Schweizer Impfplattform mit schweren Sicherheitsmängeln

Auch die Schweiz hat so ihre Probleme mit der Digitalisierung. Ein gerade verabschiedetes Gesetz sollte den Weg zu einem digitalen Impfausweis öffnen, der auch in Europa Bestand hat. Die dazu eingerichtete Impfplattform meineimpfungen.ch musste wegen gravierender Sicherheitsmängel komplett abgeschaltet werden. Auch hier wurden „Big-US-IT-Player“ als Lösungshelfer eingesetzt, so dass es auch noch einen Datenschutzskandal gibt. Hier ein kleiner Einblick, was Sache ist.


Anzeige

Das Schweizer-Modell

Die Schweiz arbeitet an einem digitalen Impf­ausweis, ähnlich wie die EU. Die Idee dahinter: Wer gegen Covid-19 geimpft ist, soll in Europa frei reisen können. Das Schweizer Parlament hat dafür Mitte März 2021 das Covid-19-Gesetz angepasst. Es gibt auch eine Plattform meineimpfungen.ch, auf der Schweizer Bürger ihre Impfungen ablegen können. Eine dazugehörige Impf-App MyViavac soll den Leuten den Nachweis der Impfungen ermöglichen. Wer das Angebot nutzt, kann dort eintragen, welche Impfungen man wann erhalten hat. Zudem lässt sich überprüfen, ob gewisse Impfungen fehlen.

Die Plattform wird von der Stiftung meineimpfungen betrieben – und laut Republik gibt es einen Vertrag mit neun Kantonen. Zudem wird dieser Ansatz vom Bundesamt für Gesundheit (BAG) als elektronischen Impf­ausweis favorisiert. Laut Blick haben sich rund 450.000 Personen bereits registriert. Darunter sind auch 240.000 Schweizer Bürger, die bereits gegen das Coronavirus geimpft wurden. Gut gedacht ist aber nicht immer gut gemacht.

Offen für Manipulationen wie ein Scheunentor

Blog-Leser Adrian W. hat mir die Information zukommen lassen, mal einen Blick auf das Thema zu werfen. Wer aktuell aber die Plattform  meineimpfungen.ch besucht, wird mit einer Wartungsseite begrüßt, die keinen Zweifel daran lässt, warum das Angebot offline genommen wurde.

Schweizer Impfplattform meineimpfungen.ch offline
Schweizer Impfplattform meineimpfungen.ch offline, zum Vergrößern klicken

Die Sicherheitsexperten Sven Fassbender, Martin Tschirsich und André Zilch haben sich die Plattform – zusammen mit dem Medium Republichttps://www.republik.ch/k – mal genauer angesehen. Hierbei sind kritische technische sowie konzeptionelle Sicherheitslücken zu Tage getreten. Das Team hat eine technische Analyse vorgelegt, Das Medium Republik zitiert in diesem Artikel aus diesem Bericht. Hier die Kernpunkte:

  • Zugriffsrechte für Fachpersonal: Fachpersonen aus dem medizinischen Bereich, die auf der Plattform registriert sind, haben umfassenden Zugriff auf die Impf- und Gesundheits­daten sämtlicher erfasster Privat­personen. Die Daten sind nicht nur einsehbar, sondern können vom Fachpersonal auch geändert werden. Ob dort ein Journal der Änderungen geführt wird, ist mir unbekannt. Das Problem liegt beim zweiten Punkt.
  • Mangelhafte Überprüfung: Wer Zugang zur Plattform wollte, wurde zwar nach einer EAN/GLN-Identifikation (eine eindeutige Identifikations­nummer von Ärztinnen) und seinen persönlichen Daten samt Telefon­nummer/E-Mail gefragt. Per E-Mail gab es dann die Bitte, ein Fotos des – vom Ärzteverband FMH vergebenen – HPC-Ausweises oder der Urkunde oder des Diplom als Nachweis einzureichen.

Der obige Vorgang klingt seriös, alleine: Das schweizerische EAN/GLN-Verzeichnis ist öffentlich verfügbar. Sucht man sich den Namen einer Fachperson (die sich wahrscheinlich noch nicht angemeldet hat) aus dem Verzeichnis heraus, und verwendet man die betreffenden Daten, könnten sich Fremde einen Zugang verschaffen. Damit konnte sich faktisch jeder Interessierte als Fachperson registrieren und dann auf den kompletten Datenbestand der Privatpersonen dieser Plattform zugreifen. Da umfassende Zugriffsrechte bestanden, ließen sich Daten nicht nur einsehen, sondern auch manipulieren.

