Die durch COVID-19 verursachte Situation machte auch deutlich, dass sichere Kommunikationswege zwischen Behörden, Institutionen und BürgerInnen fehlen. Die gezielte Kombination von digitalen Signaturen und Blockchain-Technologien sollte dieses Problem lösen. Dafür arbeitet am Projekt QualiSig die Donau-Universität Krems mit der A-Trust GmbH und der Semotec GmbH mit Beratung durch die Jelurida Swiss SA zusammen.
Die Aufregung über die Corona-App, vor allem auch hinsichtlich der datenschutzrechtlichen Bedenken, zeigte schlagartig eine Lücke auf. Es fehlen noch gesicherte, auch für die BürgerInnen nutzbare Kommunikationswege, mit denen auch besonders schutzwürdige sensible Daten, etwa über den Gesundheitszustand, zwischen Behörden und von Behörden beauftragten Institutionen bzw. zwischen diesen Institutionen und der Öffentlichkeit ausgetauscht werden können.
Höhere Sicherheit dank Technologiemix
Das Ziel des Projektes QualiSig ist es, durch die gezielte Kombination von rechtsgültigen digitalen Signaturen (wie beispielsweise der relativ weitverbreiteten „Handy-Signatur“) und modernen Blockchain-Technologien (etwa der Blockchains „Ardor“ und „Nxt“) diese Probleme in der Kommunikation zu lösen. Durch diese Kombination kann eine sichere Verbindung zu einer Person oder Institution hergestellt werden. Die Speicherung der sensiblen Daten ist dank Blockchain-Technologien und hochmoderner Verschlüsselungsverfahren nicht an eine zentrale Stelle gebunden und nur in den Händen jener Beteiligten, die darauf Zugriff haben sollen. So kann den BürgerInnen ein höherer Grad an Sicherheit im Kontext der COVID-19-Prävention garantiert und betrügerische Aktivitäten reduziert werden.
Ein Projektziel von „QualiSig“ ist die Entwicklung drei marktnaher Prototypen, die mit allen notwendigen Schnittstellen und den technischen Anleitungen für den Anwendungsbereich Infektionsprävention und -kontrolle ausgestattet sind. Diese Prototypen können in weiterer Folge von den Behörden, von Behörden beauftragten Stellen und von NGOs für den jeweils passenden Zweck adaptiert und genutzt werden.
Praktische Anwendungsfälle
Die drei Prototypen entsprechen drei typischen Anwendungsfällen im Zuge der COVID-19-Prävention. Der erste marktnahe Prototyp dient der Kommunikation zwischen BürgerInnen und Staat, bzw. im dessen Auftrag arbeitenden Stellen, um zur COVID-19-PCR und/oder Antikörper-Testung aufzufordern, einen Testtermin zu vereinbaren und das Testergebnis zu übermitteln. Als Nebenprodukt könnten weitere gesicherte Informationen zu COVID-19, zum Beispiel die aktuell gültigen rechtlichen Bestimmungen oder Nachrichten aus dem In- und Ausland, geteilt werden. Da der Ersteller der Nachricht durch eine digitale qualifizierte Signatur verifiziert werden kann, wäre das ein wichtiger Schritt zur Fake-News-Prävention.
Der zweite Prototyp ermöglicht es BürgerInnen über das Smartphone das Testpersonal bei Haus-zu-Haus-Testungen und bei (unangemeldeten) Kontrollen der Quarantänemaßnahmen zu verifizieren. Somit erhöhen die ersten beiden Prototypen die Sicherheit für die Menschen.
Der dritte Prototyp widmet sich der Erstellung einer sicheren digitalen Mappe für PC und Smartphone für den Nachweis des Gesundheitsstatus. So wird der höchstmögliche Datenschutz für BürgerInnen und für alle verbundenen Institutionen und Services berücksichtigt. Gleichzeitig sollen BürgerInnen die Möglichkeit bekommen, verschiedene Daten miteinander zu kombinieren und am Smartphone auszugeben. Am Smartphone sollen dann nur die notwendigen Daten gezeigt werden, mit der Option, die digitalen Originaldokumente zu öffnen. „Das Departement für E-Governance in Wirtschaft und Verwaltung der Donau-Universität Krems berät im Bereich von Best-Practice-Abläufen im E-Government und wird die erstellten Apps einem iterativen Testverfahren unterziehen“, so der Leiter des Departments, Univ.-Prof. Mag. Dr. Peter Parycek, MAS MSc.
Vertrauen durch Sicherheit
Bisherige COVID-19-Apps stoßen in der österreichischen Bevölkerung aufgrund mangelnden Vertrauens auf wenig Gegenliebe. Hier setzt das Projekt „QualiSig“ an und setzt auf transparente und verschlüsselte Kommunikation mit dem Staat, auf verfälschungssicheren Identitätsnachweis von Kontrollorganen sowie auf sichere und dezentrale Ablage von Gesundheitsdaten. Aufgrund der dezentralen und State-of-the-Art-verschlüsselten Speicherung (AES Standard; von AES-128 12 Wörter Seed bis AES-256 24 Wörter Seed) von sensiblen ID-bezogenen Daten bis hin zu hochsensiblen Gesundheitsdaten (Gesundheitsnachweis oder Immunitätsnachweis) sind die Daten für alle beteiligten Parteien, aber besonders die BürgerInnen bestmöglich geschützt. Interessierte BürgerInnen können einen Node (Datenknotenpunkt) beispielsweise am Smartphone oder am eigenen PC betreiben und damit die eigenen Daten vollständig kontrollieren. Dieser Vorgang soll so gestaltet werden, dass keine besonderen Computerkenntnisse erforderlich sind. „Blockchain Technologien bieten enorme Vorteile im Bereich der sicheren Datenspeicherung und ermöglichen Datenkontrolle durch den Dateninhaber. Ein großes Problem ist aber die verifizierte Herkunft der Daten. Dieses Problem löst die Verbindung zwischen Blockchain und qualifizierten digitalen Identitäts-Signaturen“, erklärt der Initiator des Projekts, Mag. Dr. Alexander Pfeiffer, MBA, MA, die Vorteile des neuen Ansatzes.
Projektpartner aus Forschung und Praxis
Die Umsetzung des Projekts erfolgt von der in Österreich führenden Institution im Bereich qualifizierter digitaler Signaturen (A-Trust-GmbH), sicherer Dokumentaufbewahrung (Semotec GmbH), sowie der Donau-Universität Krems als Forschungseinrichtung. Die Donau-Universität stellt ihre Expertise in den Bereichen Blockchain-Technologie durch das Zentrum für Angewandte Spieleforschung sowie im Bereich von E-Government-Services durch das Department für E-Governance in Wirtschaft und Verwaltung zur Verfügung.
Über den Emergency-Call
Der Ausbruch des Corona-Virus SARS-CoV-2 veranlasste die Bundesministerien für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie sowie für Digitalisierung und Wirtschaftsstandort kurzfristig 26 Millionen Euro über die FFG bereitzustellen. Um schnelle Ergebnisse sicherzustellen wird der Emergency-Call in einem beschleunigten Verfahren abgewickelt. Die geplanten Projekte sollen rasch umgesetzt werden können, wobei der Entwicklungszeitraum zwölf Monate nicht übersteigen darf.
Rückfragen
Tags