Digital
Schweiz

Meineimpfungen.ch abgeschaltet – gravierende Sicherheitsmängel

meineimpfungen.ch ist offline.
Die recherchierenden Journalisten hätten gemäss eigenen Angaben auch die Impfdaten von zwei Bundesratsmitgliedern einsehen können.Bild: keystone/watson

Meineimpfungen.ch abgeschaltet – neuer Bericht deckt gravierende Sicherheitsmängel auf

Impfdaten von Schweizerinnen und Schweizern, darunter 240'000 von Covid-Geimpften, waren gemäss Recherchen der «Republik» über das Internet offen zugänglich und manipulierbar. Das sind die wichtigsten Fakten.
23.03.2021, 09:5623.03.2021, 14:21
Mehr «Digital»
«Nach dem Fax das Telefonbuch: Das nächste digitale Debakel im Schweizer Gesundheitssystem.»
Kommentar der «Republik»quelle: twitter

Was ist passiert?

Die Plattform meineimpfungen.ch weist gemäss Recherchen des Online-Magazins Republik «gravierende Sicherheits­mängel» auf und ist derzeit für Nutzer nicht verfügbar.

Die Anforderungen an den Daten­schutz sind laut «Republik» nicht erfüllt. Dies habe ein technischer Bericht von unabhängigen Schweizer IT-Sicherheitsexperten ergeben.

«Das Tor für Missbrauch und Kompromittierung der Daten von rund 450’000 eingetragenen geimpften Personen, darunter von 240’000 Covid-Geimpften, ist mit den festgestellten Sicherheits­lücken sperrangel­weit offen.»
quelle: republik.ch

Betroffen ist auch die zugehörige Smartphone-App myViavac, die es für iPhones und Android-Mobilgeräte gibt.

Wie schlimm ist es?

Die IT-Sicherheitsexperten sind gemäss Bericht auf drei gravierende Problembereiche gestossen:

  • Jede Medizin­fachperson, die auf der Plattform registriert sei, habe «umfassenden Zugriff auf die Impf- und Gesundheits­daten sämtlicher erfasster Privat­personen». Das bedeutet, Kriminelle könnten zum Beispiel «deren covid­relevante Impfdaten einfach manipulieren».
  • Bei der Registrierung (von Medizinfachpersonen) fand keine eigentliche Identitäts­prüfung statt. Die Verifikation basierte allein auf den Informationen der Antrag­stellen. Jedermann konnte sich als «Arzt» ausgeben.
  • Wegen Sicherheitslücken konnten Angreifer laut Republik «relativ leicht die Covid-19-Impfausweise sämtlicher bisher geimpfter Personen auf der Plattform erbeuten». Mit etwas technischem Wissen liessen sich ausserdem die Impf­daten und weitere Gesundheits­daten manipulieren.

Ob die Sicherheitslücken tatsächlich von Kriminellen ausgenutzt worden sind, ist laut «Republik» unklar.

Die Journalisten Adrienne Fichter und Patrick Seeman schreiben, sie hätten auch die Impfdaten der Bundesräte Viola Amherd und Ignazio Cassis einsehen sowie auf weitere persönliche Gesundheits­daten zugreifen können.

Wie reagieren die Verantwortlichen?

Die Plattform meineimpfungen.ch war am Dienstagmorgen nicht erreichbar. Wegen einer «dringenden Wartung».

Der eidgenössische Datenschutz­beauftragte (Edöb) Adrian Lobsiger hat aufgrund des Sicherheitsberichts und der Republik-Recherchen ein formelles Verfahren gegen die Stiftung Meineimpfungen.ch eingeleitet, wie er am Dienstag bestätigt. Nach Rücksprache mit dem Nationalen Zentrum für Cybersicherheit (NCSC) sei er zum Schluss gekommen, «dass die angezeigten Verletzungen plausibel sind.»

Lobsiger habe am Montag die Stiftung aufgefordert, die Plattform bis auf Weiteres vom Netz zu nehmen. In seiner Mitteilung hält er fest:

«Die Datenbearbeitung der Impfplattform ist geeignet, die Persönlichkeitsrechte einer grossen Zahl von Personen zu verletzen, zumal es sich in diesem Fall um besonders schützenswerte Personendaten betreffend die Gesundheit handelt.»

