Was bringt der EU-Impfpass?

13.05.2021
Von 
Jürgen Hill ist Chefreporter Future Technologies bei der COMPUTERWOCHE. Thematisch befasst sich der studierte Diplom-Journalist und Informatiker derzeit mit aktuellen IT-Trendthemen wie KI, Quantencomputing, Digital Twins, IoT, Digitalisierung etc. Zudem verfügt er über einen langjährigen Background im Bereich Communications mit all seinen Facetten (TK, Mobile, LAN, WAN). 
Der EU-Impfpass soll europaweit für Nachvollziehbarkeit in Sachen Corona sorgen. Das müssen Sie wissen.
Da der gelbe Impfpass nicht fälschungssicher ist, plant die EU ein digitales Zertifikat, um Corona-Impfung, -Test oder überstandene Erkrankung nachweisen zu können.
Da der gelbe Impfpass nicht fälschungssicher ist, plant die EU ein digitales Zertifikat, um Corona-Impfung, -Test oder überstandene Erkrankung nachweisen zu können.
Foto: peterschreiber.media - shutterstock.com

Angesichts immer mehr Geimpfter, zahlreicher Testmöglichkeiten und einer nicht unbeträchtlichen Zahl an Menschen, die eine COVID-19-Erkrankung überstanden haben, soll in der EU Reisen wieder möglich sein. Entsprechende Nachweise sollen die EU-Mitgliedsstaaten künftig digital mit dem EU-Impfpass überprüfen können.

EU-Impfpass - Definition

Das häufig im Volksmund als Corona-EU-Impfpass bezeichnete Dokument ist im engeren Sinne eigentlich kein Impfpass, sondern ein digitales Zertifikat. Von der EU wird dieses offiziell als "Digital Green Certificate" bezeichnet. Das Zertifikat soll die Echtheit von Nachweisen über eine Coronaimpfung, einen negativen Test oder eine durchgemachte COVID-19-Erkrankung garantieren. Das Zertifikat gibt es digital - etwa für das Smartphone - oder gedruckt auf Papier als QR-Code.

EU-Impfausweis - Funktionsweise

Das Digital Green Certificate ist ein 2D-Barcode - empfohlen wird die Verwendung des Aztec Codes (ISO/IEC 24778) - der in gedruckter oder digitaler Form, etwa in einer App, vorliegt. Dabei sollen die Barcodes fälschungssicher sein. Das System zur Überprüfung der Barcodes basiert auf einer Public Key Infrastructure (PKI).

So könnte das Digital Green Certificate aussehen (im Bild Mock-ups der Papier- und Smartphone-Version).
So könnte das Digital Green Certificate aussehen (im Bild Mock-ups der Papier- und Smartphone-Version).
Foto: European Union

Beim Design dieser PKI im Rahmen des eHealth Network auf Basis des Trust Framework verfolgte die EU das Ziel, möglichst wenige zentrale Komponenten zu verwenden sowie möglichst keine Daten zentral zu speichern. Gleichzeitig soll aber die länderübergreifende Überprüfung der Zertifikate durch Behörden und autorisierte Stellen - das könnten etwa Airlines sein - der EU-Mitgliedsstaaten sichergestellt werden. Die Überprüfung erfolgt dabei mit einer Prüf-App.

Um die Sicherheit der Zertifikate zu gewährleisten, wird der Barcode bei seiner Erstellung digital mit einem Schlüssel des Herausgebers signiert. Herausgeber können etwa Impfzentren, Arztpraxen oder Testcenter sein. Die Herausgeber erhalten hierzu private Schlüssel, um die Zertifikate zu signieren. Die Liste der autorisierten Herausgeber sowie die Daten des Zertifikats werden lokal, regional, oder national in Datenbanken der EU-Mitgliedsstaaten gespeichert. Hierzulande arbeiten IBM, Ubrich, Gov.digital sowie Bechtle am Aufbau einer entsprechenden Plattform.

Die IT-Infrastruktur hinter dem Digital Green Certificate der EU.
Die IT-Infrastruktur hinter dem Digital Green Certificate der EU.
Foto: European Union Trust Framework

Die Mitgliedsstaaten melden wiederum die Schlüssel der gültigen Zertifikate an die EU, die hierzu ein Public Key Directory unterhält. Gleichzeitig wird sie ein zentrales Gateway unterhalten, über das die Mitgliedsstaaten auf das Directory zugreifen können. Diese Infrastruktur sollen die Telekom und SAP entwickeln.

Will nun etwa ein Grenzbeamter die Gültigkeit eines Zertifikats überprüfen, so scannt er den Barcode des Zertifikats. Den darin enthalten Kryptoschlüssel der elektronischen Signatur verifiziert die Prüf-App nun auf seine Gültigkeit. In der derzeit vorliegenden Version 1 des Trust Framework ist diese Überprüfung nur offline vorgesehen. Das heißt, die Prüf-App muss sich regelmäßig über das Gateway mit dem Key Directory synchronisieren. In einer späteren Ausbaustufe soll die Verifizierung auch online möglich sein.

