"Wir haben den Zeitplan eingehalten", sagte Bundesrat Ueli Maurer an der Medienkonferenz zum Covid-Zertifikat. Am heutigen 4. Juni hat der Bundesrat die Verordnung über die Covid-Zertifikate verabschiedet. Damit wurde die rechtliche Grundlage für die Ausstellung der Zertifikate geschaffen. Sie tritt am 7. Juni in Kraft.

Das Zertifikat wird in Papierform und elektronisch mit einer kostenlosen App, der "Covid Certificate App", zur Verfügung stehen. Für jene, die ein Zertifikat überprüfen, gibt es ebenfalls eine entsprechende App, die "Covid Check App".

Man habe sich für den bundeseigenen IT-Dienstleister, das Bundesamt für Informatik und Telekommunikation (BIT) entschieden, weil es einen gedrängten Zeitplan gebe. Ausserdem habe es einen deutlichen Kostenunterschied zugunsten des BIT gegeben, sagte Maurer vor Medien. Bei der Entwicklung der Apps habe man auf bekannte Partner aus der Privatwirtschaft gesetzt. Die Zuschläge an Ubique, Ti&m und Health Info Net (HIN) wurden kürzlich vergeben.

Ab dem 7. Juni sollen die ersten Covid-Zertifikate "schrittweise" ausgestellt werden. Spätestens Ende Juni sollen sie in der ganzen Schweiz zur Verfügung stehen. Die Arbeiten seien am 7. Juni aber nicht abgeschlossen, erklärte BIT-Direktor Dirk Lindemann. In den ersten 14 Tagen laufe ein Pilotbetrieb. Es würden weitere Softwaretests durchgeführt und die Systeme der Kantone langsam hochgefahren.

Das vom BIT zur Verfügung gestellte Zertifikatssystem soll den Anliegen des Datenschutzes Rechnung tragen, schreibt das BIT in einer Mitteilung. Personendaten werden demnach nicht zentral bei der Bundesverwaltung gespeichert. Die für die Signierung des Zertifikates benötigten persönlichen Daten würden vom System des Bundes gelöscht, sobald das Zertifikat generiert und übermittelt ist.

Die Sicherheit des Systems habe höchste Priorität, fügte Lindemann an. Neben der Überprüfung durch interne Spezialisten habe man vergangene Woche den Quellcode auf Github veröffentlicht. Gleichzeitig wurde durch das NCSC ein öffentlicher Sicherheitstest durchgeführt. Über diesen seien bislang 13 Findings eingegangen. Diese hätten aber eine niedrige Sicherheitsrelevanz, sagte Lindemann.

Die Funde sind öffentlich einsehbar, wie Florian Schütz, Delegierter des Bundes für Cybersicherheit, an der Pressekonferenz ergänzte. Es handle sich teilweise um Findings, die noch aus der Entwicklung stammen. Etwa hatte man laut Schütz gewisse Passwörter oder Geheimnisse hard-codiert im Quelltext. Man sei nun daran, diese Probleme zu bereinigen beziehungsweise habe dies erledigt. Ein weiterer Tester kritisierte die standardmässige Aktivierung von JavaScript im Webview der Apps, zeigen die vom NCSC publizierten Unterlagen weiter.

Die Abwicklung des Zertifikats sei – wenn immer möglich – voll automatisiert. Der Aufwand für das medizinische Personal sei gering, erklärten die Verantwortlichen weiter. Die Anmeldung der Mediziner laufe auch unter Einbezug der Lösung der Ärztevereinigung FMH und des Apothekerverbandes Pharmasuisse.

Die Automatisierung solle auch die Kantone entlasten. Aus diesen gab es zuletzt Kritik, respektive es wird befürchtet, dass der Aufwand für die Kantone gross wird. Dass man viele Prozesse automatisiert habe, so Bundesrat Maurer, hätten die Kantone positiv aufgenommen. 

Mit den Covid-19-Zertifikaten werden Kernanliegen der Datenschutzaufsicht erfüllt, wie der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb)  mitteilte. Auf seine Anregung hin, sei neben dem EU-kompatiblen QR-Code für den grenzüberschreitenden Verkehr ein zweiter, datensparsamer QR-Code für den Einsatz im Inland entwickelt worden, teilt er mit. 

Wer diesen zweiten Code verwende, verhindere, dass Unberechtigte durch Einsatz nicht autorisierter Software bei der Auslesung seines Zertifikats erkennen könnten, aus welchem Grund dieses als gültig oder ungültig angezeigt werde. Zutrittskontrolleure einer Grossveranstaltung bräuchten keine Kenntnis darüber zu erlangen, ob die Inhaber der Zertifikate infolge einer Impfung, Genesung oder eines Tests Eingang begehrten, schreibt der Edöb. Der Datenschutz-Beauftragte bedauert, dass dieser zweite QR-Code der Bevölkerung erst in einer nächsten Phase zur Verfügung gestellt werden könne.