Update: EDÖB reicht Schlussbericht zu "Meineimpfungen.ch" ein

Update vom 9.9.2021: Der EDÖB hat Ende Juli seinen Schlussbericht zu "Meineimpfungen.ch" eingereicht. Laut Mitteilung des Bundes formulierte der EDÖB drei Empfehlungen, die sich vor allem auf die Datenintegrität beziehen. Die Empfehlungen wurden von der Stiftung innerhalb der 30-tägigen Frist akzeptiert. Die operativen Tätigkeiten seien eingestellt und die Liquidation beantragt. Der EDÖB unterstütze die Stiftung und das BAG im Interesse der betroffenen Nutzerinnen und Nutzer bei der Suche nach einer raschen und pragmatischen Lösung.

Update vom 24.3.2021:

Schweizer Impfplattform bleibt vorerst gesperrt

Nach den verheerenden Ergebnissen des Sicherheitsberichts zum elektronischen Impfregister "Meineimpfungen.ch" bleibt die Plattform weiterhin offline. Inzwischen hat die Stiftung eine kurze Information auf der Website aufgeschaltet. Der Betrieb der Plattform werde "zur Wahrung der Datensicherheit" unterbrochen, heisst es. Und weiter: "Die Sicherheit der Plattform meineimpfungen.ch hat für uns oberste Priorität. Wir sind deshalb immer dankbar, wenn wir über Schwachstellen direkt informiert werden. Auf der technischen Seite wurden die gemeldeten Schwachstellen sofort behoben."

Derweil muss sich das Bundesamt für Gesundheit (BAG) etliche Kritik gefallen lassen. Von einem "Datendebakel" spricht etwa das "SRF", und zitiert mehrere Politiker, die die veröffentlichten Sicherheitsmängel als "riesige Sauerei" bezeichnen und die sofortige Abschaltung fordern.

Tatsächlich unterstützt das BAG die Stiftung hinter der Plattform finanziell. "Die Stiftung erhält seit 2020 250'000 Franken pro Jahr", schreibt Sprecher Grégoire Gogniat auf Anfrage und ergänzt: "Für die Erweiterung des bestehenden Impfdossiers meineimpfungen.ch um Covid-19-Funktionalitäten erhält die Stiftung vom BAG einmalig 450'000 Franken." Allerdings werden Aufbau und Betrieb der Plattform von Geldern aus verschiedenen öffentlichen und privaten Quellen finanziert. Ausser dem BAG seien dies Kantone, die Universität Genf sowie Stiftungsratsmitglieder. "Beim elektronischen Impfausweis handelt es sich demnach nicht um ein Produkt, welches im Auftrag des BAG entwickelt oder ausschliesslich mit Bundesgeldern finanziert wurde."

Das Wichtige am elektronischen Impfausweis von meineimpfungen.ch sei der digitale Impfcheck-Algorithmus von Viavac, führt der BAG-Sprecher weiter aus. Dieser basiere auf dem aktuellen Schweizer Impfplan und werte die im elektronischen Impfpass erfassten Impfungen automatisch aus. Die Website meineimpfungen.ch sei seit Jahren die einzige Plattform zur Eingabe von Impfdaten, welche mit Viavac verbunden sei.

Zu den nächsten Schritten schreibt Gogniat: "Die Plattform bleibt deaktiviert, bis die Sicherheitsmängel geprüft und behoben worden sind. Bevor eine Aktivierung erfolgt, werden Absprachen zwischen der Stiftung und dem BAG stattfinden."

