DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
meineimpfungen.ch ist offline.

Die recherchierenden Journalisten hätten gemäss eigenen Angaben auch die Impfdaten von zwei Bundesratsmitgliedern einsehen können. Bild: keystone/watson

Meineimpfungen.ch abgeschaltet – neuer Bericht deckt gravierende Sicherheitsmängel auf

Impfdaten von Schweizerinnen und Schweizern, darunter 240'000 von Covid-Geimpften, waren gemäss Recherchen der «Republik» über das Internet offen zugänglich und manipulierbar. Das sind die wichtigsten Fakten.



«Nach dem Fax das Telefonbuch: Das nächste digitale Debakel im Schweizer Gesundheitssystem.»

Kommentar der «Republik» quelle: twitter

Was ist passiert?

Die Plattform meineimpfungen.ch weist gemäss Recherchen des Online-Magazins Republik «gravierende Sicherheits­mängel» auf und ist derzeit für Nutzer nicht verfügbar.

Die Anforderungen an den Daten­schutz sind laut «Republik» nicht erfüllt. Dies habe ein technischer Bericht von unabhängigen Schweizer IT-Sicherheitsexperten ergeben.

«Das Tor für Missbrauch und Kompromittierung der Daten von rund 450’000 eingetragenen geimpften Personen, darunter von 240’000 Covid-Geimpften, ist mit den festgestellten Sicherheits­lücken sperrangel­weit offen.»

quelle: republik.ch

Betroffen ist auch die zugehörige Smartphone-App myViavac, die es für iPhones und Android-Mobilgeräte gibt.

Wie schlimm ist es?

Die IT-Sicherheitsexperten sind gemäss Bericht auf drei gravierende Problembereiche gestossen:

Ob die Sicherheitslücken tatsächlich von Kriminellen ausgenutzt worden sind, ist laut «Republik» unklar.

Die Journalisten Adrienne Fichter und Patrick Seeman schreiben, sie hätten auch die Impfdaten der Bundesräte Viola Amherd und Ignazio Cassis einsehen sowie auf weitere persönliche Gesundheits­daten zugreifen können.

Wie reagieren die Verantwortlichen?

Die Plattform meineimpfungen.ch war am Dienstagmorgen nicht erreichbar. Wegen einer «dringenden Wartung».

Der eidgenössische Datenschutz­beauftragte (Edöb) Adrian Lobsiger hat aufgrund des Sicherheitsberichts und der Republik-Recherchen ein formelles Verfahren gegen die Stiftung Meineimpfungen.ch eingeleitet, wie er am Dienstag bestätigt. Nach Rücksprache mit dem Nationalen Zentrum für Cybersicherheit (NCSC) sei er zum Schluss gekommen, «dass die angezeigten Verletzungen plausibel sind.»

Lobsiger habe am Montag die Stiftung aufgefordert, die Plattform bis auf Weiteres vom Netz zu nehmen. In seiner Mitteilung hält er fest:

«Die Datenbearbeitung der Impfplattform ist geeignet, die Persönlichkeitsrechte einer grossen Zahl von Personen zu verletzen, zumal es sich in diesem Fall um besonders schützenswerte Personendaten betreffend die Gesundheit handelt.»

Die Plattform sei gestern Montag vom Netz genommen worden, heisst es im Medienbericht. Offenbar auch auf Verlangen des Bundesamts für Gesundheit (BAG)

«Das BAG hat die Stiftung sofort beauftragt, den Hinweisen nachzugehen und die Mängel zu beheben.»

Grégoire Gogniat, BAG-Sprecher

Die Sprecherin der Stiftung bestätigt gegenüber watson:

«Unser oberstes Ziel ist, die bekannt gewordenen Schwachstellen zu beseitigen und die Sicherheit der Plattform meineimpfungen wieder vollumfänglich zu gewährleisten. Ob tatsächlich Impfdaten von Unbefugten eingesehen wurden, ist momentan Gegenstand unserer Abklärungen. Bis zum jetzigen Zeitpunkt haben wir keine Hinweise darauf gefunden. Wir bitten Sie um Verständnis, dass wir im Sinne der Sache und als kleine Stiftung unsere knappen Ressourcen voll auf die schnelle Wiederherstellung des Betriebs der Plattform fokussieren müssen.»

Nicole Bürki, Stiftung Meineimpfungen

Weder auf der BAG-Website noch via Twitter informiert der Bund bislang über die publik gemachten Probleme.

Gegenüber der Republik-Journalisten betonte ein BAG-Sprecher, meineimpfungen.ch sei kein nationales Impfregister und das Eintragen von entsprechenden Daten erfolge freiwillig.

