Genesenen Zertifikat: Hinter den Kulissen einer GovTech-Anwendung

Wie können behördliche Maßnahmen auch in akuten Situationen gemäß dem Onlinezugangsgesetz (OZG) umgesetzt werden? Eine pragmatische Herangehensweise und agile individuelle GovTech Anwendungsentwicklung sind der Schlüssel.

In dieser Fallstudie werfen wir einen Blick auf die Umsetzung einer OZG Anwendung zur digitalen Pandemiebekämpfung, die wir in Zusammenarbeit mit der Stadt Köln entwickelt haben.


Handy mit Genesenenzertifikat

-
-

Die Ausgangslage: Besondere Situationen benötigen pragmatische Lösungen

Die Corona-Pandemie ist eine Herausforderung. Das Ziel der Regierung ist es, das Infektionsgeschehen einzudämmen und die Rückkehr zu einem normalen Zusammenleben. Ein Baustein des Pandemie-Managements sind die 3G Nachweise. Während Impf- und Testnachweise bereits digitalisiert waren, mussten sich genesene Personen einen Nachweis beim Hausarzt oder in der Apotheke ausgeben lassen. Die Stadt Köln hat hier die Pionierrolle ergriffen und einen schnellen und pragmatischen Weg gewählt, um diese Lücke zu schließen. Der Auftrag lautete: Entwicklung des ersten digitalen Genesenen-Zertifikats in Deutschland.

Aufgrund der Ausgangslage hat sich die Behörde für die Zusammenarbeit mit Start-ups entschieden. Eine ver­stärkte Digitalisierung ermöglicht schnelleres und effizientes Arbeiten im Pandemie-Management. Trotzdem muss der Fokus bei behördlichen Anwendungen immer höchste Standards erfüllen. Für die Entwicklung der Anwendung beauftragte die Stadt Köln SIDESTREAM. Denn wir sind auf der einen Seite ein agiles Start-up, und auf der anderen Seite stehen wir für hohe Qualität. Besonders beim Thema Gesundheitsdaten ist die Qualität noch wichtiger als die Geschwindigkeit.

Die Anforderungen: Datensicherheit steht im Vordergrund

Denn trotz der akuten Situation und der Suche nach einer schnellen und pragmatischen Lösung durften keine Abstriche in puncto Sicherheit gemacht werden. Sensible Gesundheitsdaten müssen in digitalen Umgebungen geschützt sein. Datensicherheit ist ein zentraler Aspekt hinsichtlich OZG-Umsetzungen. Gleichzeitig ist es der Stadt Köln wichtig, die Anwendung nutzerfreundlich und unbürokratisch zu gestalten.

Neben diesen Aspekten gab es folgende Anforderungen an die Anwendung:

  • Für weniger digital-affine Kölner:innen sollte es die Möglichkeit zum Ausdrucken des Nachweises geben.
  • Die Anwendung musste aus Nutzerperspektive kompatibel mit bestehenden digitalen Maßnahmen der Pandemiebekämpfung wie der Corona-Warn-App und der CovPass App sein.
  • Auch im Backend sollte die Anwendung mit bestehenden Strukturen wie der digitalen Kontaktverfolgung (DiKoMa) kompatibel sein.
  • Die Beweiskraft und Fälschungssicherheit sollte den Standards des digitalen Impfnachweises entsprechen und soll mit der sog. DCC-Konformität auch europaweit Gültigkeit haben.

Auch technisch gibt es einige Anforderungen an ein digitales Genesenen-Zertifikat. Die Anwendung muss gleichermaßen datensparsam und sicher sein. Außerdem soll diese auf der lokalen Infrastruktur der Stadt Köln laufen. Bei der Entwicklung ist es wichtig, viele Stakeholder (Projektmanagement Stadt Köln, Gesundheitsamt, Presseamt, IT-Administratoren, BMG und deren Berater, Ubirch und Railslove) zu berücksichtigen und gleichzeitig agil zu bleiben. SIDESTREAM wurde als geeigneter Partner ausgewählt, um diese hohen Anforderungen auf einem qualitativ hohen Niveau umzusetzen.