Sicherheitsmängel on Top

Die Sicherheitsexperten haben zudem noch weitere Sicherheitsmängel der Plattform aufgedeckt. Um lediglich die Daten des digitalen Impfausweises einzusehen, kann bei der Registrierung am Portal auf den Nachweis des Medizin­diploms verzichtet werden, wie Republick schreibt. Über die Passwort-Reset-Funktion erhalten dann Dritte Zugang zum Portal – und über nicht näher erläuterte technische Kniffe gibt es dann den Zugriff auf den Datenbestand.Unbefugte können faktisch alle gespeicherten Daten der registrierten Personen aus deren Impf­ausweisen einsehen.

KRITIS-Netzwerk
(Quelle: Pexels Markus Spiske CC0 Lizenz)


Anzeige

Benötigt wird wohl eine ID, die aus dem Zeitstempel, wann das Konto der Person angelegt wurde, und vermutlich einer fortlaufenden Nummer ermittelt wird. Die meisten Nutzer haben sich erst mit dem Start der Covid-Impfkampagne Anfang 2021 angemeldet. Es reicht ein kleines Script, um die seit 1. Januar 2021 vergebenen IDs zu generieren und für Abfragen nach Impfausweisen zu verwenden. Laut dem Security-Team ist auf diesem Weg theoretisch alle 15 Minuten ein Impfausweis einsehbar. Erfolgen die Abfragen über einen längeren Zeitraum, dürften die Betreiber da auch keinen Verdacht schöpfen. Die Sicherheitsexperten konnten die Daten (Adressen etc.) von zwei Bundesrätinnen abrufen.

Pikant: Der elektronische Impfausweis verstößt laut Republik mehrfach gegen das (noch veraltete) Datenschutz­gesetz – eine revidierte Fassung tritt erst 2022 in Kraft. Die Stiftung setzt bei der Impfplattform zudem auf Infra­struktur von amerikanischen Big-Tech-Unternehmen. So werden für die Nutzung des MyCovidVac-Moduls Google-Dienste wie etwa die Google-Cloud verwendet. Bisher wurden laut dem hier zitierten Artikel 2,15 Millionen Franken in das Projekt investiert.

Nach diesem vernichtenden Bericht hat die Stiftung das gesamte Portal offline genommen. Und jetzt ist bildlich gesprochen „die Kacke am dampfen“. Das Medium Republick hat den Fall, laut eigener Aussage, dem dem eidgenössischen Daten­schutz­beauftragten (Edöb) gemeldet. Das Informatik-Team des Edöb hat die Schwach­stellen daraufhin verifiziert und bestätigt. Der Datenschutz­beauftragte Adrian Lobsiger hat am Montag ein Aufsichts­verfahren gegen die Stiftung Meineimpfungen.ch eingeleitet.

Und vom Schweizer Parlament war eine digitale Impfpass-Llösung, die fälschungs­sicher, international anerkannt und datenschutz­konform ist, per Gesetz gefordert. Diese sollte auch lokale Überprüfungen ermöglichen, alles Punkte, die die Plattform nicht erfüllt. Die Details lest ihr im verlinkten Republik-Artikel nach. Da dürften nun die Fetzen fliegen – das Ganze erinnert mich an das besondere Anwaltspostfach (beA), welches trotz Sicherheitsproblemen startete und dann abgeschaltet werden musste (siehe folgende Links).

Ähnliche Artikel:
Sicherheitslücken im deutschen Gesundheitsdatennetz
Sicherheit: Possen um das Anwaltspostfach beA


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Schweizer Impfplattform mit schweren Sicherheitsmängeln

  1. Ärgere das Böse! sagt:

    „…Die Plattform wird von der Stiftung meineimpfungen betrieben…“
    Ich staune nicht, dass ein paar absahnen wollen.
    In der Schweiz funktioniert das ganz einfach via eine Stiftung mit einem „gemeinnützigen“ Zweck. Diese privaten Stiftungen werden dann von Bund und Kantonen zu 80 % mit Steuergeldern und zu 20 % mit Spenden finanziert. Weobei die Spenden nicht mal reinkommen müssen.
    Grosszügigste Honorare für die paar Angestellten und paar Stifungsräte sind mehr als nur garantiert, sie sind totsicher.

    Jetzt weiss man, wieso ein paar IT-Laien eine solche Stiftung ins Leben rufen.

  2. Mario sagt:

    Hi Günther
    Ist offtopic, aber da kommt wohl nochmals was tolles in diesem Monat:
    https://www.netzwoche.ch/news/2021-03-24/openssl-bringt-update-aufgrund-eines-hohen-sicherheitsrisikos

    Nach Exchange und Windows Drucker, haben wir nun wohl die nächste Party :(

  3. Robert sagt:

    Passt in diesem Fall, denn die Impfungen sind ja auch „tot“-sicher. ;(

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.