Die Plattform meineimpfungen.ch weist gemäss Recherchen des Online-Magazins Republik «gravierende Sicherheitsmängel» auf und ist derzeit für Nutzer nicht verfügbar.
Die Anforderungen an den Datenschutz sind laut «Republik» nicht erfüllt. Dies habe ein technischer Bericht von unabhängigen Schweizer IT-Sicherheitsexperten ergeben.
Betroffen ist auch die zugehörige Smartphone-App myViavac, die es für iPhones und Android-Mobilgeräte gibt.
Die IT-Sicherheitsexperten sind gemäss Bericht auf drei gravierende Problembereiche gestossen:
Ob die Sicherheitslücken tatsächlich von Kriminellen ausgenutzt worden sind, ist laut «Republik» unklar.
Die Journalisten Adrienne Fichter und Patrick Seeman schreiben, sie hätten auch die Impfdaten der Bundesräte Viola Amherd und Ignazio Cassis einsehen sowie auf weitere persönliche Gesundheitsdaten zugreifen können.
Die Plattform meineimpfungen.ch war am Dienstagmorgen nicht erreichbar. Wegen einer «dringenden Wartung».
Der eidgenössische Datenschutzbeauftragte (Edöb) Adrian Lobsiger hat aufgrund des Sicherheitsberichts und der Republik-Recherchen ein formelles Verfahren gegen die Stiftung Meineimpfungen.ch eingeleitet, wie er am Dienstag bestätigt. Nach Rücksprache mit dem Nationalen Zentrum für Cybersicherheit (NCSC) sei er zum Schluss gekommen, «dass die angezeigten Verletzungen plausibel sind.»
Lobsiger habe am Montag die Stiftung aufgefordert, die Plattform bis auf Weiteres vom Netz zu nehmen. In seiner Mitteilung hält er fest:
Die Plattform sei gestern Montag vom Netz genommen worden, heisst es im Medienbericht. Offenbar auch auf Verlangen des Bundesamts für Gesundheit (BAG)
Die Sprecherin der Stiftung bestätigt gegenüber watson:
Weder auf der BAG-Website noch via Twitter informiert der Bund bislang über die publik gemachten Probleme.
Gegenüber der Republik-Journalisten betonte ein BAG-Sprecher, meineimpfungen.ch sei kein nationales Impfregister und das Eintragen von entsprechenden Daten erfolge freiwillig.
Die Sprecherin der Stiftung sagte laut «Republik», die beschriebenen IT-Sicherheitsmängel seien bis am letzten Sonntag (21. März 2021) nicht bekannt gewesen. Man werde «alle Befunde prüfen und eine spezialisierte Drittfirma mit weitergehenden Checks beauftragen».
Die technischen Schwachstellen seien bereits am Montag, 22. März 2021, am frühen Morgen mehrheitlich behoben worden, heisst es in einer Stellungnahme, die watson vorliegt. Zur Sicherheit habe man den Betrieb der Plattform bis zum Abschluss einer vollständigen Analyse unterbrochen.
Die Plattform meineimpfungen.ch wird von einer privaten Stiftung betrieben. Sie werde vom Bundesamt für Gesundheit (BAG) für den elektronischen Impfausweis favorisiert, fasst die «Republik» zusammen. Neun Kantone hätten einen Vertrag mit der Stiftung. Der Zweck sei die Zusammenführung der Daten der Impfanmeldungssoftware der Kantone und des gesamtschweizerischen elektronischen Impfbüchleins.
In einem früheren Bericht des «Tages-Anzeigers» liess der Bund verlauten, es sei offen, mit welcher Plattform man für den staatlichen Impfausweis zusammenarbeite. Allerdings rufen die Republik-Journalisten in Erinnerung, dass der Bundesrat meineimpfungen.ch «als valable Kandidatin für einen staatlichen Impfausweis» genannt habe in offiziellen Antworten auf parlamentarische Anfragen.
Gemäss früheren Recherchen der «SonntagsZeitung» habe der Bund bereits 2,15 Millionen Franken investiert und weitere 250’000 Franken in Aussicht gestellt.
Laut einem vertraulichen Dokument von Dezember 2020 – das online verfügbar ist – schien die Zusammenarbeit zwischen dem BAG und meineimpfungen.ch besiegelt.
Dieser Entscheid dürfte nach den jüngsten Enthüllungen infrage gestellt sein und im Parlament auf Widerstand stossen.
Die «Republik» ruft das kürzlich angepasste Covid-19-Gesetz in Erinnerung. Darin sei festgehalten, dass der Bundesrat eine digitale Impfpasslösung umsetzen muss, die «fälschungssicher, international anerkannt» und «datenschutzkonform» ist und «lokale Überprüfungen ermöglicht».
Nein.
Die Plattform meineimpfungen.ch war schon in mehreren Medienberichten als unsicher kritisiert worden. Die Stiftung für Konsumentenschutz (SKS) fasste die Probleme in einem Online-Ratgeber von Anfang März wie folgt zusammen:
Angesichts dieser Probleme riet der Konsumentenschutz den Konsumentinnen und Patienten zurückhaltend zu sein, «und sich gut zu überlegen, ob sie ihre Gesundheitsdaten unter meineimpfungen.ch erfassen wollen».
Im Januar sagte Stiftungsgründer Hannes Boesch gegenüber SRF, dass die App ersetzt werde, die Sicherheit sei garantiert. Man arbeite «mit externen Spezialisten zusammen». Gemäss Angaben im App Store von Apple datiert die aktuelle Version der myViavac-App (iOS) von «vor 2 Monaten».
Man bemühe sich um mehr Transparenz, zudem werde eine personelle Erweiterung im Stiftungsrat angestrebt, etwa mit Patienten- oder Konsumentenschützerinnen, hiess es im Januar.
Staatliche Stellen überlegten sich bloss eine Zusammenarbeit mit dieser Stiftung, was nach diesem Debakel hoffentlich ad Acta gelegt wird, denn wenn es um vertrauliche Daten geht, ist es selten eine gute Idee, diese an Dritte auszulagern, egal ob bei Privaten oder dem Staat.