In Rekordzeit zum Covid-Zertifikat

Das BIT hat in Zusammenarbeit mit dem Bundesamt für Gesundheit (BAG) innert kürzester Zeit ein System entwickelt, mit dem Covid-Zertifikate für Geimpfte, Getestete und Genesene erstellt, ausgeliefert und verifiziert werden können. Das Covid-Zertifikatssystem ist quelloffen, besteht aus drei Komponenten und ist EU-konform.

Im Frühling 2021 erteilte der Bundesrat dem BIT den Auftrag, bis Ende Juni 2021 ein System zur Ausstellung von Covid-Zertifikaten zu entwickeln. Das BIT hat sich mit seiner Lösung gegen 50 weitere Mitbewerberinnen und Mitbewerber durchgesetzt und anschliessend innert kürzester Zeit in Zusammenarbeit mit dem BAG ein System, bestehend aus drei Komponenten, erarbeitet.

Das Covid-Zertifikat kann auf Papier oder in der «COVID Certificate»-App mitgeführt werden. Mit der «COVID Certificate Check»-App lässt sich die Gültigkeit und Echtheit eines Covid-Zertifikats prüfen.

Mit der ersten Komponente können Ärztinnen und Ärzte, Apothekerinnen und Apotheker sowie Gesundheitsfachpersonen über eine Webanwendung oder über ihre Primärsysteme Covid-Zertifikate ausstellen. Die zweite Komponente, die «COVID Certificate»-App, ermöglicht den Halterinnen und Haltern, das Zertifikat elektronisch auf dem Mobiltelefon zu speichern. Die dritte Komponente des Systems beinhaltet eine weitere App, die «COVID Certificate Check»-App. Mittels dieser können die Echtheit und Gültigkeit eines Covid-Zertifikats überprüft werden. Dazu wird der QR-Code auf dem Papierzertifikat oder in der «COVID Certificate»-App gescannt und die darin enthaltene elektronische Signatur überprüft. Die prüfende Person sieht bei diesem Vorgang auf der «COVID Certificate Check»-App den Namen und das Geburtsdatum des Zertifikats-Inhabenden und ob das Zertifikat gültig ist. Diese Angaben sind nötig, um sie mit den Angaben auf dem Ausweisdokument mit Foto abzugleichen.

Vollständig geimpfte, genesene und negativ getestete Personen erhalten auf Wunsch ein Covid-Zertifikat.

Bestehendes Know-how erleichterte die Umsetzung

Bei der Entwicklung konnte das BIT auf bestehende IT-Komponenten zurückgreifen. Zum Beispiel die bewährte Public-Key-Infrastruktur (PKI): Dabei handelt es sich um eine Basistechnologie des BIT, mit welcher der QR-Code elektronisch signiert und fälschungssicher gemacht wird. Auch etablierte Authentisierungsmittel wie das CH-Login der Bundesverwaltung konnten rasch für den sicheren Zugriff auf das System zur Erstellung von Covid-Zertifikaten verwendet werden.

Zudem kamen bereits bestehende Microservices zum Einsatz: Ein Beispiel ist die Schnittstelle zur Druckstrasse des Bundesamts für Bauten und Logistik (BBL), über die Covid-Zertifikate für genesene Personen gedruckt und vollautomatisiert versandt werden. «Microservices sind gerade in Projekten mit grossem Zeitdruck ein grosser Vorteil», sagt Philippe Voirol, Hauptabteilungsleiter Strategy & Innovation im BIT. «Sie können ohne grossen Aufwand in neue Systeme integriert werden. Das spart wertvolle Zeit.»

Erfahrung mit komplexen Informatikvorhaben

Ebenso wichtig wie bestehende Basistechnologien und Microservices, die im Baukastenprinzip verwendet werden können, ist das vorhandene Know-how in agilen Methoden und der Führung von komplexen Vorhaben.

«Das BIT hat langjährige Erfahrung mit agiler Projektführung, nicht nur in der Softwareentwicklung, sondern auch in komplexen Vorhaben wie Fiscal IT, DaziT oder SUPERB», sagt BIT-Gesamtprojektleiter Patrik Riesen. «Ohne entsprechende Methodenkompetenz und Erfahrung ist ein Projekt wie die Realisierung des Covid-Zertifikats nicht in dieser kurzen Zeit zu stemmen.»

