterfrau)
g = Vorname (Erika)
i = Impfzentrum (Altötting)
r = Name des Imfpstoffes (BioNTech / Pfizer Corminaty®)
b = Geburtsdatum YYYYMMDD (12. August 1964)
d = Datum der ersten und der zweiten Impfung (14. Januar bzw. 21. Januar 2021)
t = offenbar Typ des Nachweises (Impfung)
p = offenbar ein Ausstelldatum
s = offenbar eine Art von Prüfsumme

Auf twitter hatte ich einen kurzen, freundlichen aber wenig ergiebigen Austausch mit einigen Leuten von Ubirch zu einigen Aspekten, die weniger technischer, sonder eher konzeptioneller Natur sind: Was soll mit diesem Ausweis eigentlich bezweckt werden?

An dieser Stelle sind die Mitarbeiter ebenso wie Hilfeseite von Ubirch letztlich sehr ehrlich: Dieser Ausweis kann derzeit gar nichts.

Darüber hinaus: Wenn es jemals einen Anwendungsfall für einen digitalen Impfausweis mit dazugehörigen Privilegien geben sollte (Erlaubnis zum Fliegen, Kinobesuch, Einkaufen in Geschäften), ist es unrealistisch, dass dieser Ausweis dann zu denen gehören wird, die zumindest öffentlich als Ausweise akzeptiert werden. Was im rein Privaten erfolgen wird, kann einmal dahinstehen. Wenn dieser Ausweis einen Nutzen haben sollte, ist es gerade nicht der digitale Teil, sondern die reguläre Vorderseite, die so fälschungssicher oder fälschungsunsicher ist wie jede andere Plastik-Karte mit der ohne Laminat.

Was bei Ubirchs Lösungsversuch (und vermutlich auch bei vielen anderen Angeboten) ungelöst scheint, ist das Vertrauensproblem: Ein QR-Code verweist auf eine Webseite unter der Kontrolle einer Firma (Ubirch), die mir grün oder rot sagt, ob ein Ausweis eine bestimmte Gültigkeit haben soll. Woraus erwächst das Vertrauen in diese Seite? Woraus lässt sich für Anwender*innen ableiten, dass das Ziel überhaupt diese Seite sein muss und nicht eine andere Seite? Noch bevor man zu spezifischen Problemen bei der angebotenen Blockchain-Funktion kommt, kollabiert bereits die Vertrauenskette.

Vertrauenskette bedeutet, dass irgendeine der anwendenden Personen später erkennen kann, dass

Bild

zwar ein valides Ergebnis (z.B. ein grünes Häkchen) liefert, aber dieses Ergebnis sich schlichtweg nicht auf eine reale Person oder zumindest auf ein reales Impfereignis bezieht.

In keinem Fall ist damit überhaupt die Frage nach dem Nutzen beantwortet: Wozu überhaupt ist ein digitaler Ausweis (zusätzlich zu einem analogen) nötig, wenn es ausschließlich um Privilegien geht, die in der physischen Welt zum Tragen kommen?

Im direkten Vergleich fehlt es bis heute an einem Einsatzweck, den Prestbrief Venedigs von 1374 nicht auch genauso gut gelöst hätte.

Veröffentlicht am
Kategorisiert in Allgemein

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.