Endlich! Der Corona-Immunitätspass soll auf die Blockchain

War klar. Wo es ein Problem gibt, ist meist jemand zur Stelle, der eine Blockchain als Lösung anbietet. So auch mit dem angedachten Immunitätspass für Corona. Hier gibt es gleich zwei Blockchain-Lösungen.

Corona – ihr wisst schon. Ist derzeit in aller Mund. Daher fassen wir uns hier beim unvermeidbaren Thema kurz: Derzeit wird ein Immunitätsausweis angedacht. Wer Corona überstanden hat, gilt als immun, und darf sich dann mithilfe dieses Passes wieder frei bewegen, während diejenigen, die noch nicht dran waren, darauf warten müssen, dass es sie endlich auch erwischt. Ein solcher Immunitätsausweis wäre praktisch, weil er sinnlose Einschränkungen abbaut, aber er würde auch fürchterliche Anreize a la Corona-Party setzen und wäre generell unfair, weil nun für Menschen abhängig von ihren Antikörpern unterschiedliche Rechte gelten. Die einen dürfen, die anderen nicht. Daher ist die Idee noch sehr umstritten.

Hashes auf einer genossenschaftlich betriebenen Blockchain

Hier geht es aber um die techische Umsetzung eines Corona-Immunitätsausweises. Dafür haben sich bereits zwei Blockchain-Projekte angemdelt. Das eine ist vom Startup Ubrich aus Köln, das dafür mit dem Rostocker Life-Science-Unternehmen Centogenes zusammenarbeitet. Sie haben, so die Pressemitteilung, „eine DSGVO-konforme Lösung entwickelt“. Die Ergebnisse der Tests werden nur als Hash in der Blockchain angelegt und „virtuell versiegelt“. Um den Status des Impfausweises zu verwenden, etwa um in ein Krankenhaus zu gehen, „kann das vorgezeigte Ergebnis mithilfe eines hundertprozentig echten Blockchain-Zertifikats überprüft werden“.

Auf der Webseite von Ubrich findet man mehr Informationen. Gemeinsam mit einigen anderen Unternehmen hat das Startup zudem die Seite Corona-Gesundheitszertifikat aufgezogen, die ausführlich über das Projekt informiert. Das „digitale Corona Gesundheitszertifikat“ soll wie bereits angedeutet „den Coronastatus und andere relevante Daten einer gesteten Person in einer Blockchain als Hashwert“ verankern. Dies soll durch alle Beteiligten – das Gesundheitssystem, Unternehmen, andere Patienten – jederzeit verifizierbar sein. Das „Konsortium von Medizinprodukteherstellern, Laboratorien, Kliniken, klinischen Datenverwaltungssystemen und Anbietern von Blockchainlösungen“, das hinter dem Projekt steht, hat „eine Lösung entwickelt, die eine verifizierbare Kette von der Bereitstellung einer medizinischen Probe, ihrer Handhabung in Kliniken und anderen Einrichtungen über den Prozess automatischer Labortests bis hin zur Vorlage bei den anfordernden Behörden oder anderen Stellen schafft.“

Dabei wird die medizinische Probe mit einem Pseudonym verknüpft, das jedoch durch einen Identitätsprovider mit der echten Identität verbunden ist. Dies soll aber auf eine dezentrale und datenschutzfreundliche Weise geschehen, so dass, im optimalen Fall, jeder beweisen kann, der Besitzer des Pseudonyms zu sein, ohne dass dies deswegen zentral überwachbar ist. Der Hash der Daten kann von anderen Parteien, etwa einem Labor, verifiziert werden. Die Testdaten selbst stehen nicht auf der Blockchain, sondern werden an die Klinik oder den Patienten direkt weitergegeben. Auf der Blockchain findet man lediglich die Informationen, die notwendig sind, um die Daten zu verifizieren.

Als Blockchain verwendet das Konsortium GovDigital, eine nicht erlaubnisfreie Blockchain auf Basis der Ethereum-Technologie. Diese „genossenschaftlich betriebene Blockchain-Infrastruktur“ wird nur von „bekannten und verlässlichen Parteien in der EU“ betrieben.

