Die Plattform weist einem neuen technischen Bericht zufolge gravierende Sicherheitsmängel auf, wie das Onlinemagazin «Republik» berichtet. Derzeit ist meineimpfungen.ch offline.
Meineimfpungen.ch ist momentan nicht verfügbar
(Quelle: Screenshot/PCtipp.ch)
Das Bundesamt für Gesundheit (BAG) startete den Dienst meineimpfungen.ch im Frühling 2013. Seither können Schweizerinnen und Schweizer auf der Webseite einen elektronischen Impfausweis erfassen. Betrieben wird die Plattform von der Stiftung meineimpfungen.
Screenshot aus unserem Webtool-Test vom September 2019
Quelle: Screenshot/NMGZ Archiv
Der Vorteil: Einerseits hat man die Daten über die Webseite (hier gehts zu unserem Webtool-Test) oder die dazugehörige Smartphone-App myViavac für iOS- und Android-Geräte jederzeit griffbereit. Vorbei die Zeiten, in denen man ewig nach dem physischen Impfbüchlein suchen musste. Dennoch wurde der Webdienst lange Zeit nur mässig genutzt, erhielt jedoch jünst regeren Zulauf wegen der Corona-Pandemie.
«gravierende Sicherheitsmängel»
Wer allerdings derzeit auf meineimpfungen.ch surft, um beispielsweise seine Covid-19-Impfung zu erfassen, findet nur eine Wartungs-Info vor. Wie das Onlinemagazin «Republik» berichtet, weist die Plattform Sicherheitsmängel auf und erfüllt die Anforderungen an den Datenschutz nicht. Zu diesem Schluss kommt ein neuer Bericht von Informationssicherheitsexperten. Betroffen ist auch die Smartphone-App myViavac.
«Offen wie ein Telefonbuch und leicht manipulierbar», urteilte «Republik». «Das Tor für Missbrauch und Kompromittierung der Daten von rund 450’000 eingetragenen geimpften Personen, darunter von 240’000 Covid-Geimpften, ist mit den festgestellten Sicherheitslücken sperrangelweit offen.»
Selbst die Impfdaten von Bundesräten seien zugänglich gewesen, heisst es im Artikel weiter. Ob die Sicherheitslücken tatsächlich von Kriminellen ausgenutzt worden sind, ist laut «Republik» unklar.
Die Experten, die die Untersuchung im Rahmen eines ehrenamtlichen Engagements durchführten, bemängelten hauptsächlich umfassende Zugriffsrechte, mangelnde Überprüfung und Sicherheitslücken. Zu letzteren heisst es im Bericht: «Aufgrund des fehlenden Berechtigungskonzepts können Angreifer in Besitz eines zuvor erlangten Fachpersonen-Accounts auf persönliche Informationen sowie die COVID-19-Impfnachweise aller registrierten Patienten zugreifen».
Die Autoren Sven Fassbender, Martin Tschirsich, Dr. phil. nat. André Zilch fassen zusammen: «In Anbetracht des hohen Schutzbedarfs der verarbeiteten Gesundheitsdaten müssen die betroffenen Dienste unverzüglich ausser Betrieb genommen werden».
Die festgestellten Mängel wurden an meineimpfungen.ch gemeldet. Die Stiftung hat daraufhin reagiert und nach Angaben von «Republik» die Plattform am Montag deaktiviert.
Den kompletten Republik-Artikel finden Sie über diesen Link, zum technischen Bericht (Download) der Informationssicherheitsexperten gehts hier.
Das sagen die Sicherheitsexperten
Die Experten, die die Untersuchung im Rahmen eines ehrenamtlichen Engagements durchführten, bemängelten hauptsächlich umfassende Zugriffsrechte, mangelnde Überprüfung und Sicherheitslücken. Zu Letzteren heisst es im Bericht: «Aufgrund des fehlenden Berechtigungskonzepts können Angreifer in Besitz eines zuvor erlangten Fachpersonen-Accounts auf persönliche Informationen sowie die COVID-19-Impfnachweise aller registrierten Patienten zugreifen». Die Autoren Sven Fassbender, Martin Tschirsich und André Zilch fassen zusammen: «In Anbetracht des hohen Schutzbedarfs der verarbeiteten Gesundheitsdaten müssen die betroffenen Dienste unverzüglich ausser Betrieb genommen werden». Die festgestellten Mängel wurden an «meineimpfungen» gemeldet. Die Stiftung hat daraufhin reagiert und nach Angaben von «Republik» die Plattform am Montag vom Netz genommen. Am Dienstag publizierte die Betreiberin zusätzliche Hintergrundinformationen zum Vorfall. Nach Angaben der Stiftung wurden die technischen Schwachstellen bereits am Montag, 22. März 2021 mehrheitlich behoben. «Zur Sicherheit haben wir den Betrieb der Plattform bis zum Abschluss einer vollständigen Analyse unterbrochen», heisst es nun auf der Webseite.
Edöb greift ein
Auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) ist in der Sache inzwischen aktiv geworden. Wie es in einer entsprechenden Mitteilung heisst, hat er auf Anzeige der «Republik» ein formelles Verfahren gegen die Betreiberin der Plattform eröffnet. Nach Rücksprache mit dem Nationalen Zentrum für Cybersicherheit (NCSC) sei er zum Schluss gekommen, dass die angezeigten Verletzungen plausibel sind.
Zudem wies er die Stiftung laut eigenen Angaben an, die als mangelhaft angezeigten Bearbeitungen unverzüglich einzustellen. «Die Datenbearbeitung der Impfplattform ist geeignet, die Persönlichkeitsrechte einer grossen Zahl von Personen zu verletzen, zumal es sich in diesem Fall um besonders schützenswerte Personendaten betreffend die Gesundheit handelt», heisst es dazu im Communiqué. Die Verantwortlichen der Stiftung seien nun aufgefordert, gegenüber dem Edöb «sehr rasch» zu den erhobenen Vorwürfen und der Anzeige durch die «Republik» Stellung zu nehmen. Ausserdem erwarte er auch Angaben über allfällige Datenverluste.
