DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Die recherchierenden Journalisten hätten gemäss eigenen Angaben auch die Impfdaten von zwei Bundesratsmitgliedern einsehen können.
Die recherchierenden Journalisten hätten gemäss eigenen Angaben auch die Impfdaten von zwei Bundesratsmitgliedern einsehen können.
Bild: keystone/watson

Meineimpfungen.ch abgeschaltet – neuer Bericht deckt gravierende Sicherheitsmängel auf

Impfdaten von Schweizerinnen und Schweizern, darunter 240'000 von Covid-Geimpften, waren gemäss Recherchen der «Republik» über das Internet offen zugänglich und manipulierbar. Das sind die wichtigsten Fakten.
23.03.2021, 09:56
«Nach dem Fax das Telefonbuch: Das nächste digitale Debakel im Schweizer Gesundheitssystem.»
Kommentar der «Republik»
quelle: twitter

Was ist passiert?

Die Plattform meineimpfungen.ch weist gemäss Recherchen des Online-Magazins Republik «gravierende Sicherheits­mängel» auf und ist derzeit für Nutzer nicht verfügbar.

Die Anforderungen an den Daten­schutz sind laut «Republik» nicht erfüllt. Dies habe ein technischer Bericht von unabhängigen Schweizer IT-Sicherheitsexperten ergeben.

«Das Tor für Missbrauch und Kompromittierung der Daten von rund 450’000 eingetragenen geimpften Personen, darunter von 240’000 Covid-Geimpften, ist mit den festgestellten Sicherheits­lücken sperrangel­weit offen.»
quelle: republik.ch

Betroffen ist auch die zugehörige Smartphone-App myViavac, die es für iPhones und Android-Mobilgeräte gibt.

Wie schlimm ist es?

Die IT-Sicherheitsexperten sind gemäss Bericht auf drei gravierende Problembereiche gestossen:

  • Jede Medizin­fachperson, die auf der Plattform registriert sei, habe «umfassenden Zugriff auf die Impf- und Gesundheits­daten sämtlicher erfasster Privat­personen». Das bedeutet, Kriminelle könnten zum Beispiel «deren covid­relevante Impfdaten einfach manipulieren».
  • Bei der Registrierung (von Medizinfachpersonen) fand keine eigentliche Identitäts­prüfung statt. Die Verifikation basierte allein auf den Informationen der Antrag­stellen. Jedermann konnte sich als «Arzt» ausgeben.
  • Wegen Sicherheitslücken konnten Angreifer laut Republik «relativ leicht die Covid-19-Impfausweise sämtlicher bisher geimpfter Personen auf der Plattform erbeuten». Mit etwas technischem Wissen liessen sich ausserdem die Impf­daten und weitere Gesundheits­daten manipulieren.

Ob die Sicherheitslücken tatsächlich von Kriminellen ausgenutzt worden sind, ist laut «Republik» unklar.

Die Journalisten Adrienne Fichter und Patrick Seeman schreiben, sie hätten auch die Impfdaten der Bundesräte Viola Amherd und Ignazio Cassis einsehen sowie auf weitere persönliche Gesundheits­daten zugreifen können.

Wie reagieren die Verantwortlichen?

Die Plattform meineimpfungen.ch war am Dienstagmorgen nicht erreichbar. Wegen einer «dringenden Wartung».

Der eidgenössische Datenschutz­beauftragte (Edöb) Adrian Lobsiger hat aufgrund des Sicherheitsberichts und der Republik-Recherchen ein formelles Verfahren gegen die Stiftung Meineimpfungen.ch eingeleitet, wie er am Dienstag bestätigt. Nach Rücksprache mit dem Nationalen Zentrum für Cybersicherheit (NCSC) sei er zum Schluss gekommen, «dass die angezeigten Verletzungen plausibel sind.»

Lobsiger habe am Montag die Stiftung aufgefordert, die Plattform bis auf Weiteres vom Netz zu nehmen. In seiner Mitteilung hält er fest:

«Die Datenbearbeitung der Impfplattform ist geeignet, die Persönlichkeitsrechte einer grossen Zahl von Personen zu verletzen, zumal es sich in diesem Fall um besonders schützenswerte Personendaten betreffend die Gesundheit handelt.»

Die Plattform sei gestern Montag vom Netz genommen worden, heisst es im Medienbericht. Offenbar auch auf Verlangen des Bundesamts für Gesundheit (BAG)

«Das BAG hat die Stiftung sofort beauftragt, den Hinweisen nachzugehen und die Mängel zu beheben.»
Grégoire Gogniat, BAG-Sprecher

Die Sprecherin der Stiftung bestätigt gegenüber watson:

«Unser oberstes Ziel ist, die bekannt gewordenen Schwachstellen zu beseitigen und die Sicherheit der Plattform meineimpfungen wieder vollumfänglich zu gewährleisten. Ob tatsächlich Impfdaten von Unbefugten eingesehen wurden, ist momentan Gegenstand unserer Abklärungen. Bis zum jetzigen Zeitpunkt haben wir keine Hinweise darauf gefunden. Wir bitten Sie um Verständnis, dass wir im Sinne der Sache und als kleine Stiftung unsere knappen Ressourcen voll auf die schnelle Wiederherstellung des Betriebs der Plattform fokussieren müssen.»
Nicole Bürki, Stiftung Meineimpfungen

Weder auf der BAG-Website noch via Twitter informiert der Bund bislang über die publik gemachten Probleme.

Gegenüber der Republik-Journalisten betonte ein BAG-Sprecher, meineimpfungen.ch sei kein nationales Impfregister und das Eintragen von entsprechenden Daten erfolge freiwillig.

