An ITler: Automatischer Abgleich von Impfnachweis und Personalausweis

Ich weiß, Deutschland ist in Bezug auf die Digitalisierung ein Jammertal. Aber dennoch würde ich gerne wissen:

Wenn es demnächst möglich ist, seinen Personalausweis auf dem Smartphone zu hinterlegen (Stichwort ID Wallet): Wäre es dann nicht möglich, dass Apps wie Corona Warn App, CovPass oder Luca den hinterlegten Impfnachweis mit dem Personalausweis abgleicht und die Übereinstimmung bestätigt?

Das würde die Einfachheit bei der Kontrolle so was von erleichtern. Denkwürdig wären sogar eine Fastlane mit Scanner. Dort kommt nur rein, wer ein gültiges Impfzertifikat hat, dass mit seinem Perso übereinstimmt.

Ja, ich weiß: Geht nur mit den moderneren Smartphones, Menschen ohne Smartphone wären benachteiligt, Aufschrei Datenschutz, etc. Das sind die üblichen Todschlag-Argumente, die einer der Gründe sind, warum Deutschland in Bezug auf Digitalisierung ein Jammer-Tal ist.

2 „Gefällt mir“

Es wird auf jeden Fall bald eine Schnittstelle geben, die es ermöglicht, dass andere Apps die CWA nutzen, um darin lokal Zertifikate mit vorgegebenen Regeln abzugleichen. Ob das mit dem digitalen Perso über das gescheiterte IDWallet auch gehen wird, naja da bin ich skeptisch, auch bezüglich der Sinnhaftigkeit.

Da die Prüfung lokal erfolgen könnte, hätte ich nicht mal datenschutzrechtliche Bedenken.

wäre sie vollkommen sinnlos.
Wie schützt du dich vor Fake-Apps oder davor, dass ich ein fremdes Telefon in der Hand halte?

1 „Gefällt mir“

Das Konzept bei einer Ticketbuchung sieht ganz grob so aus, am Beispiel einer Flugticket-Buchung:

  1. Lufthansa-App weiß, dass auf dem gewünschten Flug 2G gilt. Möglichkeit im Buchungsprozess, den eigenen Status direkt nachzuweisen statt erst am Flughafen
  2. Weiterleitung in die CWA, Lufthansa-App übergibt die Information „Geimpft oder Genesen, Person Max Mustermann Geburtsdatum 24.12.1990“
  3. CWA schaut lokal, ob für betreffende Person ein Zertifikat existiert. Wenn ja, wird geprüft, ob es die von der Lufthansa-App gewünschten Voraussetzungen erfüllt
  4. CWA übergibt an Lufthansa-App die Information „Alles ok“
  5. Ticket wird ausgestellt, am Flughafen muss nunmehr lediglich Ticket geprüft werden, nicht mehr der Status

Klar kannst du auch in dem Fall das Zertifikat einer anderen Person nutzen. Das bringt dir in der Buchung aber nur was, wenn du dann auch für diese Person buchst. Und dann scheiterst du halt spätestens am Flughafen, weil du kein Ticket auf deinen Namen hast.

Wo du natürlich Recht hast: für den ganz oben beschriebenen Fall mit Perso bringt das alles nichts. Aber das ist mMn aus diversen anderen Gründen bereits nicht sinnvoll.

… und die wären? Genau das hätte mich interessiert

Das Problem beim Prüfen von Impf-Zertifikaten ist doch, dass ich mich überzeugen muss, dass die Person vor mir ihr eigenes gültiges Zertifikat zeigt. D.h. ich muss ein Ausweisbild sehen.
Das könnte theoretisch automagisch von einer Perso-App in die Corona-App eingeblendet werden, aber das ist natürlich vergleichsweise simpel fälschbar, mindestens auf Android-Telefonen, wo niemand den Daumen drauf hat, was ich installieren darf.

Aber ich glaube, es ist leichter, durchzudrücken, dass Leute halt auch wirklich einen Bild-Ausweis mitprüfen müssen, als noch ein Softwareprojekt zu machen. Bis das nutzbar ist, ist Sommer.

1 „Gefällt mir“

Kann dir vermutlich keiner so direkt sagen, da zumindest mir die Schnittstellenspezifikationen usw. seitens „ID-Wallet“ nicht bekannt sind. Grundsätzlich würde ich aber erwarten, dass genau für solche Anwendungen eine API bereitgestellt wird, dann wäre so etwas denkbar.

Allerdings wäre das auch nur dann im konkreten Anwendungsfall hilfreich, wenn dann die CovPass gleichzeitig zusammen mit der Validierung des Impfnachweises gegen ID-Wallet auch das Passfoto anzeigt, da ansonsten die Validierung keinen Mehrwert bringt (Die Datenquelle wären in beidem Fall ja auf dem Handy des Vorzeigenden).