Die Plattform sei gestern Montag vom Netz genommen worden, heisst es im Medienbericht. Offenbar auch auf Verlangen des Bundesamts für Gesundheit (BAG)

«Das BAG hat die Stiftung sofort beauftragt, den Hinweisen nachzugehen und die Mängel zu beheben.»
Grégoire Gogniat, BAG-Sprecher

Die Sprecherin der Stiftung bestätigt gegenüber watson:

«Unser oberstes Ziel ist, die bekannt gewordenen Schwachstellen zu beseitigen und die Sicherheit der Plattform meineimpfungen wieder vollumfänglich zu gewährleisten. Ob tatsächlich Impfdaten von Unbefugten eingesehen wurden, ist momentan Gegenstand unserer Abklärungen. Bis zum jetzigen Zeitpunkt haben wir keine Hinweise darauf gefunden. Wir bitten Sie um Verständnis, dass wir im Sinne der Sache und als kleine Stiftung unsere knappen Ressourcen voll auf die schnelle Wiederherstellung des Betriebs der Plattform fokussieren müssen.»
Nicole Bürki, Stiftung Meineimpfungen

Weder auf der BAG-Website noch via Twitter informiert der Bund bislang über die publik gemachten Probleme.

Gegenüber der Republik-Journalisten betonte ein BAG-Sprecher, meineimpfungen.ch sei kein nationales Impfregister und das Eintragen von entsprechenden Daten erfolge freiwillig.

Die Sprecherin der Stiftung sagte laut «Republik», die beschriebenen IT-Sicherheits­mängel seien bis am letzten Sonntag (21. März 2021) nicht bekannt gewesen. Man werde «alle Befunde prüfen und eine spezialisierte Drittfirma mit weitergehenden Checks beauftragen».

Die technischen Schwachstellen seien bereits am Montag, 22. März 2021, am frühen Morgen mehrheitlich behoben worden, heisst es in einer Stellungnahme, die watson vorliegt. Zur Sicherheit habe man den Betrieb der Plattform bis zum Abschluss einer vollständigen Analyse unterbrochen.

Was bezweckt meineimpfungen.ch?

Die Plattform meineimpfungen.ch wird von einer privaten Stiftung betrieben. Sie werde vom Bundesamt für Gesundheit (BAG) für den elektronischen Impf­ausweis favorisiert, fasst die «Republik» zusammen. Neun Kantone hätten einen Vertrag mit der Stiftung. Der Zweck sei die Zusammen­führung der Daten der Impfanmeldungs­software der Kantone und des gesamt­schweizerischen elektronischen Impfbüchleins.

In einem früheren Bericht des «Tages-Anzeigers» liess der Bund verlauten, es sei offen, mit welcher Plattform man für den staatlichen Impfausweis zusammen­arbeite. Allerdings rufen die Republik-Journalisten in Erinnerung, dass der Bundesrat meineimpfungen.ch «als valable Kandidatin für einen staatlichen Impfausweis» genannt habe in offiziellen Antworten auf parlamentarische Anfragen.

Gemäss früheren Recherchen der «SonntagsZeitung» habe der Bund bereits 2,15 Millionen Franken investiert und weitere 250’000 Franken in Aussicht gestellt.

Laut einem vertraulichen Dokument von Dezember 2020 – das online verfügbar ist – schien die Zusammenarbeit zwischen dem BAG und meineimpfungen.ch besiegelt.

Dieser Entscheid dürfte nach den jüngsten Enthüllungen infrage gestellt sein und im Parlament auf Widerstand stossen.

Die «Republik» ruft das kürzlich angepasste Covid-19-Gesetz in Erinnerung. Darin sei festgehalten, dass der Bundesrat eine digitale Impfpass­lösung umsetzen muss, die «fälschungs­sicher, international anerkannt» und «datenschutz­konform» ist und «lokale Überprüfungen ermöglicht».

«Meineimpfungen.ch erfüllt diese Standards in keiner Weise.»
quelle: republik.ch

Sind die Vorwürfe neu?

