Sicherheitsmängel
23.03.2021, 11:38 Uhr
Meineimpfungen.ch wurde vorübergehend abgeschaltet
Die Plattform weist einem neuen technischen Bericht zufolge gravierende Sicherheitsmängel auf, wie das Onlinemagazin «Republik» berichtet. Derzeit ist meineimpfungen.ch offline.
Das Bundesamt für Gesundheit (BAG) startete den Dienst meineimpfungen.ch im Frühling 2013 (PCtipp berichtete). Seither können Schweizerinnen und Schweizer auf der Webseite einen elektronischen Impfausweis erfassen. Betrieben wird die Plattform von der Stiftung meineimpfungen.
Der Vorteil: Einerseits hat man die Daten über die Webseite (hier gehts zu unserem Webtool-Test) oder die dazugehörige Smartphone-App myViavac für iOS- und Android-Geräte jederzeit griffbereit. Vorbei die Zeiten, in denen man ewig nach dem physischen Impfbüchlein suchen musste. Dennoch wurde der Webdienst lange Zeit nur mässig genutzt, erhielt jedoch jüngst regeren Zulauf wegen der Corona-Pandemie.
«Gravierende Sicherheitsmängel»
Wer allerdings derzeit (Stand: 23.3.2021, 13:30) auf meineimpfungen.ch surft, um beispielsweise seine Covid-19-Impfung zu erfassen, findet nur eine Wartungs-Info vor.
Update 23.3.21, 13:48 Uhr: Mittlerweile sind auf der Plattform auch Hintergrundinformationen publiziert. Nach Angaben der Stiftung wurden die technischen Schwachstellen bereits am Montag, 22. März 2021 mehrheitlich behoben. «Zur Sicherheit haben wir den Betrieb der Plattform bis zum Abschluss einer vollständigen Analyse unterbrochen», heisst es nun auf der Webseite.
Wie das Onlinemagazin «Republik» berichtet, weist die Plattform Sicherheitsmängel auf und erfüllt die Anforderungen an den Datenschutz nicht. Zu diesem Schluss kommt ein neuer Bericht von Informationssicherheitsexperten. Betroffen ist auch die Smartphone-App myViavac.
«Offen wie ein Telefonbuch und leicht manipulierbar», urteilte «Republik». «Das Tor für Missbrauch und Kompromittierung der Daten von rund 450’000 eingetragenen geimpften Personen, darunter von 240’000 Covid-Geimpften, ist mit den festgestellten Sicherheitslücken sperrangelweit offen.»
Selbst die Impfdaten von Bundesräten seien zugänglich gewesen, heisst es im Artikel weiter. Ob die Sicherheitslücken tatsächlich von Kriminellen ausgenutzt worden sind, ist laut «Republik» unklar.
Das sagen die Sicherheitsexperten
Die Experten, die die Untersuchung im Rahmen eines ehrenamtlichen Engagements durchführten, bemängelten hauptsächlich umfassende Zugriffsrechte, mangelnde Überprüfung und Sicherheitslücken. Zu letzteren heisst es im Bericht: «Aufgrund des fehlenden Berechtigungskonzepts können Angreifer in Besitz eines zuvor erlangten Fachpersonen-Accounts auf persönliche Informationen sowie die COVID-19-Impfnachweise aller registrierten Patienten zugreifen».
Die Autoren Sven Fassbender, Martin Tschirsich, Dr. phil. nat. André Zilch fassen zusammen: «In Anbetracht des hohen Schutzbedarfs der verarbeiteten Gesundheitsdaten müssen die betroffenen Dienste unverzüglich ausser Betrieb genommen werden».
Die festgestellten Mängel wurden an meineimpfungen.ch gemeldet. Die Stiftung hat daraufhin reagiert und nach Angaben von «Republik» die Plattform am Montag deaktiviert.
Den kompletten Republik-Artikel finden Sie über diesen Link, zum technischen Bericht (Download) der Informationssicherheitsexperten gehts hier.
EDÖB hat formelles Verfahren eingeleitet
Die genannten Sicherheitsmängel auf der Impf-Plattform meineimpfungen.ch, die das Onlinemagazin «Republik» aufdeckte, haben Folgen. Auf eine Anzeige des Onlinemagazins hin hat der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ein formelles Verfahren gegen die Betreiberin der Plattform – die Stiftung meineimpfungen mit Sitz in Gümligen (BE) – eingeleitet. Nach Rücksprache mit dem Nationalen Zentrum für Cybersicherheit (NCSC) ist der EDÖB zum Schluss gekommen, dass die angezeigten Verletzungen plausibel sind, heisst es in einer Mitteilung.
Zudem hat er darauf hingewirkt, die als «mangelhaft angezeigten Bearbeitungen unverzüglich einzustellen». Seit Montagnachmittag wird auf der Impf-Plattform eine Wartungsinfo angzeigt, in der die Stiftung behauptet, man habe die technischen Schwachstellen inzwischen mehrheitlich behoben.
Laut EDÖB sind die Stiftungs-Verantwortlichen nun aufgefordert, gegenüber dem Beauftragten (dem EDÖB) «sehr rasch» zu den erhobenen Vorwürfen und der Anzeige durch die «Republik» Stellung zu nehmen. Ausserdem erwarte der EDÖB Angaben über allfällige Datenverluste.
Update: 24.3.21 12:59 Uhr: Momentan können Nutzer Ihre Daten nicht überprüfen, da die Plattform vom Netz genommen wurde. Bisher wurden die Nutzerinnen und Nutzer der Impf-Plattform nicht aktiv informiert. Dies soll nachgeholt werden. Wie die Stiftung auf Anfrage zu PCtipp sagt, ist eine Information per E-Mail an alle 460'000 Nutzer in Vorbereitung. Der Versand könne aus organisatorischen Gründen frühestens ab heute (24. März 2021) erfolgen. Am Freitag will die Stiftung eine erste Stellungnahme beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten einreichen. Sobald der Plattform-Zugang wieder möglich sei, werde man die Nutzer erneut informieren.
23.03.2021
23.03.2021
23.03.2021
23.03.2021
27.03.2021
27.03.2021
28.03.2021