Es gäbe auch andere Lösungsdesigns (z. B. mit cloudbasierter Validierung) - alles im allem aber keine Frage, die man so einfach beantworten kann. Gerade auf Grund der Datenschutzvorschriften in Deutschland.

1 „Gefällt mir“

Dein Vorschlag läuft darauf hinaus, dass sich die App quasi selbst kontrolliert. Eine App auf einem Smartphone ist aber nicht vertrauenswürdig. Jeder kann sie nach Belieben modifizieren.

Der einzig sichere Weg ist, dass der Abgleich mit dem Personalausweis von der kontrollierenden Instanz gemacht wird - die natürlich von der zu kontrollierenden Instanz getrennt sein muss.

Denkbar wäre allenfalls, dass der QR-Code der App automatisch auf dem Kontrollgerät auch den Perso anzeigt. Abgesehen von datenschutzrechtlichen Bedenken und technischen Schwierigkeiten müsste man dann aber noch garantieren, dass dieser Perso nicht gefälscht ist. Das wiederum wäre ggf. wieder mit Signaturen und einer PKI machbar, aber das erfordert wieder einiges an Aufwand.

Ich sehe darin einen Haufen Arbeit und keinen Vorteil gegenüber der Variante, dass man sich den Perso vorzeigen lässt. Das Problem ist hier kein technisches, sondern hat damit zu tun, dass die Kontrollinstanzen nicht ordentlich kontrollieren. Das funktioniert übrigens in manchen anderen Ländern deutlich besser (beispielsweise Griechenland, wo der Code immer gescannt wird, und auch schätzungsweise min. in der Hälfte der Fälle nach dem Perso gefragt wird).

2 „Gefällt mir“

Ein paar Dinge hatte @anon65531953 ja bereits ausgeführt, denen ich auch zustimme. Eine sehr gute Zusammenfassung der technischen wie auch konzeptionellen Probleme der IDWallet-App bietet folgender Artikel:

Zusammengefasst: technisch ist die IDWallet-App inkl. Infrastruktur ziemlich kaputt. Konzeptionell ist der Einsatz vor allem da sinnvoll, wo ich mich in einem digitalen Prozess ausweisen muss.

Und dann muss man sich halt bei solchen Dingen immer die Frage stellen: welches Problem wird damit gelöst und ist es wirklich die beste Methode, dieses Problem zu lösen.

Ich sehe aktuell, genau wie @anon65531953, noch nicht den Vorteil einer digitalen Ausweis-App gegenüber einem analogen Ausweis. Das Problem bei den Zertifikats-Kontrollen ist ja aktuell größtenteils, dass gar keine Ausweise kontrolliert werden. Daran ändert auch eine Verknüpfung mit der IDWallet-App nichts. Denn auch hier müsste dann ja noch der digitale Ausweis kontrolliert werden, was eine Verknüpfung zwischen IDWallet <> CWA hinfällig macht.

Vielleicht fehlt mir auch die Kreativität, einen Usecase zu finden, in dem das tatsächlich sinnvoll ist und ein existierendes Problem bestmöglich löst. Freue mich daher über Anmerkungen.

Siehe mein Einleitungspost zu diesem Thread: Dann könnte bei der Kontrolle mit einem Rutsch mittels der CovPassCheck App (1) die Validität des Impfnachweises und (2) die Übereinstimmung mit dem Personalausweis validiert werden.

Was damit nicht kontrolliert wird:

  1. War die Grundlage des validen Impfnachweis (gelber Impfausweis) gefälscht? Das Kind ist erst mal in den Brunnen gefallen!
  2. Hat der, der sich mir hier ausweist, den Personalausweis eines anderen hinterlegt. Dafür wäre tatsächlich das Lichtbild erforderlich. Das könnte man hin und wieder stichprobenartig mittels des „analogen“ Personalausweises kontrollieren.

Ich hatte das so verstanden, dass die Anwendung der CovPassCheck App genau das verhindert / erkennt.

2G oder 3G macht nur sinn, wenn diese Beschränkung auch befolgt wird und das wird sie nur, wenn sie kontrolliert wird. Bei der heute sehr weit verbreiteten Kontrolle ist eine Umgehung der Kontrolle kinderleicht. Bietet man eine digitale Lösung einer „Kontrolle per Scan“ an, ist dies so komfortabel und schnell, dass sie (1) eher, d.h. vermehrt angewendet wird und (2) Umgehungen schwerer werden.

Ich fürchte, so was wie 2G und 3G wird uns noch lange begleiten. Daher sollte man schon darüber nachdenken, ob man eine solche Infrastruktur nicht umgesetzt.

