Digital
Schweiz

Schweizer Covid-Zertifikat: So sieht die App aus

Schweizer Covid-Zertifikat kommt aufs Smartphone.
Mit einer zweiten App des Bundes soll das digitale Impfzertifikat überprüft werden können.bild: watson

Es wird ein QR-Code! Bund zeigt erstmals auf, wie das Covid-Zertifikat aussieht

Der Bund steht einmal mehr unter Zeitdruck: Es gilt möglichst schnell ein sicheres Covid-Zertifikat für die Bevölkerung zu lancieren. Nun kennen wir wichtige Details zum geplanten System und zur Umsetzung.
01.06.2021, 05:4201.06.2021, 12:52
Mehr «Digital»

Momentan sieht es ganz danach aus, dass der Bund sein Versprechen halten wird: Das Schweizer Covid-Zertifikat soll in den kommenden Wochen an geimpfte, getestete und genesene Menschen im Land ausgeliefert werden.

Die Pilotphase soll in einer Woche beginnen. Das wäre dann etwas mehr als ein Jahr nach dem Start der Pilotphase von SwissCovid. (Eine Testversion für iPhones und Android-Handys war Ende Mai 2020 in den App-Stores verfügbar.)

Das Bundesamt für Informatik und Telekommunikation (BIT) informierte gestern Montag über die Entwicklung des Covid-Zertifikats, bzw. den aktuellen Stand des Projekts. Im Web sind nun der Quelltext und die technische Dokumentation zugänglich. Und dank dieser Dokumente wissen wir auch, wie die Schweizer Zertifikats-App aussehen könnte.

Das Covid-Zertifikat ist ein QR-Code

Das BIT hat am 31. Mai erstmals Dokumente publiziert, die aufzeigen, in welche Richtung es mit dem Covid-Zertifikat gehen wird. Damit ist es nun offiziell bestätigt: Das digitale Covid-Zertifikat wird als PDF-Datei mit QR-Code ausgeliefert. Ein erster Screenshot zeigt, wie das Impfzertifikat, das auch ausgedruckt werden kann, aussehen soll:

Erste Screenshots vom Covid-Zertifikat
Beim aufmerksamen Betrachten fällt auf, dass die Angaben zum Produktnamen und Hersteller nicht übereinstimmen. Pfizer stellt nicht den Moderna-Impfstoff her.Bild: bit

Ein Zertifikat wird nicht nur nach einer Impfung, sondern auch nach einem negativen PCR-Test oder bestätigter Genesung ausgestellt – Details dazu gibts weiter unten.

QR-Codes bieten den Vorteil, dass sie maschinenlesbare Daten grafisch speichern und leicht ausgelesen werden können. QR steht deshalb auch für Quick Response Code. QR-Codes sind weit verbreitet und können mit vielen Smartphones über die Standard-Kamera-App ausgelesen werden.

Hinweis: Die Beispiel-Screenshots zeigen zurzeit sogenannten Aztec-Code und keine QR-Codes an. (Die SBB verwenden diese Art von 2D-Code auf ihren Online-Tickets.) watson hat beim Bundesamt für Gesundheit BAG und dem BIT um eine Erläuterung zum Code ersucht. Die Antwort steht noch aus.

Aufbewahrung und Überprüfung via App

Nutzer:innen werden ihr Zertifikat auf Papier oder dem Smartphone mitführen können. Die Personen können dabei aus technischer Sicht frei wählen, welche App sie verwenden wollen. Das BIT kündigt in seiner Dokumentation aber eine eigene App namens COVID Cert, bzw. Covid Certificate, für Android-Handys und fürs iPhone an. Diese Apps werden wie SwissCovid von der IT-Firma Ubique entwickelt (siehe unten).

Erste Screenshots vom Covid-Zertifikat
Bild: bit

Das Covid-Zertifikat wird für jeden Schutzstatus einzeln ausgestellt. Das heisst: Nach jeder abgeschlossenen Corona-Impfung, nach jedem offiziellen Corona-Test und nach jeder Genesung wird es einen neuen QR-Code geben. Hingegen werden frühere Informationen nicht enthalten sein. Es ist also aus einem einzelnen Zertifikat nicht ersichtlich ob jemand, der geimpft wurde, vorher schon mal erkrankt war.