Plattformbetreiber: "Daten waren zu jeder Zeit sicher"

Auf Anfrage nimmt auch Plattformbetreiber Arpage Stellung. Das Unternehmen

"unterstützt finanziell sowie personell (ehrenamtlich) seit Start des Projektes den Ausbau der Plattform", erklärt CEO Hannes Boesch. Auf den Sicherheitsbericht angesprochen, erklärt er, dass das Datenleck nicht existiert habe, bis das Spezialmodul für Covid-19-Impfungen eingeführt worden sei. "Die Daten waren also zu jeder Zeit sicher. Die Umsetzung des myCOVIDvac-Moduls hat dann zu einer unerlaubten Zugriffsmöglichkeit geführt, ausschliesslich auf die Daten, die über die myCOVIDvac importiert wurden. Auf Grund des engen Zeitplans für die Umsetzung und die Produktivschaltung des myCOVIDvac-Moduls durch die früher als erwartete Verfügbarkeit der Impfungen konnte ein erneuter Pen-Test noch nicht durchgeführt werden."

Nach Bekanntwerden der Sicherheitsmängel habe sein Unternehmen alles daran gesetzt, diese zu beheben. Gefragt nach den Konsequenzen schreibt er: "Für die Arpage bedeutet dies, dass in Zukunft unsere internen Sicherheits- und Überprüfungsstandards nicht durch Zeit- und/oder Erwartungsdruck beeinträchtigt werden. Aus diesem Grund wurden bereits personelle Konsequenzen im für die Plattform zuständigen Team vorgenommen sowie eine Erweiterung der personellen Ressourcen geplant."

Originalmeldung vom 23.03.2021:

Schweizer Impfplattform geht offline

"Entschuldigung, eine dringende Wartung ist erforderlich." Wer die Website "meineimpfungen.ch" besucht, wird seit Montag, 22. März, mit diesen Worten begrüsst. Grund für die Abschaltung sind offenbar gravierende Sicherheitsmängel, wie die "Republik" berichtet. Unter Berufung auf einen Bericht der IT-Sicherheitsexperten Sven Fassbender, Martin Tschirsich und André Zilch sowie eigener Recherchen zeigt das Onlinemagazin auf, was bei der schweizerischen Impfplattform alles im Argen liegt.

(Source: Screenshot meineimpfungen.ch)

Daten lesen, aber auch verändern

Konkret sei es registrierten Fachpersonen ohne weitere Hürden möglich, auf die persönlichen Daten sämtlicher auf der Plattform registrierter Privatpersonen zuzugreifen, also auf Adresse, Telefonnummer, Geburtsdatum, aber auch auf Krankenkassendetails, Impfstatus oder Covid-19-Risikofaktoren. Anhand letzterer wird festgelegt, wie schnell eine Person für eine Covid-19-Impfung zugelassen wird. Offenbar scheint der Zugriff auch dann möglich, wenn ein Patient der Fachperson diesen nicht via Acces-Code gewährt.

Doch beim Lesen der Daten bleibt es nicht: Gemäss der "Republik" kann jede registrierte Fachperson diese Daten auch abändern. "Damit ist es etwa ohne Wissen der Betroffenen möglich, eine kerngesunde 25-Jährige in die Risikogruppe zu verschieben (und ihr so eine frühe Impfung zu sichern) oder im umgekehrten Fall bei einem 72-Jährigen die Vorerkrankungen zu streichen, um den Impftermin hinauszuzögern", heisst es im Bericht.

Ungeprüfte Fachpersonen

Weiter kritisiert die "Republik", dass "Meineimpfungen" den Status medizinischer Fachpersonen bei deren Registrierung nur unzureichend überprüft. Zwar frage die Plattform nach einer Zulassungs-Nummer (EAN/GLN-Identifikation) und später nach einer gescannten Kopie einer Urkunde oder einer Zulassung. Allerdings sei die Zulassungsnummer aus öffentlichen Registern abrufbar, und ein Ausweis liesse sich leicht fälschen.