Wenn es demnächst möglich ist, seinen Personalausweis auf dem Smartphone zu hinterlegen (Stichwort ID Wallet):

Ich hoffe, das passiert so schnell nicht. Wenn man mal etwas bei LNP zum Thema ID Wallet mithört…

Nein, das tut sie nicht.
Die App kann nur einen QR-Code auslesen. Auf diesem ist der Impfstatus einer Person hinterlegt und eine digitale Signatur einer vertrauenswürdigen Signaturstelle, sodass man weiß, dass dieser Impfstatus nicht gefälscht ist.

Ob die App, die diesen QR-Code anzeigt, auch die richtige CWA ist oder irgendwas selbst zusammengebasteltes ist, ist a) nicht durch die CovPassCheck überprüfbar und b) auch überhaupt nicht notwendig.

Dass ich die Integrität einer App auf einem fremden Smartphone nicht einfach so verifizieren kann hat etwas damit zu tun, dass Smartphones keine trusted-computing-Umgebungen sind (auch wenn Apple und Google häufiger so tun). Zumindest auf Android lassen sich alle Betriebssystemkontrollen umgehen, wenn man Zugriff auf das Gerät hat. Das mag in der Praxis zwar komplizierter sein, aber es reicht ja, wenn eine Person herausfindet, wie das geht und das Wissen dann an alle verteilt, die Interesse haben, eine solche Kontrolle zu fälschen.

Also nein, das was du dir vorstellst, geht allein schon aus theoretischen Gründen nicht.

~~

Ich möchte übrigens noch einmal der These im Eingangspost vehement widersprechen, dass Datenschutz der Grund sei, wieso Deutschland in Sachen Digitalisierung hinterherhinkt.

Das Problem ist hier eher ein Mangel an Investitionen und an Kompetenz, sowie vermutlich an manchen Stellen auch ein gewisses Level an Korruption.

Digitalisierung geht auch mit Datenschutz. Natürlich muss man an manchen Stellen abwägen, was wie schützenswert ist und welche anderen Interessen dem gegenüberstehen. In der Regel scheitern Projekte aber schon viel früher an ganz anderer Stelle.

Hinzu kommt, dass „Digitalisierung“ eben nicht bedeutet, dass alles vollautomatisch funktionieren soll. Die gesonderte Kontrolle des Persos ist ein Feature, nicht ein Bug, und hier sollte man lieber bei der menschlichen Seite ansetzen, nicht bei der technischen. Wie gesagt, in anderen Ländern klappt es ja auch.

2 „Gefällt mir“

Ich würde gerne versuchen die Idee in ein Konzept zu gießen um die Anforderungen darzustellen. Mein Ziel ist es zu zeigen worüber wir eigentlich reden wollen.

Ich treffe folgenden Annahmen:

  1. Es gibt eine Möglichkeit ein gültiges Impfzertifikat auf dem Smartphone zu hinterlegen. Die Rechtmässigkeit des Erwerbs ist nicht Teil des folgenden Konzepts. Das Zertifikat ist gültig.
  2. Es besteht die Möglichkeit einen gültigen Personalausweis auf dem Ausweis zu hinterlegen. Die App ist an der Stelle erstmal vertrauenswürdig und valide. Ich meine explizit nicht IDWallet.

Ziel der Umsetzung:
Ein Abgleich bei einer Zugangskontrolle wo zwei Dinge geprüft werden:

  1. Ist die Person im Besitz eines gültigen Impfzertifikates.
  2. Ist die Person die Person auf die das Zertifikat ausgestellt wurde. Dies wird durch den Personalausweis sichergestellt.

Wie erfolgt der Abgleich:
Es existiert ein Prüfer, der auf der einen Seite die Gültigkeit des Zertifikates prüfen muss. Es erfolgt ein Abgleich dem auf dem Zertifikat eingetragenen Tripel {Vorname; Nachname;Geburtstag} dem dem gleichartigen Tripel aus dem Personalausweis. Auf dem Perso ist eine untrennbare Verbindung mit dem Tripel und dem Lichtbild dargestellt. Das Lichtbild wird dann mit dem Gesicht der Person angeglichen. Alternativ kann auch ein Abgleich über andere biometrische Daten erfolgen (z.B. Fingerabdruck).
Für den Fall das jemand hier einwenden möchte, das der Abgleich mit dem Bild eh nicht gemacht wird, möchte ich hier schonmal entgegnen, das das gar nicht Teil des Themas ist. Es soll ja eigentlich der Abbgleich erfolgen.
Die Prüfkette ist: Impfstatus :left_right_arrow: {Vorname; Nachname;Geburtstag} Zert :left_right_arrow: {Vorname; Nachname;Geburtstag} Perso :left_right_arrow: Foto :left_right_arrow: Gesicht

Problem:
Dem Smartphone des Zertifikathalters wird nicht vertraut. Es muss sichergestellt werden, das die Person die das Smartphone besitzt auch die Perso ist, der das Handy gehört. Dies ist der eintscheidene Unterschied zu einer einfachen Ticketabfertigung. Der Lufthansa ist das nur begrenzt wichtig das die richtige Person da ist, weil da der Personenabgleich durch die BuPo passiert.

