Schweizer Impfplattform geht wegen Sicherheitsmängeln vom Netz

Eigentlich hätte die Plattform «meineimpfungen» beim elektronischen Impfausweis eine zentrale Rolle spielen sollen. Auf ihr sowie der dazugehörigen Smartphone-App myViavac für iOS- und Android-Geräte können Schweizerinnen und Schweizer einen elektronischen Impfausweis erfassen. An den Start ging die Plattform im Frühling 2013, betrieben wird sie von einer Stiftung. Die Lösung wurde bislang vom Bundesamt für Gesundheit (BAG) für den elektronischen Impfausweis favorisiert.

Ob das nach wie vor der Fall ist, ist fraglich. Denn wie das Onlinemagazin «Republik» berichtet, weist die Plattform gravierende Sicherheitsmängel auf und erfüllt die Anforderungen an den Datenschutz nicht. Zu diesem Schluss kommt auch ein neuer Bericht von Informationssicherheitsexperten. Betroffen ist auch die Smartphone-App myViavac. «Offen wie ein Telefonbuch und leicht manipulierbar», urteilte die «Republik». «Das Tor für Missbrauch und Kompromittierung der Daten von rund 450’000 eingetragenen geimpften Personen, darunter von 240’000 Covid-Geimpften, ist mit den festgestellten Sicherheits­lücken sperrangel­weit offen.» Selbst die Impfdaten von Bundesräten seien zugänglich gewesen, heisst es im Artikel weiter. Ob die Sicherheitslücken tatsächlich von Kriminellen ausgenutzt worden sind, ist laut «Republik» unklar.

Die Experten, die die Untersuchung im Rahmen eines ehrenamtlichen Engagements durchführten, bemängelten hauptsächlich umfassende Zugriffsrechte, mangelnde Überprüfung und Sicherheitslücken. Zu Letzteren heisst es im Bericht: «Aufgrund des fehlenden Berechtigungskonzepts können Angreifer in Besitz eines zuvor erlangten Fachpersonen-Accounts auf persönliche Informationen sowie die COVID-19-Impfnachweise aller registrierten Patienten zugreifen».

Die Autoren Sven Fassbender, Martin Tschirsich und André Zilch fassen zusammen: «In Anbetracht des hohen Schutzbedarfs der verarbeiteten Gesundheitsdaten müssen die betroffenen Dienste unverzüglich ausser Betrieb genommen werden». Die festgestellten Mängel wurden an «meineimpfungen» gemeldet. Die Stiftung hat daraufhin reagiert und nach Angaben von «Republik» die Plattform am Montag vom Netz genommen. Am Dienstag publizierte die Betreiberin zusätzliche Hintergrundinformationen zum Vorfall. Nach Angaben der Stiftung wurden die technischen Schwachstellen bereits am Montag, 22. März 2021 mehrheitlich behoben. «Zur Sicherheit haben wir den Betrieb der Plattform bis zum Abschluss einer vollständigen Analyse unterbrochen», heisst es nun auf der Webseite.

Auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) ist in der Sache inzwischen aktiv geworden. Wie es in einer entsprechenden Mitteilung heisst, hat er auf Anzeige der «Republik» ein formelles Verfahren gegen die Betreiberin der Plattform eröffnet. Nach Rücksprache mit dem Nationalen Zentrum für Cybersicherheit (NCSC) sei er zum Schluss gekommen, dass die angezeigten Verletzungen plausibel sind.

Zudem wies er die Stiftung laut eigenen Angaben an, die als mangelhaft angezeigten Bearbeitungen unverzüglich einzustellen. «Die Datenbearbeitung der Impfplattform ist geeignet, die Persönlichkeitsrechte einer grossen Zahl von Personen zu verletzen, zumal es sich in diesem Fall um besonders schützenswerte Personendaten betreffend die Gesundheit handelt», heisst es dazu im Communiqué.

Die Verantwortlichen der Stiftung seien nun aufgefordert, gegenüber dem Edöb «sehr rasch» zu den erhobenen Vorwürfen und der Anzeige durch die «Republik» Stellung zu nehmen. Ausserdem erwarte er auch Angaben über allfällige Datenverluste.

Update, 24.3.21: Nutzerinnen und Nutzer wurden von der Impf-Plattform bislang noch nicht aktiv über den Vorfall informiert. Dies soll nachgeholt werden. Wie die Stiftung auf Anfrage zu Computerworld sagt, ist eine Information per E-Mail an alle 460'000 User in Vorbereitung. Der Versand könne aus organisatorischen Gründen frühestens ab heute (24. März 2021) erfolgen. Am Freitag will die Stiftung eine erste Stellungnahme beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten einreichen. Sobald der Plattform-Zugang wieder möglich sei, werde man die Nutzer erneut informieren.