Auch aus dem im letzten Jahr mit dem BAG abgeschlossenen Projekt «SwissCovid-App» konnte wertvolles Wissen weiterverwendet werden. Erfolgsrezepte wie ein quelloffener Code, eine datensparsame Architektur (Privacy by Design) und ein öffentlicher Sicherheitstest waren auch Schlüsselfaktoren bei der Realisierung des Covid-Zertifikats.

Nichtsdestotrotz stellten sich den Projektverantwortlichen einige Herausforderungen. Nebst dem zeitlichen Faktor – der sehr kurzen Entwicklungs- und Einführungszeit – mussten bei diesem vielschichtigen Projekt diverse Anspruchsgruppen bedient werden. «Es galt, die Anforderungen und Bedürfnisse der Kantone, der Verbände und des medizinischen Fachpersonals vor Ort in den Test- und Impfzentren miteinzubeziehen», sagt Nassima Mehira, Projektleiterin beim BAG. Weiter fand eine intensive Zusammenarbeit mit dem BBL und den Herstellern von medizinischer Software, die z. B. bei der Impfkampagne oder in Arztpraxen zum Einsatz kommen, statt. Wichtig war zudem eine sorgfältige Medienarbeit, denn das Interesse der Presse und der Bevölkerung am Thema war enorm. «Die hohe Kooperationsbereitschaft aller Beteiligten war ein wichtiger Erfolgsfaktor im Projekt», ist Nassima Mehira überzeugt. 

Nicht zuletzt wurde das Grossprojekt fast ausschliesslich virtuell gestemmt, was auch kommunikative Herausforderungen mit sich brachte. Die Mitarbeitenden des BIT und BAG waren jedoch bereits vor dem Projektstart fast ausschliesslich im Homeoffice tätig und daher bezüglich Online-Zusammenarbeit sehr gut aufgestellt.

Das Covid-Zertifikat ist EU-kompatibel und quelloffen

Eine der wichtigsten Anforderungen an das System war, dass das Covid-Zertifikat EU-kompatibel sein muss. Das bedeutet, dass ein in der Schweiz ausgestelltes Covid-Zertifikat mit den nationalen Systemen im EU-Raum überprüft werden kann. Dazu hat das Projekt Covid-Zertifikat einen engen Austausch mit den Verantwortlichen des «EU Digital Green Certificate» gepflegt. Die grösste Herausforderung war, auf die sich schnell ändernden Spezifikationen der EU zu reagieren.

Das Schweizer Covid-Zertifikat ist EU-kompatibel.

Weiter ist das ganze System auf Sicherheit und Datenschutz ausgelegt. So werden keine persönlichen Daten auf zentralen Systemen der Bundesverwaltung gespeichert. Eine zusätzliche Sicherheitskomponente bietet auch die Quelloffenheit des Systems (Open Source). Das bedeutet, dass der Code für alle zugänglich publiziert ist. Nebst der Prüfung durch interne IT-Sicherheitsspezialisten wird seit Ende Mai unter der Leitung des Nationalen Zentrums für Cybersicherheit NCSC ein öffentlicher Sicherheitstest (Public Security Test) durchgeführt. Der Quellcode wurde nochmals auf Herz und Nieren geprüft, Hinweise können auch weiterhin gemeldet werden.

Dass der Code quelloffen ist, hat weitere Vorteile. So konnten über 100 Hersteller ihre Primärsysteme, wie Test- und Impfsysteme, an das System des BIT anbinden. Dadurch konnten die Verantwortlichen einfach und schnell Covid-Zertifikate direkt über ihr Impf- oder Testsystem ausstellen.

Dank dem quelloffenen Code konnten Test- und Impfsysteme rasch angebunden werden.

Quelloffen heisst aber auch, dass andere Staaten bei Interesse den Code für ihre nationalen Zertifikatslösungen nutzen können. So hat etwa Österreich auf Basis der Schweizer Lösung innert kürzester Zeit die «COVID Certificate»-App ihren nationalen Bedürfnissen angepasst und unter dem Namen Grüner Pass erfolgreich eingeführt (mehr dazu hier).


BIT-Kontakt:

Sonja Uhlmann
Leiterin Direktionsstab
Tel.: 058 465 37 35

Text: Corinne Fritschi

 

https://www.bit.admin.ch/content/bit/de/home/dokumentation/kundenzeitschrift-eisbrecher/eisbrecher-archiv/kundenzeitschrift-eisbrecher-ausgabe-78/covid-zertifikat.html