Covid-Zertifikat enthält persönliche Daten

Das Covid-Zertifikat wird Name, Vorname und Geburtsdatum der Person enthalten. Das Zertifikat ist also mit einer bestimmten Identität verknüpft und dies kann bei Bedarf mittels eines Reisepasses, einer Identitätskarte oder einem anderen amtlichen Ausweisdokument überprüft werden.

Der Schutzstatus wird zudem Auskunft darüber geben, wann etwa ein negativer Covid-Test gemacht, welcher Test oder welcher Impfstoff verwendet wurde.

Ein Beispiel-Zertifikat einer fiktiven, geimpften Person wird demnach diesen Inhalt beinhalten:

Céline Müller, geboren am 1. Februar 1943, geimpft am 30. April 2021 mit dem Moderna-Impfstoff.
Céline Müller, geboren am 1. Februar 1943, geimpft am 30. April 2021 mit dem Moderna-Impfstoff.bild: bit

Vorläufige Idee: Covid-Test drei Tage lang gültig

Die Dokumente zeigen, dass sich die Entwickler:innen und das Bundesamt für Gesundheit Gedanken machen, wie lange etwa ein negativer Corona-Test für ein Zertifikat «gültig» sein soll. Im Entwurf ist zurzeit die Rede von 72 Stunden: Setzt sich dieser Plan durch, würde ein am Freitagmorgen gemachter Covid-Test für ein ganzes Wochenende reichen.

Die Bezeichnung «Draft» (oben rechts) zeigt, dass es sich um einen Entwurf handelt.
Die Bezeichnung «Draft» (oben rechts) zeigt, dass es sich um einen Entwurf handelt.

Covid-Zertifikat soll fälschungssicher sein

Der Inhalt eines Covid-Zertifikats könnte theoretisch auch händisch eingetippt werden – so könnten Betrügerinnen und Betrüger das Zertifikat der fiktiven Céline Müller nehmen und durch andere Namen ersetzen.

Verhindert wird dies jedoch mit einer kryptografischen Signierung durch eine vom Bund autorisierte Person, sei dies eine Ärztin, ein Apotheker oder jemand im Impfzentrum.

Der QR-Code soll dank der digitalen Signatur fälschungssicher sein: Er kann zwar manipuliert werden, die Fälschung soll dann aber leicht mit einer weiteren App erkannt werden, die der Bund derzeit von Ubique entwickeln lässt.

So soll es künftig auch eine App namens Covid Check geben, mit denen etwa Wirtinnen und Wirte einfach überprüfen können, ob ein QR-Code gültig ist oder nicht.

Schweizer Covid-Zertifikat App
Die «Covid Check»-App soll die Echtheit eines Covid-Zertifikats prüfen, indem der QR-Code gescannt wird. Bild: Github

Allerdings stellen sich hier Fragen bezüglich des Datenschutzes. Das BAG betont zwar, dass die Gesundheitsdaten nicht in einem «zentralen System» (Datenbank) gespeichert werden. Das ist jedoch kein Hindernis, es trotzdem zu tun.

Ein Anwendungsbeispiel: Betrügerische Türsteher:innen vor Nachtclubs werden beim Einlass von «COVID-zertifizierter Personen» auch ihre Personen- und Gesundheitsdaten auslesen und könnten eigene Datenbanken aufbauen.

Das Zertifikat würde zusammen mit dem erforderlichen Vorzeigen der Identitätskarte bzw. des Passports nachweisen, um welche Person es sich wirklich handelt.

Hinweis: Fragen dazu wurden dem BAG und dem BIT zugestellt und werden nach Beantwortung an dieser Stelle eingefügt.

BIT setzt auf Transparenz und Open-Source

In einem bei Github veröffentlichten Dokument zeigt das Bundesamt für Informatik detailliert auf, wo es mit der Entwicklung des Zertifikats zeitlich steht. Bis am Montag hatte das Amt geschwiegen und bei den Kantonen Verunsicherung ausgelöst, ob das digitale Zertifikat wie angekündigt komme oder nicht. Die kommunizierte Roadmap und der Quellcode zeigen nun aber: Das BIT scheint auf gutem Kurs zu sein.

