Auch die Schweiz hat so ihre Probleme mit der Digitalisierung. Ein gerade verabschiedetes Gesetz sollte den Weg zu einem digitalen Impfausweis öffnen, der auch in Europa Bestand hat. Die dazu eingerichtete Impfplattform meineimpfungen.ch musste wegen gravierender Sicherheitsmängel komplett abgeschaltet werden. Auch hier wurden "Big-US-IT-Player" als Lösungshelfer eingesetzt, so dass es auch noch einen Datenschutzskandal gibt. Hier ein kleiner Einblick, was Sache ist.
Anzeige
Das Schweizer-Modell
Die Schweiz arbeitet an einem digitalen Impfausweis, ähnlich wie die EU. Die Idee dahinter: Wer gegen Covid-19 geimpft ist, soll in Europa frei reisen können. Das Schweizer Parlament hat dafür Mitte März 2021 das Covid-19-Gesetz angepasst. Es gibt auch eine Plattform meineimpfungen.ch, auf der Schweizer Bürger ihre Impfungen ablegen können. Eine dazugehörige Impf-App MyViavac soll den Leuten den Nachweis der Impfungen ermöglichen. Wer das Angebot nutzt, kann dort eintragen, welche Impfungen man wann erhalten hat. Zudem lässt sich überprüfen, ob gewisse Impfungen fehlen.
Die Plattform wird von der Stiftung meineimpfungen betrieben – und laut Republik gibt es einen Vertrag mit neun Kantonen. Zudem wird dieser Ansatz vom Bundesamt für Gesundheit (BAG) als elektronischen Impfausweis favorisiert. Laut Blick haben sich rund 450.000 Personen bereits registriert. Darunter sind auch 240.000 Schweizer Bürger, die bereits gegen das Coronavirus geimpft wurden. Gut gedacht ist aber nicht immer gut gemacht.
Offen für Manipulationen wie ein Scheunentor
Blog-Leser Adrian W. hat mir die Information zukommen lassen, mal einen Blick auf das Thema zu werfen. Wer aktuell aber die Plattform meineimpfungen.ch besucht, wird mit einer Wartungsseite begrüßt, die keinen Zweifel daran lässt, warum das Angebot offline genommen wurde.
Schweizer Impfplattform meineimpfungen.ch offline, zum Vergrößern klicken
Die Sicherheitsexperten Sven Fassbender, Martin Tschirsich und André Zilch haben sich die Plattform – zusammen mit dem Medium Republick – mal genauer angesehen. Hierbei sind kritische technische sowie konzeptionelle Sicherheitslücken zu Tage getreten. Das Team hat eine technische Analyse vorgelegt, Das Medium Republik zitiert in diesem Artikel aus diesem Bericht. Hier die Kernpunkte:
- Zugriffsrechte für Fachpersonal: Fachpersonen aus dem medizinischen Bereich, die auf der Plattform registriert sind, haben umfassenden Zugriff auf die Impf- und Gesundheitsdaten sämtlicher erfasster Privatpersonen. Die Daten sind nicht nur einsehbar, sondern können vom Fachpersonal auch geändert werden. Ob dort ein Journal der Änderungen geführt wird, ist mir unbekannt. Das Problem liegt beim zweiten Punkt.
- Mangelhafte Überprüfung: Wer Zugang zur Plattform wollte, wurde zwar nach einer EAN/GLN-Identifikation (eine eindeutige Identifikationsnummer von Ärztinnen) und seinen persönlichen Daten samt Telefonnummer/E-Mail gefragt. Per E-Mail gab es dann die Bitte, ein Fotos des – vom Ärzteverband FMH vergebenen – HPC-Ausweises oder der Urkunde oder des Diplom als Nachweis einzureichen.
Der obige Vorgang klingt seriös, alleine: Das schweizerische EAN/GLN-Verzeichnis ist öffentlich verfügbar. Sucht man sich den Namen einer Fachperson (die sich wahrscheinlich noch nicht angemeldet hat) aus dem Verzeichnis heraus, und verwendet man die betreffenden Daten, könnten sich Fremde einen Zugang verschaffen. Damit konnte sich faktisch jeder Interessierte als Fachperson registrieren und dann auf den kompletten Datenbestand der Privatpersonen dieser Plattform zugreifen. Da umfassende Zugriffsrechte bestanden, ließen sich Daten nicht nur einsehen, sondern auch manipulieren.
