„Einfach. Sicher. Papierlos.“ – Wie der digitale Impfnachweis an seinen eigenen Versprechen scheitert

smartphone-6331225_1920

Ein Kommentar von Dr. Christian Schläger, CEO von Build38

Deutschland sehnt sich nach einer Wiedereröffnung, das ist spürbar und auch verständlich. Der digitale Impfnachweis soll diesen Bestrebungen zum Durchbruch verhelfen und mutet sich dabei viel – womöglich zu viel – in sehr kurzer Zeit zu. Die CovPass-App soll einen verlässlichen Nachweis für Geimpfte liefern und gleichzeitig Kontakte nachverfolgen.

Die Kombination von stark personalisierten Informationen wie einem Impfnachweis und anonymen Tracking von Begegnungen ist jedoch bereits von der Konzeption her zum Scheitern verurteilt. Hier wird nämlich versucht zwei grundlegende und konträre Anforderungen in einem Medium zu vereinen. Gemäß RKI Datenschutzerklärung werden personenbezogene Daten nur pseudonymisiert erhoben und nach spätestens 30 Tagen gelöscht beziehungsweise von neuen Daten ersetzt. Dieses Vorgehen, das ein zentrales Argument für die Vertrauensstellung der App ist, wird nun konterkariert.
Hinzu kommen Probleme bei der Authentizität der hochgeladenen Impfnachweise. Die Tatsache, dass in der Corona Warn App jedes beliebige Impfzertifikat abgelegt werden kann und bereits aktiv Betrug mit Zertifikaten anderer Personen geschieht war angesichts der unausgegorenen Validitätsüberprüfungen vorhersehbar. Die Aufgabe, Identität und Nachweis zusammen zu führen muss in der Warn-App durch eine kontrollierende Person erfolgen – also im Vergleich angezeigter Name und Personalausweis. Das ist fehlerbehaftet und verlagert die Verantwortung von der App wieder auf ohnehin belastete Menschen an Kassen, Restauranttischen, Einlassschranken und Theatertüren.

Die Corona-Warn-App darf nicht zum Auffangbehälter aller möglichen App-Funktionen werden, nur weil diese einen vermeintlichen Zusatznutzen bieten. Sie sollte sich auf ihre Kernfunktion beschränken, um möglichst wenig Angriffsoberfläche für Missbrauch zu bieten und Datensicherheit garantieren zu können. Denn sichere Datenverarbeitung bedeutet auch, dass man das richtige Vehikel für die Nutzerprozesse und Daten wählt.

Damit der digitale Impfnachweis nicht mehr Schaden anrichtet, als er Nutzen bietet, ist ein zuverlässiger Schutz des hochgeladenen Zertifikats genauso entscheidend wie die Datensicherheit der Identität von Nutzer, ausstellender Behörde, des verwendeten Gerätes sowie die Sicherstellung der Integrität der App selbst.

Performante Technologien – auch Made in Germany – gibt es bereits auf dem Markt. Diese sind getestet und bereits seit Jahren erfolgreich im Einsatz. Warum ist also das Konsortium um Telekom und SAP dazu geneigt, alles neu (und eventuell fehlerhaft) zu entwickeln, sowie zusätzliche Funktionen ohne Respekt vor der passenden Softwarearchitektur zu bauen? Eine mögliche Erklärung hierfür ist das Bestreben, zusätzliche Entwicklungsaufwände zu produzieren und abrechnen zu können. Das ist kurzsichtig, unökonomisch und benachteiligt die jungen Firmen in Deutschland, die bereits erprobte SaaS Lösungen im Angebot haben. Das Interesse und die Bereitschaft deutscher Start-Ups, optimierte Lösungen zu entwickeln und anzubieten war bereits vor der Pandemie vorhanden und ist an den neuen Herausforderungen nur noch weiter gewachsen. Es wird Zeit, der Innovationskraft der einheimischen Tech-Branche zu vertrauen, anstatt sich auf die unrealistischen Versprechen der Tech-Giganten zu verlassen.