  • Am 4. Juni soll der Bundesrat die Verordnung über das Covid-Zertifikat verabschieden.
  • Ab 7. Juni soll es schrittweise eingeführt werden.

In der Kalenderwoche 26 (28. Juni bis 6. Juli) soll das System ausgerollt und die Betriebsübergabe erfolgt sein.

Bild

Es gibt bereits eine Alpha- und Beta-Version der neuen Software. Mit dem gestrigen Update hat das Bundesamt zudem einen öffentlichen Sicherheitstest lanciert: Entwickler:innen können nun bis auf Weiteres den Code analysieren und auf Sicherheitslücken testen. Das BIT will transparent über allfällige Hinweise und Meldungen informieren.

Das Bundesamt schreibt dazu:

«Der Bund möchte die Funktionsweise und die Sicherheit des Covid-Zertifikats so transparent wie möglich gestalten. Aus diesem Grund sind alle Komponenten Open-Source und es wird ein öffentlicher Sicherheitstest durchgeführt.»

Wie lange der «Public Security Test» dauert, ist offen. Es ist auch unklar, was ein allfälliges Bekanntwerden von schwerwiegenden Sicherheitsproblemen für den geplanten Start des Zertifikats am 7. Juni bedeuten würde.

Der Programmcode der beiden für das Covid-Zertifikat entwickelten Apps, Covid Certificate und Covid Check, ist auf GitHub für alle Interessierten frei einsehbar. Es handelt sich um eine Open-Source-Lizenz der Mozilla Foundation, die auch den Firefox-Browser herausgibt.

«Der Quellcode des Covid Certificate Systems (inkl. dieser App) ist Open-Source und kann auf GitHub eingesehen werden.»
Bundesamt für Informatik
Schweizer Covid-Zertifikat App
Auch diese Aufnahme stammt aus der Dokumentation, die auf github.com frei einsehbar ist.Bild: Github

Bei der ebenfalls von Ubique entwickelten Android- und iPhone-Version der SwissCovid-App wurde auch der ganze Programmcode bei GitHub veröffentlicht. Und auch da handelt es sich um die «Mozilla Public License 2.0».

Recherche-Hinweis
Wir freuen uns über Recherche-Hinweise und Informationen zum Covid-Zertifikat, gern per E-Mail an petar.marjanovic@watson.ch (PGP), daniel.schurter@watson.ch oder via Threema JRFZDDKR. Alle Hinweise werden vertraulich behandelt, der Quellenschutz ist gewährleistet.

Welche Firmen sind beteiligt und was kostet es?

Das Bundesamt für Informatik und Telekommunikation (BIT) hat am Montag die Aufträge veröffentlicht, die für die Entwicklung und den Betrieb des «Covid Certificate Systems» an externe Firmen erteilt wurden. Es handelt sich um «freihändige» Zuschläge an drei Schweizer Unternehmen:

  • 1,6 Millionen Franken erhält die in Zürich angesiedelte IT-Firma ti&m. Der Bund begründet diesen Zuschlag damit, dass die IT-Firma «dank ihrer Erfahrung aus der Java-Entwicklung von unter anderem dem Backend der SwissCovid-App eine zeitnahe Lösung realisieren» könne.
  • Impfzentren, Spitäler, medizinische Labors, Apotheken und Arztpraxen müssen das Zertifikat ausstellen können, und für die sichere Abwicklung braucht es eine Authentifizierung der beteiligten Fachpersonen. Die Technik dazu kommt von der IT-Firma Health Info Net (HIN). Der Bund begründet den Zuschlag, der 1,6 Millionen Franken beträgt, damit, dass das medizinische Personal HIN-Software bereits kenne. «Damit ist sichergestellt, dass digitalisierte Prozesse im Zusammenhang mit der Bekämpfung der Pandemie Covid-19 rasch eingeführt werden können».
  • Für die App-Entwicklung ist – wie bei SwissCovid – die Zürcher IT-Firma Ubique Innovation verantwortlich. Sie soll insgesamt 1,3 Millionen Franken erhalten. Ubique könne «dank ihrer Erfahrung aus der Entwicklung der SwissCovid-App eine zeitnahe Lösung realisieren», heisst es.