Nein.

Die Plattform meineimpfungen.ch war schon in mehreren Medienberichten als unsicher kritisiert worden. Die Stiftung für Konsumentenschutz (SKS) fasste die Probleme in einem Online-Ratgeber von Anfang März wie folgt zusammen:

  • Die Impfdaten würden nicht etwa auf Servern des Bundes, sondern von der privatrechtlichen Firma Arpage AG gespeichert und verwaltet.
  • Gemäss Branchenexperten und -expertinnen weise die Plattform, mit der diese äusserst sensiblen persönlichen Daten verwaltet werden, erhebliche Sicherheitsmängel auf. So entsprächen Sicherheitsmerkmale nicht den neusten Standards und liessen sich damit einfacher fälschen.
  • Die Webseite sei veraltet und das letzte App-Update sei zwei Jahre alt. Zudem fehle eine weltweite digitale Lesbarkeit. Gerade bei Auslandsreisen, wo unter Umständen ein Impfnachweis verlangt werde, sei meineimpfungen.ch also kein Ersatz für den Impfausweis auf Papier.

Angesichts dieser Probleme riet der Konsumentenschutz den Konsumentinnen und Patienten zurückhaltend zu sein, «und sich gut zu überlegen, ob sie ihre Gesundheitsdaten unter meineimpfungen.ch erfassen wollen».

Im Januar sagte Stiftungsgründer Hannes Boesch gegenüber SRF, dass die App ersetzt werde, die Sicherheit sei garantiert. Man arbeite «mit externen Spezialisten zusammen». Gemäss Angaben im App Store von Apple datiert die aktuelle Version der myViavac-App (iOS) von «vor 2 Monaten».

Man bemühe sich um mehr Transparenz, zudem werde eine personelle Erweiterung im Stiftungsrat angestrebt, etwa mit Patienten- oder Konsumentenschützerinnen, hiess es im Januar.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Die bösartigsten Computer-Attacken aller Zeiten
1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Der Lösegeld-Trojaner «WannaCry» geht als bislang grösste Ransomware-Attacke in die IT-Annalen ein. Früher war aber nicht alles besser, im Gegenteil! Wir zeigen dir eine Auswahl der schlimmsten Malware-Attacken ...
Auf Facebook teilenAuf X teilen
Diese Animation zeigt die Ansteckungsgefahr durch Gesichtsvisiere
Video: watson
Das könnte dich auch noch interessieren:
127 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Filzstift
23.03.2021 10:13registriert August 2016
Private Firmen können das also besser als die Bundesbehörden? Naja zum Glück passiert sowas dank Referendum bei der eID (vorläufig) nicht.
71030
Melden
Zum Kommentar
avatar
Schlüsselblüemli
23.03.2021 10:11registriert April 2020
Anstatt wieder Millionen von Steuergeldern sinnlos auszugeben, wie wärs wenn man die Impfung einfach ins Impfbüchli einträgt?!
422137
Melden
Zum Kommentar
avatar
Lowend
23.03.2021 11:00registriert Februar 2014
Alle, die gerade das beliebte BAG-Bashing betreiben, sollten sich gut überlegen, dass es sich in dem Fall um eine rein PRIVATE STIFTUNG handelt, die diesen Müll produziert hat.

Staatliche Stellen überlegten sich bloss eine Zusammenarbeit mit dieser Stiftung, was nach diesem Debakel hoffentlich ad Acta gelegt wird, denn wenn es um vertrauliche Daten geht, ist es selten eine gute Idee, diese an Dritte auszulagern, egal ob bei Privaten oder dem Staat.
32060
Melden
Zum Kommentar
127
«Es steht halt so im Kalender» – wir wollen wissen, warum man Ostern feiert

Hach, Ostern. Das verlängerte Wochenende zum Frühlingsbeginn kommt uns doch stets willkommen und kommt uns vom Winter und von der Arbeit Geschundenen sehr entgegen. Aber wisst ihr, warum wir frei haben? Was wird überhaupt gefeiert? Und was war nochmal Gründonnerstag?

Wir haben euch gefragt, das waren eure Antworten:

Zur Story