Die Sprecherin der Stiftung sagte laut «Republik», die beschriebenen IT-Sicherheits­mängel seien bis am letzten Sonntag (21. März 2021) nicht bekannt gewesen. Man werde «alle Befunde prüfen und eine spezialisierte Drittfirma mit weitergehenden Checks beauftragen».

Die technischen Schwachstellen seien bereits am Montag, 22. März 2021, am frühen Morgen mehrheitlich behoben worden, heisst es in einer Stellungnahme, die watson vorliegt. Zur Sicherheit habe man den Betrieb der Plattform bis zum Abschluss einer vollständigen Analyse unterbrochen.

Was bezweckt meineimpfungen.ch?

Die Plattform meineimpfungen.ch wird von einer privaten Stiftung betrieben. Sie werde vom Bundesamt für Gesundheit (BAG) für den elektronischen Impf­ausweis favorisiert, fasst die «Republik» zusammen. Neun Kantone hätten einen Vertrag mit der Stiftung. Der Zweck sei die Zusammen­führung der Daten der Impfanmeldungs­software der Kantone und des gesamt­schweizerischen elektronischen Impfbüchleins.

In einem früheren Bericht des «Tages-Anzeigers» liess der Bund verlauten, es sei offen, mit welcher Plattform man für den staatlichen Impfausweis zusammen­arbeite. Allerdings rufen die Republik-Journalisten in Erinnerung, dass der Bundesrat meineimpfungen.ch «als valable Kandidatin für einen staatlichen Impfausweis» genannt habe in offiziellen Antworten auf parlamentarische Anfragen.

Gemäss früheren Recherchen der «SonntagsZeitung» habe der Bund bereits 2,15 Millionen Franken investiert und weitere 250’000 Franken in Aussicht gestellt.

Laut einem vertraulichen Dokument von Dezember 2020 – das online verfügbar ist – schien die Zusammenarbeit zwischen dem BAG und meineimpfungen.ch besiegelt.

Dieser Entscheid dürfte nach den jüngsten Enthüllungen infrage gestellt sein und im Parlament auf Widerstand stossen.

Die «Republik» ruft das kürzlich angepasste Covid-19-Gesetz in Erinnerung. Darin sei festgehalten, dass der Bundesrat eine digitale Impfpass­lösung umsetzen muss, die «fälschungs­sicher, international anerkannt» und «datenschutz­konform» ist und «lokale Überprüfungen ermöglicht».

«Meineimpfungen.ch erfüllt diese Standards in keiner Weise.»

quelle: republik.ch

Sind die Vorwürfe neu?

Nein.

Die Plattform meineimpfungen.ch war schon in mehreren Medienberichten als unsicher kritisiert worden. Die Stiftung für Konsumentenschutz (SKS) fasste die Probleme in einem Online-Ratgeber von Anfang März wie folgt zusammen:

Angesichts dieser Probleme riet der Konsumentenschutz den Konsumentinnen und Patienten zurückhaltend zu sein, «und sich gut zu überlegen, ob sie ihre Gesundheitsdaten unter meineimpfungen.ch erfassen wollen».

Im Januar sagte Stiftungsgründer Hannes Boesch gegenüber SRF, dass die App ersetzt werde, die Sicherheit sei garantiert. Man arbeite «mit externen Spezialisten zusammen». Gemäss Angaben im App Store von Apple datiert die aktuelle Version der myViavac-App (iOS) von «vor 2 Monaten».

Man bemühe sich um mehr Transparenz, zudem werde eine personelle Erweiterung im Stiftungsrat angestrebt, etwa mit Patienten- oder Konsumentenschützerinnen, hiess es im Januar.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Die bösartigsten Computer-Attacken aller Zeiten

Diese Animation zeigt die Ansteckungsgefahr durch Gesichtsvisiere

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Analyse

Threema ist das neue WhatsApp – und schlägt die Konkurrenz um Längen

Wer hätte gedacht, dass die weltbeste Messenger-App nicht aus dem Silicon Valley kommen würde, sondern vom Zürichsee. Eine persönliche Analyse.

Seit acht Jahren befasse ich mich mit dem sicheren Schweizer Messenger Threema. Den ersten Artikel dazu publizierte ich im Dezember 2012. Titel: «Die Schweizer Antwort auf WhatsApp». Die damalige erste App gab's nur fürs iPhone, und sie war zum Start gratis. Im Interview versprach der Entwickler, Manuel Kasper, die baldige Veröffentlichung einer von vielen Usern geforderten Android-Version. Und:

Er hielt Wort. Im Gegensatz zu WhatsApp.

Einige dürften sich erinnern, dass es ein gleiches …

Artikel lesen
Link zum Artikel