Ob zusätzlich zu diesen budgetierten 4,5 Millionen Franken weitere Kosten hinzukommen, ist nicht bekannt.

Zum Vergleich: Die Entwicklung und das Marketing für die SwissCovid-App kosteten die Steuerzahler in der Schweiz rund 11 Millionen Franken. Die Werbeausgaben schätzte der Bundesrat im Juli 2020 auf rund 2 Millionen Franken.

PS: Ist es EU-kompatibel?

Ja, das ist vorgesehen.

Die Europäische Union setzt ebenfalls auf fälschungssichere Impfzertifikate in Form von QR-Codes, um der Bevölkerung das grenzüberschreitende Reisen zu erleichtern.

Das «Grüne Zertifikat» ist ein von den Mitgliedsstaaten geplantes digitales Dokument, das künftig EU-weit gelten soll. Die Einführung soll Ende Juni erfolgen.

Welche Vorteile das Zertifikat verschafft, soll nach der Einigung von Parlament und Mitgliedsstaaten jedes Land selbst festlegen. Deshalb könnten die Regeln unterschiedlich aussehen, wie deutschlandfunk.de berichtet.

Was die Anerkennung des Schweizer Covid-Zertifikats ausserhalb Europas betrifft, respektive über die Interoperabilität der technischen Lösung, ist bislang wenig bekannt.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das Coronavirus in der Schweiz – eine Chronologie
1 / 59
Das Coronavirus in der Schweiz – eine Chronologie
31. Dezember 2019: Erste Meldungen über eine mysteriöse Lungenkrankheit, die in der zentralchinesischen Metropole Wuhan ausgebrochen ist, werden publiziert. 27 Erkrankte sind identifiziert.
quelle: keystone
Auf Facebook teilenAuf X teilen
SwissCovid-App noch nicht installiert? Wir helfen dir
Video: watson
Das könnte dich auch noch interessieren:
212 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
dega
01.06.2021 07:37registriert Mai 2021
Ich hoffe, dass gegen Fälschung rigoros vorgegangen wird. Ich hoffe, es wird einer Urkundenfälschung gleichgestellt. Ich habe die Schnauze voll von den ganzen Impfverweigerern und dem Blödsinn, den die verbreiten.
32445
Melden
Zum Kommentar
avatar
_stefan
01.06.2021 06:10registriert September 2015
Das BIT scheint hier gute Arbeit zu leisten. Der Quellcode sieht sauber aus. Was mich irritiert ist, dass noch die rechtliche Grundlage im Projektplan drin ist. Hoffentlich dauert es dann nicht Monate, bis sich das Parlament entscheidet.

Der Aztec-Code wird übrigens von der EU empfohlen, er soll zum internationalen Standard werden. Spielt aber eigentlich keine Rolle, der Inhalt bleibt derselbe. Für grosse Datenmengen ist er besser geeignet als der QR-Code. Und die Check-App braucht es sowieso, die Kamera-App des Smartphones hat ja keine Validierungsfunktion im QR-Reader.
17318
Melden
Zum Kommentar
avatar
-C-
01.06.2021 07:06registriert Februar 2016
Das Konzept sieht erstmal gut aus.
Die Gefahr, dass ein Club eine DB führt ist bei der jetzigen Lösung weit grösser..
842
Melden
Zum Kommentar
212
IWF rechnet 2024 mit moderat festerem BIP-Wachstum in der Schweiz

Die Schweizer Wirtschaft dürfte laut dem Internationalen Währungsfonds IWF im Jahr 2024 wieder anziehen. Zugleich vergab der IWF im jährlich durchgeführten Länderexamen der Schweiz gute Noten zur Geld- und Haushaltspolitik. Wichtige Fragestellungen gilt es aber noch zur Regulierung der Megabank UBS zu lösen.

Zur Story