Am 4. Juni soll der Bundesrat die Verordnung über das Covid-Zertifikat verabschieden, das eine Covid-19-Impfung, eine durchgemachte Erkrankung oder ein negatives Testergebnis einer Person feststellt. Ab 7. Juni soll es schrittweise eingeführt werden.

Heute 31.5. hat das technisch verantwortliche Bundesamt für Informatik und Telekommunikation (BIT) 3 freihändige Zuschläge für die Umsetzung publiziert. Dabei spielt der Faktor Zeit eine entscheidende Rolle, wenn der Bund und speziell das BAG und das BIT nicht in heftige Kritik geraten wollen. Und mit dem Zeitfaktor argumentiert das BIT bei den Freihändern denn auch.

1,6 Millionen Franken – inklusive Grundauftrag von 312'000 Franken – erhält ti&m. Dies, so laut Simap-Publikation, weil die IT-Firma "dank ihrer Erfahrung aus der JAVA-Entwicklung von unter anderem dem Backend der SwissCovid-App eine zeitnahe Lösung realisieren kann".

Da das Zertifikat von einem Impfzentrum, einem Spital, einem Labor, einer Apotheke oder einer Arztpraxis ausgestellt werden könnte, ist eine Authentifizierung nötig. Diese kommt von Health Info Net (HIN). Total erhält die Firma einen Zuschlag über 1,6 Millionen Franken, davon sind 450'000 für den Grundauftrag vorgesehen. Der Grund laut BIT: Eine grosse Anzahl des medizinischen Fachpersonals in der Schweiz kennt und hat die Lösung. "Damit ist sichergestellt, dass digitalisierte Prozesse im Zusammenhang mit der Bekämpfung der Pandemie Covid-19 rasch eingeführt werden können. (Die Authentifizierung, Anm. d. Red.) ... wird namentlich zur Ausgabe von Authentisierungscodes für die SwissCovid App, für die elektronischen Meldesysteme im Zusammenhang mit übertragbaren Krankheiten gemäss Epidemiengesetz (EpG), für die Meldung von Symptomen und Nebenwirkungen von Medikamenten und Impfstoffen und für das Ausstellen von Covid-Impfzertifikaten benötigt."

Nicht zuletzt soll man das Zertifikat auf Papier nutzen können, aber auch via App. Und diese soll das Startup Ubique Innovation bauen für 1,3 Millionen Franken, inklusive 107'000 Franken für den Grundauftrag. Zeit und Insiderwissen spielt laut BIT auch hier die entscheidende Rolle. Die Firma erhält den Auftrag, da sie laut Zuschlag "dank ihrer Erfahrung aus der Entwicklung der SwissCovid-App eine zeitnahe Lösung realisieren kann".

Es ist noch unklar, wieso kurz vor Lancierung noch umfangreiche "Optionen" in den Zuschlägen verankert werden mussten. Es ist ebenfalls noch nicht kommuniziert, ob noch mit weiteren Freihändern zu rechnen ist. Auf Anfrage hielt das BIT fest, man warte bis zur Kommunikation den Verordnungsentscheid des Bundesrats ab.

Und angesichts des Zeitplans vertraut niemand beim Bund dem Source Code des Covid-Zertifikats zu 100%, weder das BIT noch das involvierte Nationale Zentrum für Cybersicherheit (NCSC). Deshalb rufen die beiden zu einem "Public Security Test" auf und stellen den Code zum Testen bereit. Die allenfalls gefundenen Lücken sollen aus Gründen der Transparenz rasch veröffentlicht werden, heisst es bei den Verantwortlichen.

DDoS-Attacken, Social Engineering, Phishing- und Malware-Angriffe seien ausserhalb des Test-Geltungsbereichs.

Bemerkenswert: Im Unterschied zu allen anderen Involvierten arbeiten die Security-Tester ehrenamtlich. Bei Github finden sich die vom BIT und NCSC bereitgestellten Dokumente. Ein Enddatum für den Security-Test wurde laut Angaben des NCSC absichtlich keines festgelegt. Inwiefern ein allfällige kritische Lücke den anspruchsvollen Zeitplan obsolet machen könnte, wird nicht gesagt.