Grundsätzlich sollen als Impfung nur die Impfstoffe anerkannt werden, die eine EU-weite Zulassung haben. Allerdings hat die EU-Kommission den Mitgliedsstaaten freigestellt, auch andere Impfstoffe zu akzeptieren. Als Testnachweise sollen NAAT/RT-PCR-Test sowie Rapid Antigen Tests anerkannt werden. Selbsttests sind ausgeschlossen.

EU-Impfpass - persönliche Daten

Die Zertifikate enthalten eine begrenzte Anzahl von Informationen wie Name, Geburtsdatum, Ausstellungsdatum sowie relevante Informationen zu Impfstoff, Test oder überstandene COVID-19-Erkrankung. Ferner enthält das Zertifikat eine eindeutige Kennung. Diese Daten werden jedoch nach Angaben der EU nicht zentral gespeichert und können nur überprüft werden, um die Authentizität und Gültigkeit eines Zertifikats zu bestätigen.

Nutzung des Digital Green Certificate in der Praxis.
Nutzung des Digital Green Certificate in der Praxis.
Foto: European Union

EU-Impfausweis - Bezugsquellen und Geltungsbereich

Das Digital Green Certificate soll direkt von den Impfstellen - also Impfzentren, impfende Ärzte - nach der vollständigen Schutzimpfung ausgestellt werden sowie von Teststellen nach einem negativen Coronatest. Bereits früher Geimpfte sollen das Zertifikat gegen Vorlage des gelben Impfpasses bei Ärzten und Impfzentren erhalten. Hierzulande wird zudem diskutiert, ob die Aufgabe auch Apotheken übernehmen.

Im Rahmen des Programms "Re-open EU" soll das digitale Zertifikat das Reisen zwischen den EU-Mitgliedsstaaten vereinfachen. Inwieweit das Zertifikat darüber hinaus auch von anderen - etwa Barbesitzern, Restaurants etc. - genutzt werden kann, ist derzeit noch offen, denn die EU hat noch nicht abschließend geklärt, wer nun wirklich Zugriff auf die Prüf-App erhält. Sollte die EU dies sehr restriktiv handhaben, benötigen die Reisenden noch zusätzlich die Apps des jeweiligen Landes, um ihren Status nachzuweisen.

So könnte das Digital Green Certificate der EU auf einem Smartphone aussehen, wenn es beim Reisen genutzt wird.
So könnte das Digital Green Certificate der EU auf einem Smartphone aussehen, wenn es beim Reisen genutzt wird.
Foto: turkfotograf - shutterstock.com

Das Zertifikat erhalten EU-Bürger und ihre Familienangehörigen unabhängig von ihrer Nationalität. Ferner soll esauch für Nicht-EU-Bürger mit Wohnsitz in der EU sowie für Besucher ausgestellt werden, die das Recht haben, in andere Mitgliedsstaaten zu reisen. Nach Informationen der EU-Kommission gilt das Digital Green Certificate-Zertifikat in allen EU-Mitgliedstaaten. Ferner gilt es sowohl für Island, Liechtenstein, Norwegen als auch für die Schweiz.

Das EU-Zertifikat soll nur solange gelten, bis die WHO die Corona-Pandemielage für beendet erklärt. Es löst also nicht den gelben Impfpass ab.
Das EU-Zertifikat soll nur solange gelten, bis die WHO die Corona-Pandemielage für beendet erklärt. Es löst also nicht den gelben Impfpass ab.
Foto: Marco Ritzki - shutterstock.com

Das System des Digital Green Certificate ist nur für eine begrenzte Zeit angelegt. Es ersetzt also nicht den klassischen gelben Impfpass aus Papier. Seitens der EU heißt es offiziell, dass man das System so lange betreiben wolle, bis die WHO die Corona-Pandemielage offiziell für beendet erklärt. Allerdings behält sich die EU vor, das System bei einem Auffrischen der Pandemie wieder zu aktivieren. Für Inhaber eines Zertifikats, das eine durchgemachte COVID-19-Erkrankung bestätigt, gilt noch eine Besonderheit: Diese Zertifikate gelten maximal 180 Tage.

EU-Impfpass - Sicherheit

Während die EU die Sicherheit des Digital Green Certificate in den höchsten Tönen lobt, sehen Kritiker zwei immanente Schwachstellen. So kritisieren sie, dass das Zertifikat nachträglich nur gegen Vorlage des gelben Impfpasses an verschiedenen Stellen erhältlich sei, die kaum die Echtheit des Nachweises wirklich überprüfen könnten. Damit sei dem Betrug Tür und Tor geöffnet, zumal wohl im Internet schon ein schwunghafter Handel mit gefälschten Impfpässen im Gange sei. Um dies zu unterbinden, so die Forderung der Kritiker, dürften die Zertifikate nur direkt von der damals impfenden Stelle ausgegeben werden, da in der Regel nur dieser die Daten zu Person und Impfvorgang nachprüfbar vorlägen.

Der zweite Kritikpunkt gilt der Sicherheit der Schlüssel, mit denen Impfzentren und Ärzte das Zertifikat signieren. Kritiker befürchten, dass Betrüger und Kriminelle hier Zugriff auf die geheimen Schlüssel erhalten könnten, um eigene Zertifikate auszustellen, wenn die die IT-Systeme dieser Institutionen nicht absolut sicher geschützt sind.