Die Lösung: Enge Zusammenarbeit und pragmatische Umsetzung

Die Entwicklung der GovTech Anwendung entstand daher in enger Abstimmung mit der Stadt Köln. So entwickelten wir eine innovative und qualitative Anwendung zur Digitalisierung von Genesenen-Zertifikaten mit höchsten Datensicherheits-Standards.

Gleichzeitig ist die Software auf einer unbürokratischen Basis gebaut. Das städtische Gesundheitsamt hatte seit Mai Schreiben verschickt, welches den Genesenenstatus von Covid-19 Patient:innen bestätigt. Neben der Bestätigung enthält das Schreiben eine individuelle Genesenen-ID der Empfänger:innen. Diese ID dient als individuelles Sicherheitsmerkmal. Die einfache Handhabung und Nutzerfreundlichkeit sind entscheidend für eine hohe Akzeptanz der Anwendung. Das Zertifikat wird wie die anderen Nachweise als QR-Code generiert. Dieser kann vom Bildschirm direkt mit der Handy-Kamera in die Corona-Warn-App oder CovPass App eingelesen werden. Alternativ gibt es auch die Möglichkeit zum Download oder Ausdruck. So erfüllt die Anwendung die Voraussetzungen des Digitalisierungsgesetzes, ermöglicht aber auch eine analoge Nutzung des Nachweises. Das Zertifikat wird auf Knopfdruck erstellt, wobei nur wenige weitere persönliche Angabe zur Person gemacht werden müssen. Insgesamt verarbeitet die Anwendung neben der ID nur den Nachnamen und das Geburtsdatum, wobei das Datum als zusätzliches Sicherheitsmerkmal dient. Das Zertifikat ist damit sowohl datensparsam als auch sicher.

Technologie Deep Dive: Das Genesenen-Zertifikat vereint Datensparsamkeit und Sicherheit

Wie der Ansatz der Stadt Köln ist auch die Anwendung pragmatisch konzipiert. Der Kern des Zertifikats ist durch verschiedene Komponenten umgesetzt:

  • Frontend: führt den End-Nutzer durch die Genesenen-Zertifikatserstellung
  • Backend: verarbeitet eingegebene Benutzerdaten und generiert darauf basierend Genesenen-Zertifikate
  • Reverse Proxy: Verteilung von Anfragen auf das Backend und Frontend
  • Datenbank: Verhindern von Mehrfachgenerierungen in der offiziellen digitalen Zertifikats-Schnittstelle

Die Anwendung wurde dabei vollständig auf der Infrastruktur der Stadt Köln aufgebaut. Sie wurde so strukturiert, dass möglichst wenig nutzerbezogene Daten gespeichert werden müssen. Das Genesenen-Zertifikat selbst speichert weder Nachnamen noch Geburtsdatum. Stattdessen fragt sie bei jeder Anfrage die DiKoMa-API der Stadt Köln an, um die eingegebene Datenkombination zu verifizieren. Bei erfolgreicher Zertifikatserstellung wird sichergestellt, dass es nicht zu Mehrfachausgaben des Zertifikates kommt.

Fazit

Das OZG zielt darauf ab, Prozesse effizienter und barrierefreier zu machen. Für Start-ups ist es auch eine Triebkraft, innovative Ideen in Verwaltungsprozesse einzubringen. Das Genesenen-Zertifikat zeigt, dass neue Anwendungen auf hohem Niveau in Zusammenarbeit mit Behörden agil und sicher umgesetzt werden können. Das Zertifikat erfüllt die Sicherheitsstandards für behördliche Softwareumsetzungen und hat dabei eine intuitive User-Experience. Gleichzeitig ist es datensparsam und läuft stabil auf der lokalen Infrastruktur der Stadt Köln. Besonders in Krisensituationen sind stabile Anwendungen entscheidend.