Sicherheitsmängel on Top
Die Sicherheitsexperten haben zudem noch weitere Sicherheitsmängel der Plattform aufgedeckt. Um lediglich die Daten des digitalen Impfausweises einzusehen, kann bei der Registrierung am Portal auf den Nachweis des Medizindiploms verzichtet werden, wie Republick schreibt. Über die Passwort-Reset-Funktion erhalten dann Dritte Zugang zum Portal – und über nicht näher erläuterte technische Kniffe gibt es dann den Zugriff auf den Datenbestand.Unbefugte können faktisch alle gespeicherten Daten der registrierten Personen aus deren Impfausweisen einsehen.
(Quelle: Pexels Markus Spiske CC0 Lizenz)
Anzeige
Benötigt wird wohl eine ID, die aus dem Zeitstempel, wann das Konto der Person angelegt wurde, und vermutlich einer fortlaufenden Nummer ermittelt wird. Die meisten Nutzer haben sich erst mit dem Start der Covid-Impfkampagne Anfang 2021 angemeldet. Es reicht ein kleines Script, um die seit 1. Januar 2021 vergebenen IDs zu generieren und für Abfragen nach Impfausweisen zu verwenden. Laut dem Security-Team ist auf diesem Weg theoretisch alle 15 Minuten ein Impfausweis einsehbar. Erfolgen die Abfragen über einen längeren Zeitraum, dürften die Betreiber da auch keinen Verdacht schöpfen. Die Sicherheitsexperten konnten die Daten (Adressen etc.) von zwei Bundesrätinnen abrufen.
Pikant: Der elektronische Impfausweis verstößt laut Republik mehrfach gegen das (noch veraltete) Datenschutzgesetz – eine revidierte Fassung tritt erst 2022 in Kraft. Die Stiftung setzt bei der Impfplattform zudem auf Infrastruktur von amerikanischen Big-Tech-Unternehmen. So werden für die Nutzung des MyCovidVac-Moduls Google-Dienste wie etwa die Google-Cloud verwendet. Bisher wurden laut dem hier zitierten Artikel 2,15 Millionen Franken in das Projekt investiert.
Nach diesem vernichtenden Bericht hat die Stiftung das gesamte Portal offline genommen. Und jetzt ist bildlich gesprochen "die Kacke am dampfen". Das Medium Republick hat den Fall, laut eigener Aussage, dem dem eidgenössischen Datenschutzbeauftragten (Edöb) gemeldet. Das Informatik-Team des Edöb hat die Schwachstellen daraufhin verifiziert und bestätigt. Der Datenschutzbeauftragte Adrian Lobsiger hat am Montag ein Aufsichtsverfahren gegen die Stiftung Meineimpfungen.ch eingeleitet.
Und vom Schweizer Parlament war eine digitale Impfpass-Llösung, die fälschungssicher, international anerkannt und datenschutzkonform ist, per Gesetz gefordert. Diese sollte auch lokale Überprüfungen ermöglichen, alles Punkte, die die Plattform nicht erfüllt. Die Details lest ihr im verlinkten Republik-Artikel nach. Da dürften nun die Fetzen fliegen – das Ganze erinnert mich an das besondere Anwaltspostfach (beA), welches trotz Sicherheitsproblemen startete und dann abgeschaltet werden musste (siehe folgende Links).
Ergänzung: Das Projekt ist gescheitert – siehe Der Schweizer Impfpass: Gescheitert an der Sicherheit
Ähnliche Artikel:
Sicherheitslücken im deutschen Gesundheitsdatennetz
Sicherheit: Possen um das Anwaltspostfach beA
2015
"…Die Plattform wird von der Stiftung meineimpfungen betrieben…"
Ich staune nicht, dass ein paar absahnen wollen.
In der Schweiz funktioniert das ganz einfach via eine Stiftung mit einem "gemeinnützigen" Zweck. Diese privaten Stiftungen werden dann von Bund und Kantonen zu 80 % mit Steuergeldern und zu 20 % mit Spenden finanziert. Weobei die Spenden nicht mal reinkommen müssen.
Grosszügigste Honorare für die paar Angestellten und paar Stifungsräte sind mehr als nur garantiert, sie sind totsicher.
Jetzt weiss man, wieso ein paar IT-Laien eine solche Stiftung ins Leben rufen.
Hi Günther
Ist offtopic, aber da kommt wohl nochmals was tolles in diesem Monat:
https://www.netzwoche.ch/news/2021-03-24/openssl-bringt-update-aufgrund-eines-hohen-sicherheitsrisikos
Nach Exchange und Windows Drucker, haben wir nun wohl die nächste Party :(
Passt in diesem Fall, denn die Impfungen sind ja auch "tot"-sicher. ;(