Daten auf mehrere Blockchains verteilt

Aber Ubrich ist nicht das einzige Blockchain-Unternehmen, das Interesse daran hat, den Immunitätspass auf die Kette zu bringen. Auch Vottun, ein Startup mit Büros in Barcelona und Los Angeles, möchte mitmischen. Seine Technologie wird derzeit mithilfe der Beratungsgesellschaft PricewaterhouseCoopers in Spanien eingeführt.

Vottun stellt, so die Webseite, „einen Imminutätspass bereit, der hilft, Angestellte zurück zur Arbeit zu bringen. Die Pässe benutzen die Blockchain- und Identitätstechnologie von Vottun, um es Gesundheitsunternehmen zu erlauben, Testresultate auf eine Weise zu speichern, dass sie unveränderbar, sicher und kryptographisch verifizierbar auf einer öffentlichen oder privaten Blockchain liegen.“

Konzeptionell ist Vottuns Lösung nahe bei der von Ubrich. Die Daten sind verschlüsselt oder gehasht, können aber von jedem verifiziert werden. Dazu kommt die API von Vottun, die verschiedene Blockchains ansprechen kann, sowie eine Wallet für die Besitzer des Passes. So hat nur derjenige, der getestet wurde, Zugang zu den Daten, die aber von anderen geprüft werden. Da die Wallets auf dem Smartphone sind, kann man sich mit ihnen etwa an der Krankenhauspforte ausweisen.

Dabei arbeitet Vottun sowohl mit öffentlichen als auch privaten Blockchain. Die öffentlichen Blockchains sind Ethereum und Ethereum Classic. Eventuell wird hier ein Kernkonstrukt für die Testergebnisse abgelegt, etwa die Hash. Als private Blockchains kommen Hyperledger, Oracke, Alastra oder Quorum in Frage. Vielleicht findet man dort in verschlüsselter Form die gesamten Tests, so dass man sie auf Wunsch eines Arztes ebenfalls vorweisen kann. Konkrete Details sind aber nicht öffentlich bekannt.

Es geht um die Verifizierbarkeit

Hat die Blockchain tatsächlich Vorteile? Kritiker der Blockchain-Technologie sagen gerne, dass der Hype von Beratern auf Probleme aufgestülpt wird, die sichauch und viel besser ohne Blockchain lösen lassen. Tatsächlich aber könnte ein Immunitätsausweis eine der Gelegenheiten sein, bei der eine Blockchain Sinn ergibt. Das Schlüsselwort ist dabei die Verifizierung.

Man möchte auf der einen Seite nicht, dass ein zentraler Server Testergebnisse speichert. Dies wäre die klassische Methode, bei der Krankenhäuser, Arbeitgeber und so weiter den Server mit einer App abfragen könnten, ob eine bestimmte Person immun ist. Aber datenschutztechnisch könnte dies eine Katastrophe sein, vor allem, da es im Jahr 2020 auch deutlich bessere Methoden gibt.

Ein dezentralerer Ansatz wäre es, dass jeder die Testdaten auf seinem eigenen Smartphone speichert. In dem Fall steht man aber vor dem Problem, dass die Daten manipulierbar sind. Jemand könnte sein Testergebnis verfälschen. Also braucht man eine Methode, um die Tests zu verifizieren. Dies könnte, wie bei Ubrich, eine Hash bzw. die Wurzel eines Hashbaums sein, die aus den Testdaten errechnet wurde. Dieses Hash darf dann natürlich nicht auch auf dem Smartphone gespeichert sein, sondern bei einer anderen Quelle.

Hierfür könnte man natürlich einen Server nehmen. Aber denkbar wäre, wie bei den Lösungen von Ubrich und Vottun, auch eine Blockchain. Diese hat den Vorteil, dass der Betreiber des Servers die Daten nicht manipulieren kann – falls er dazu Gründe hätte – und dass die Hashes auch dann erreichbar sind, wenn der Server einmal down ist. Es ist nicht unbedingt eine fundamental bessere Lösung, da es auch mit einem guten und verteilten Server funktionieren könnte, aber sofern es funktioniert, könnte es durchaus eine solidere Infrastruktur ergeben.