Lösungsansatz:
Es werden zwei Datenblöcke gebildet. Einer aus der Zertifikatsapp und eines aus der Persoapp.
Das Smartphone überträgt diese Blöcke.
Der Block aus der Persoapp enthält folgende Daten: Tripel und Foto (alternativ zum Foto auch andere biometrische Daten)
Der Block aus der Zertifikatsapp enthält folgende Daten: Tripel und Impfstatus (Halt das was es jetzt bereits überträgt)
Der Prüfer gleicht die Daten gegeneinander ab und nimmt einen visuellen Abgleich mit dem Foto vor. Oder alternativ einen Fingerabbdruck.
Der Prüfer muss eine Gesichtserkennung beinhalten, ob nun automagisch oder mit Hilfe einer Person.

1 „Gefällt mir“

Mir ist gerade nochmal ein zweiter Lösungsansatz gekommen, da das ein Schnellschuss ist, würde ich ihn aber als kompromitierbar setzen.

Lösungsskizze:

Das Probblem ist, das dem Smartphone nicht getraut werden kann. Die beiden Apss müssen sich also irgendwie verifizieren. Die Idee ist es, das es eine Anzeige mit dem Bild der Person gibt und dem Impfstatus. Jetzt kann der Prüfer sein Gerät ranhalten und beide Geräte verifizieren sich gegenseitig. Unter dem Fotos des Geprüften erscheint ein Haken, wenn die Verifikation abgeschlossen ist. Ebenso auf dem Gerät des Prüfers, das bestätigt, das das Gerät gerade verifiziert hat. Im ersten Ansatz würde ich hiefür ein Zero-Knowledge-Proof-Of-Knowledge nehmen, bin mir aber nicht sicher ob ich das hier überhaupt benötige.

Durch den Haken ist sichergestellt, das das Gerät nicht kompomitiert ist. Und er muss nur noch den visuellen Abgleich vornehmen.

Da fehlen immer noch wesentliche Parameter, wie man das genau umsetzen will. Wie bringt man das Smartphone dazu, beliebige Blöcke zu übertragen? Derzeit muss ein QR-Code gescannt werden (und der Skandal ist, dass meist nicht mal das geschieht). Die Daten in diesem Code sind fix.

Man könnte sich jetzt vorstellen, dass ein Nutzer aktiv zustimmen kann, eine Verknüpfung zwischen dem Impfzertifikat und den Perso-Daten herzustellen. Insofern als die Perso-Daten ggf. eh schon durch eine Zertifizierungsstelle signiert sind (bin mir gerade nicht sicher, ob dies der Fall ist), würde das in dem Sinne für den von dir genannten abgleich reichen - ob das dann technisch funktioniert, ist ne ganz andere Frage, der Kommunikation zwischen verschiedenen Apps auf Smartphones sind gewisse Grenzen gesetzt, soweit ich weiß, und auch das Auslesen von Perso-Daten ist an gewisse Voraussetzungen geknüpft.

Das Kernproblem ist eher: es wird einfach nicht jeder Mensch seinen Perso auf dem Smartphone hinterlegen wollen (durchaus auch zu Recht, und manche haben vllt. auch gar keinen Perso, es gibt ja auch ausländische Staatsbürger), also kann man eine solche Verknüpfung nicht zur Voraussetzung machen. Und diejenigen, die aktiv einer Verknüpfung von den Impf- und den Persodaten zustimmen, sind wohl genau nicht die, die sowieso einen gefälschten Impfstatus benutzen wollen. Die Prüfapp wird also weiterhin bei einigen Menschen anzeigen „kein Foto vorhanden, bitte Perso prüfen“ und wenn hier wiederum die prüfende Person nicht kontrolliert, kann man dann auch nichts mehr machen.

Man könnte jetzt sagen, ok, vllt hätte man von Anfang an im Impfzertifikat das Foto hinterlegen müssen. Aber das hätte auch wieder erheblichen Mehraufwand bei der Ausstellung bedeutet.

Also alles in allem sehe ich hier immer noch keinen besonders praktikablen Weg. Man muss wohl die Leute einfach dazu bringen, den Perso zu kontrollieren. Genügend Stichprobenkontrollen mit empfindlichen Strafen sind im Endeffekt günstiger als ein komplexes neues Softwareprojekt.