Fragen? Antworten! Siehe auch: Alternativlos
Gute Wahl. IBM hat langjährige Erfahrung damit, der deutschen Regierung die internen Abläufe mit Hollerith-, äh, ich meine, Blockchain-Technologie zu optimieren!!1!
Außerdem, wenn es eine Firma gibt, bei der man nichts, äh, ich meine nur Gutes von deren IT-Projekten hört, dann ist es ja wohl IBM!
Da wächst zusammen, was zusammengehört. Eine Regierung, die technologisch aus den 1980ern ist, kauft bei einem Zulieferer, dessen letzte Erfolge in den 1980ern liegen. Damals hieß es unter Einkäufern: Niemand ist jemals gefeuert worden, weil er IBM gekauft hat.
Ich hoffe, dass das diesmal anders läuft. Viel Hoffnung habe ich aber nicht. Dafür müssten Spahn und Scheuer ja öffentlich zugeben, dass der Auffahrunfall hinter ihnen, den alle klar sehen können, tatsächlich existiert. Wahrscheinlicher ist, dass die wieder Gaslighting betreiben, das alles ok ist, und was es an kleineren Problemchen gibt halt nicht vermeidbar gewesen wäre.
Update: Während bei der Tagesschau steht, das eine beteiligte Unternehmen sei auf "Datensicherheit mithilfe der Blockchain-Technologie spezialisiert", klingt das beim ehemaligen Nachrichtenmagazin so:
Der Kölner Anbieter Ubirch setzt auf QR-Codes und Blockchain-Verifizierung. Mit an Bord: IT-Riese IBM.
Alter Falter, und ich mach noch Blockchain-Witzchen! Auf der anderen Seite: Was sonst wäre von einer Kompetenzkanone wie Spahn zu erwarten gewesen?
Update: Hier ist die Selbstdarstellung von Ubirch:
UBIRCH denkt IoT-Sicherheit neu und geht dabei einen revolutionären Weg: auf Basis etablierter und robuster Kryptografie- und Blockchain-Technologie. [...] Funktioniert übrigens auch weltweit als erste Blockchain-on-a-SIM-Lösung.
Wie weit darf Satire gehen?
Update: Aus dem Spiegel-Artikel:
Technisch funktioniert das Ubirch-System so: Jede geimpfte Person bekommt im Impfzentrum oder beim Hausarzt einen QR-Code – auf einer Plastikkarte oder einem Stück Papier, per Mail oder App. Der QR-Code ist ein anonymer Fingerabdruck, der aus personenbezogenen Daten wie dem Namen sowie den Angaben zum Impfdatum und dem verwendeten Impfstoff generiert wird. Er wird kryptografisch signiert und in insgesamt fünf Blockchains hinterlegt.
Da stellen sich direkt einige Fragen. Wenn der Fingerabdruck aus personenbezogenen Daten generiert wird, wieso ist er dann anonym? Wenn er anonym ist, wie hilft er dann beim impfen? Wenn er anonym ist, aber wieder mit einer Identität verknüpft wird, damit man erkennen kann, ob jemand geimpft ist, welchen Wert hat dann die Anonymisierung und wieso wird sie überhaupt gemacht? Wer signiert hier kryptografisch? Und wieso wird der in fünf Blockchains hinterlegt? Eine wäre nicht sicher genug? Wieso nicht sieben? Wieso nicht 23?
Wenn man der Erklärung bei Ubirch hinterherklickt, findet man:
Entscheidend ist, dass nur die geimpfte Person über diesen QR-Code verfügt und nur sie entscheidet, wem sie ihn später zum Zwecke der Verifikation vorzeigt.
Wofür brauchen wir dann die Blockchains?
Es gibt keinen zentralen Speicherort.
Bis auf die fünf Blockchains, oder zählen die nicht, weil die "dezentral" sind?
Bei Bedarf kann durch den Digitalen Impfnachweis jederzeit gegenüber Dritten nachgewiesen werden, dass der Impfstatus unverfälscht ist. Dazu muss lediglich der QR-Code gescannt werden und die Angaben zur Person mit einem gültigen Identitätsnachweis z. B. dem Personalausweis abgeglichen werden.
Wie watt? Ist das Impfzeug jetzt personengebunden oder nicht? Wie soll man denn sehen können, dass ich da nicht den QR-Code meines Nachbarn vorzeige, wenn der angeblich anonym ist?
OK, ich stell mir das so vor: Die machen einen Hash über die Impfdaten und Name+Anschrift und signieren den. Zum Verifizieren scannst du den QR-Code, da holt er die Impfdaten raus und macht einen Hash darüber und über Name+Anschrift aus dem vorgezeigten Personalausweis. Das klingt erstmal gut, aber was wenn jemand den Namen ändert oder umzieht? Muss derjenige sich dann auch nen neuen QR-Code holen?
Update: So besiegen wir die Pandemie! Das Virus lacht sich tot!
Update: Übrigens, zur Sicherheit explizit: Ein Hash über personenbezogene Daten ist nicht anonym sondern pseudonym. Das ist ein Unterschied, auch juristisch im Kontext der DSGVO.