Statement zur Entwicklung des Digitalen Schulzeugnisses
Berlin, 10. Februar 2022 / UPDATE vom 12. September 2022 – Beim Projekt Digitales Schulzeugnis ist die Bundesdruckerei GmbH mit der govdigital eG Auftragnehmerin des Landes Sachsen-Anhalt. Ziel des Projekts ist es, einen Schritt zur lange auch gesellschaftlich gewünschten Digitalisierung der Schulen zu setzen. Dabei wurden zunächst im Zuge eines Tests Wege entwickelt, Schulzeugnisse digital auszustellen, zu übermitteln und dabei auf ihre Echtheit zu prüfen – ohne dabei die Schulen durch umfangreiche Anpassungen an Hard- und Software zu belasten.
Ein früherer Entwicklungsstand des Projekts, ein sogenanntes Proof-of-Concept, wurde zuletzt in drei Bundesländern ausschließlich zu Testzwecken zur Verfügung gestellt.
Die Bundesdruckerei hat für dieses Projekt zunächst ein Lösungskonzept auf Basis der Blockchain-Technologie entwickelt. Die dezentrale Blockchain-Technologie kann dabei quasi die föderale Struktur des Bildungswesens abbilden: Öffentliche IT-Dienstleister des Bundes, der Länder und der Kommunen können als Betreiber von Blockchain-Knoten auftreten und die Verifikation der Zeugnisse mit Hilfe der Blockchain weltweit und rund um die Uhr gewährleisten. Die im Projekt verwendete Blockchain wird ausschließlich in zertifizierten Rechenzentren der öffentlichen Hand durch die govdigital eG betrieben und schafft ein hohes Maß an Sicherheit. Darüber hinaus ist der Energieverbrauch sehr niedrig. So verbrauchen die acht Knoten der Test-Blockchain zusammen in etwa nur so viel Strom wie acht herkömmliche PCs.
In der Blockchain werden keine Zeugnisse, sondern nur Prüfsummen, sogenannte Hash-Werte, für die spätere Prüfung der Echtheit der Zeugnisse hinterlegt. Die Berechnung dieser Prüfsummen erfolgt nach den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Ob und wie die Blockchain-Technologie in der dauerhaften Architektur des digitalen Schulzeugnisses eingesetzt wird, soll in den folgenden Projektphasen entschieden werden.
Naturgemäß ist ein System während des Testbetriebs noch nicht fertig, kann also Fehler, Schwachstellen oder Funktionseinschränkungen enthalten. Sicherheitsforscherinnen und Sicherheitsforscher berichteten Ende Februar über Twitter, dass der damalige, frühe Entwicklungsstand des Systems mehrere Schwachstellen enthält, die von potenziellen Angreifern ausgenutzt werden können. Unbefugten soll es möglich gewesen sein, (fiktive, nicht-signierte) Zeugnisse auszustellen – die Ausstellung echter Zeugnisse war jedoch zu keinem Zeitpunkt möglich.
Der Auftraggeber hat entschieden, das ursprüngliche Lösungskonzept auf Basis der Blockchain-Technologie nicht weiterzuverfolgen.