"Die Zugangsprüfung für medizinische Fachpersonen basiert also auf reinem Vertrauen - darauf, dass der sich anmeldende Arzt tatsächlich die Person ist, als die er sich ausgibt. Bessere Verfahren zur Überprüfung sind nicht vorgesehen", resümiert das Onlinemagazin. Besonders findige Nutzer bräuchten zudem gar keinen medizinischen Nachweis hochzuladen, und sich stattdessen den Lesezugriff auf alle vertraulichen Daten mittels der "Passwort Vergessen"-Funktion und einiger Tricks erschleichen.

Portal steht schon länger in der Kritik

Schliesslich weist der Bericht noch darauf hin, dass die eindeutigen Nutzer-IDs des Impfportals auf einem Zeitstempel beruhen und somit vergleichsweise leicht zu erraten seien. Gemäss der "Republik" ermöglicht dies einem Hacker, das Portal systematisch nach Impfausweisen abzusuchen. Ihnen sei es gelungen, die Konten von Vertreidigungsministerin Viola Amherd und Aussenminister Ignazio Cassis zu finden, schreiben die Autoren des Berichts. In der Folge hätte man auch deren Impfausweise abrufen können.

Auf Anfrage bestätigt die Stiftung Meineimpfungen, die die gleichnamige Plattform betreibt, die in der "Republik" veröffentlichten Befunde. Den Plattformbetreibern seien die Schwachstellen bis zum Sonntag nicht bekannt gewesen. "Wir liessen durch eine Drittfirma wöchentliche Sicherheits-Checks durchführen", schreibt Sprecherin Nicole Bürki. Man werde mit dieser Firma analysieren, wie die Schwachstellen übersehen werden konnten.

"Wir haben umgehend reagiert und bereits am Sonntag die Lücken grösstenteils geschlossen", schreibt Bürki weiter. Ob tatsächlich Impfdaten von Unbefugten eingesehen worden seien, werde nun abgeklärt.

Wann das Portal wieder online gehe, könne sie im Moment noch nicht sagen. Bevor dies geschehe, werde die Stiftung mit einer anderen, noch zu bestimmenden Drittfirma eine tiefgehende Prüfung aller Komponenten und Prozesse durchführen.

Durch den Ausfall nicht beeinträchtigt seien die Covid-19-Impfzentren, die den digitalen Impfnachweis jeweils an ein Teilmodul von "Meineimpfungen" übermittelten. "Die Impfzentren können die Impfdaten

ganz normal aufnehmen; der Datentransfer zu myCOVIDvac kann auch zeitversetzt durchgeführt werden", schreibt Bürki dazu.

Aktiv geworden ist nun auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte: Dieser leitete am Montag ein Aufsichtsverfahren gegen die Stiftung ein. Sie müsse sich detailliert zu den Sachverhalten äussern und darlegen, wie die Betroffenen im Fall von Datendiebstahl informiert werden. Und auch das Bundesamt für Gesundheit (BAG), welches das Projekt finanziell fördert, habe die Stiftung beauftragt, den Hinweisen nachzugehen und die Mängel zu beheben, heisst es unter Berufung auf Sprecher Grégoire Gogniat.

Die Recherchen werfen ein schlechtes Licht auf die Impfplattform - die Kritik am Portal ist allerdings nicht neu. Die Stiftung für Konsumentenschutz hat kürzlich die in mehreren Medienberichten geäusserten Bedenken zusammengefasst: "Sicherheitsmerkmale entsprechen nicht den neusten Standards und lassen sich damit einfacher fälschen. Die Webseite sei veraltet und das letzte Update sei ganze zwei Jahre alt. Zudem fehle eine weltweite digitale Lesbarkeit." Man rate Konsumentinnen und Konsumenzen, "zurückhaltend zu sein, und sich gut zu überlegen, ob sie ihre Gesundheitsdaten unter meineimpfungen.ch erfassen wollen".

Die Website "meineimpfungen.ch" ging bereits 2012 online. Die Idee des Portals war, das gedruckte

Impfbüchlein abzulösen. Bis 2018 hatten sich 150'000 Nutzer registriert. Mittlerweile sollen es doppelt so viele sein.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.