Edöb bestätigt «schwerwiegende Mängel» bei Schweizer Impfplattform

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftrage Edöb hat seinen Schlussbericht zur Causa Meineimpfungen veröffentlicht. Die Bilanz zur Plattform fällt vernichtend aus: «Es hat sich gezeigt, dass die technischen Mängel sehr schwerwiegend waren und das gesamte Angebot der Plattform betrafen», schreibt der oberste Datenschützer Adrian Lobsiger in seinem Bericht.

Auf meineimpfungen.ch konnten Privatpersonen – bis zur Einstellung der Plattform – ihre Impfungen in einem persönlichen Konto elektronisch dokumentieren. Teil der Lösung war auch das Modul «myCOVIDvac», das als Nachweis der Covid-19-Impfungen dienen sollte. Hierbei wollte das Bundesamt für Gesundheit ursprünglich mit der Stiftung zusammenarbeiten, die für den Betrieb der Plattform zuständig war.

Dazu kam es jedoch nicht. Im März dieses Jahres deckte das Onlinemagazin «Republik» gravierende Sicherheitslücken auf (Computerworld berichtete). In der Folge wurde die Plattform vom Netz genommen und schliesslich eingestellt.

Die Sicherheitslücken wurden nach dem Bericht der «Republik» genauer untersucht – und zwar von der Dienstleisterin Compass Security Schweiz, wie es im Schlussbericht des Edöb heisst. Die Untersuchung habe unter anderem verschiedene Mängel bezüglich der Protokollierung von Logdateien aufgedeckt. Diese seien nicht zentral gesammelt, nicht vor Manipulationen geschützt und auch nicht automatisch ausgewertet worden, um bei einer Anomalie eine automatische Alarmierung auszulösen. Zudem wurden diese dem Bericht zufolge grundsätzlich nur 30 Tage lang aufbewahrt.

So hielt die Dienstleisterin in ihrer Analyse denn auch fest, dass aufgrund des Mangels an auswertbaren Logdateien keine forensische Analyse durchgeführt werden konnte. Konkret heisst das: Man konnte nicht ausschliessen, dass vor Februar 2021 Daten der Impfplattform und «myCOVIDvac» manipuliert wurden. Kritisch ist das insofern, weil die Applikation gemäss der Untersuchung veraltete Komponenten von Drittherstellern verwendete, die anfällig für bereits bekannte Schwachstellen waren und/oder nicht mehr unterstützt wurden.

Inzwischen ist der Stiftung Meineimpfungen das Geld ausgegangen, kürzlich wurde die Liquidation beantragt (Computerworld berichtete). Nun geht es darum, dass Nutzerinnen und Nutzer trotzdem Zugriff auf ihre Daten erhalten oder die Löschung beantragen können. Ursprünglich teilte die Stiftung mit, dass dies nicht mehr möglich sei. Angeblich wurde dann mit dem BAG und dem Datenschützer nach einer Lösung gesucht.

Dabei wurde man offenbar fündig: «Es ist eine praktikable Lösung gefunden, diese liegt auf dem Tisch», sagte Lobsiger gegenüber «SRF». Unklar ist laut dem Bericht jedoch noch, wie diese genau aussieht. Die Sprache ist von einem «pragmatischen und gleichzeitig sicheren Weg», der die rasche Beantwortung von Lösch- und Auskunftsbegehren erlauben soll.

Vor Kurzem wurde auch bekannt, dass sich das BAG von 2017 bis 2020 mit knapp 1,5 Millionen Franken an der Stiftung Meineimpfungen beteiligt hatte. Das Bundesamt will nun prüfen, ob eine teilweise Rückforderung der geleisteten Finanzhilfen des Bundes angezeigt ist, wie aus einer Stellungnahme des Bundesrates auf eine Interpellation der Luzerner Nationalrätin Prisca Birrer-Heimo (SP) hervorging.