Mit der steigenden Quote derer, die in Deutschland bereits die Impfung gegen das Coronavirus erhalten haben, nimmt auch die Diskussion um Privilegien – zum Beispiel beim Reisen – für sie Fahrt auf. Dreh- und Angelpunkt ist dabei der Nachweis über die erfolgte Erst- und Zweitimpfung: der Impfpass. Der ist momentan für die meisten von uns gelb, aus normalem Papier – und nicht sonderlich fälschungssicher. Abhilfe schaffen soll hier ein digitaler Impfpass.

So stellt sich das jedenfalls die Bundesregierung vor. Am heutigen Montag, den 17. Mai, wird im Gesundheitsausschuss des Bundestags zur Sache beraten. Als Sachverständige werden dazu auch die Expertinnen und Experten vom Chaos Computer Club zurate gezogen. Die haben ihr Statement vorab auf der eigenen Website veröffentlicht und kommen zu einem deutlichen Ergebnis: Ein digitaler Impfpass ist nicht zwingend fälschungssicher – und muss zudem umsichtig eingesetzt werden, um die Gesellschaft nicht weiter zu spalten.

Der digitale Impfausweis löse „das vermeintliche Problem der Fälschbarkeit“ nicht, so der CCC. Zum einen seien „einfache Täuschungsszenarien wie die Verwendung des Impfausweises einer anderen Person“ auch mit einer digitalen Lösung leicht umsetzbar. Außerdem sei nicht davon auszugehen, dass kontrollierendes Personal – vom Café an der Ecke über den Modediscounter bis zu Flughäfen in aller Welt – die „entsprechende[…] Kompetenz oder Motivation“ habe, um Fälschungen zu erkennen.

Das eigentliche Problem, so der CCC weiter, liege nämlich in der Gefahr, dass „die einfache Fälschbarkeit von Impfnachweisen zu einem epidemiologischen Problem werden“ könnte – und zwar so lange, wie nicht jeder Mensch, der geimpft werden möchte, auch geimpft werden kann. Die Aussicht auf Privilegien könnte motivieren, gefälschte Impfnachweise in Umlauf zu bringen beziehungsweise zu erwerben.

Nichtsdestotrotz mahnt der CCC, digitale Lösungen für einen Impfnachweis nicht vorschnell einzuführen. Bereits bestehende Lösungen, beispielsweise über eine Website und QR-Codes, können leicht umgangen werden und weisen zudem teils beträchtliche Sicherheitslücken auf – so soll es Unbefugten in Thüringen gelungen sein, herauszufinden, ob eine bestimmte Person schon geimpft wurde.

„Mittels einer Public-Key-Infrastruktur könnte ein dezentrales System mit Offline-Verifikation realisiert werden“, so CCC-Sprecher Matthias Marx. Die Diskussion um Impfnachweise dürfe nicht davon ablenken, dass nicht der Impfnachweis, sondern die Impfung zurück in ein normales Leben helfe.

Die Mindestanforderungen werden dementsprechend unterteilt in gesellschaftliche und technische Anforderungen. Ein digitaler Impfnachweis muss demnach auf Freiwilligkeit beruhen, zweckgebunden sein, nur so lange eingesetzt werden, wie es epidemiologisch Sinn ergibt, und darf nicht zum Datensammeln missbraucht werden. Auf technischer Seite muss laut CCC die Erstellung von Kontakt- und Bewegungsprofilen ausgeschlossen sein. Zudem soll der digitale Impfnachweis dezentral aufgebaut und datensparsam sein; Quelltext und Dokumentation sollen öffentlich einsehbar sein.