Die Sprecherin der Stiftung sagte laut «Republik», die beschriebenen IT-Sicherheits­mängel seien bis am letzten Sonntag (21. März 2021) nicht bekannt gewesen. Man werde «alle Befunde prüfen und eine spezialisierte Drittfirma mit weitergehenden Checks beauftragen».

Die technischen Schwachstellen seien bereits am Montag, 22. März 2021, am frühen Morgen mehrheitlich behoben worden, heisst es in einer Stellungnahme, die watson vorliegt. Zur Sicherheit habe man den Betrieb der Plattform bis zum Abschluss einer vollständigen Analyse unterbrochen.

Was bezweckt meineimpfungen.ch?

Die Plattform meineimpfungen.ch wird von einer privaten Stiftung betrieben. Sie werde vom Bundesamt für Gesundheit (BAG) für den elektronischen Impf­ausweis favorisiert, fasst die «Republik» zusammen. Neun Kantone hätten einen Vertrag mit der Stiftung. Der Zweck sei die Zusammen­führung der Daten der Impfanmeldungs­software der Kantone und des gesamt­schweizerischen elektronischen Impfbüchleins.

In einem früheren Bericht des «Tages-Anzeigers» liess der Bund verlauten, es sei offen, mit welcher Plattform man für den staatlichen Impfausweis zusammen­arbeite. Allerdings rufen die Republik-Journalisten in Erinnerung, dass der Bundesrat meineimpfungen.ch «als valable Kandidatin für einen staatlichen Impfausweis» genannt habe in offiziellen Antworten auf parlamentarische Anfragen.

Gemäss früheren Recherchen der «SonntagsZeitung» habe der Bund bereits 2,15 Millionen Franken investiert und weitere 250’000 Franken in Aussicht gestellt.

Laut einem vertraulichen Dokument von Dezember 2020 – das online verfügbar ist – schien die Zusammenarbeit zwischen dem BAG und meineimpfungen.ch besiegelt.

Dieser Entscheid dürfte nach den jüngsten Enthüllungen infrage gestellt sein und im Parlament auf Widerstand stossen.

Die «Republik» ruft das kürzlich angepasste Covid-19-Gesetz in Erinnerung. Darin sei festgehalten, dass der Bundesrat eine digitale Impfpass­lösung umsetzen muss, die «fälschungs­sicher, international anerkannt» und «datenschutz­konform» ist und «lokale Überprüfungen ermöglicht».

«Meineimpfungen.ch erfüllt diese Standards in keiner Weise.»
quelle: republik.ch

Sind die Vorwürfe neu?

Nein.

Die Plattform meineimpfungen.ch war schon in mehreren Medienberichten als unsicher kritisiert worden. Die Stiftung für Konsumentenschutz (SKS) fasste die Probleme in einem Online-Ratgeber von Anfang März wie folgt zusammen:

  • Die Impfdaten würden nicht etwa auf Servern des Bundes, sondern von der privatrechtlichen Firma Arpage AG gespeichert und verwaltet.
  • Gemäss Branchenexperten und -expertinnen weise die Plattform, mit der diese äusserst sensiblen persönlichen Daten verwaltet werden, erhebliche Sicherheitsmängel auf. So entsprächen Sicherheitsmerkmale nicht den neusten Standards und liessen sich damit einfacher fälschen.
  • Die Webseite sei veraltet und das letzte App-Update sei zwei Jahre alt. Zudem fehle eine weltweite digitale Lesbarkeit. Gerade bei Auslandsreisen, wo unter Umständen ein Impfnachweis verlangt werde, sei meineimpfungen.ch also kein Ersatz für den Impfausweis auf Papier.

Angesichts dieser Probleme riet der Konsumentenschutz den Konsumentinnen und Patienten zurückhaltend zu sein, «und sich gut zu überlegen, ob sie ihre Gesundheitsdaten unter meineimpfungen.ch erfassen wollen».

Im Januar sagte Stiftungsgründer Hannes Boesch gegenüber SRF, dass die App ersetzt werde, die Sicherheit sei garantiert. Man arbeite «mit externen Spezialisten zusammen». Gemäss Angaben im App Store von Apple datiert die aktuelle Version der myViavac-App (iOS) von «vor 2 Monaten».

Man bemühe sich um mehr Transparenz, zudem werde eine personelle Erweiterung im Stiftungsrat angestrebt, etwa mit Patienten- oder Konsumentenschützerinnen, hiess es im Januar.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Die bösartigsten Computer-Attacken aller Zeiten

1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Diese Animation zeigt die Ansteckungsgefahr durch Gesichtsvisiere

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Bekannte Corona-Leugner von Anonymous brutal vorgeführt

«Querdenker» planten eine «zensurfreie» Facebook- und YouTube-Alternative und spendeten Geld dafür. Doch bevor sich die Plattform richtig etablierte, wurde sie von Anonymous-Aktivisten gehackt. Die Spur zum Hauptdrahtzieher führt in die Schweiz.

Selbsternannte «Querdenker» haben ein Problem. Facebook und YouTube gehen seit der Corona-Pandemie konsequenter gegen Falschinformationen und Verschwörungserzählungen vor. Da liegt es auf der Hand, dass bekannte «Querdenken»-Vertretende von einer alternativen Plattform träumen, auf der ungestraft gelogen und gehetzt werden darf. Die neue Plattform «Ignorance – pulls the trigger» sollte daher eine «schweizerisch-europäische Facebook- & YouTube-Alternative» für …

Artikel lesen
Link zum Artikel