Es ist unüblich, dass man Informatikerinnen oder Informatiker schweizweit kennt oder sie einen gewissen «Star»-Faktor erreichen. Bei Sven Fassbender, einem Berater für Informationssicherheit, trifft das aber mittlerweile zu: Er konnte schon wieder einen medialen Coup landen, indem er schwerwiegende und offensichtliche IT-Lücken publik machte, die eigentlich nicht existieren dürften.
Im letzten Jahr sorgten seine Analysen fürs Abschalten von «MeineImpfungen.ch», nun traf es das Schweizer Online-Register für Organspenden bei Swisstransplant: Die Systeme waren derart schlecht konzipiert, dass Fremde darüber entscheiden konnten, was im Organspende-Ausweis einer Drittperson steht. Die Identitätsprüfung konnte mit Papier und einer Webcam ausgetrickst werden und könnte theoretisch dazu geführt haben, dass ein Verstorbener ungewollt zum Organspender wird.
Die SRF-Radiosendung «Echo der Zeit» machte diese Woche Fassbenders Analyse publik, der «Kassensturz» inszenierte später die Schwachstelle mit einem Selbsttest. Swisstransplant schaltete für kurze Zeit die Systeme ab und erklärte dann öffentlich: «Es konnten zu keinem Zeitpunkt Personendaten eingesehen oder bearbeitet werden. Die bestehenden Registereinträge sind absolut sicher.»
Solche Sätze sollen in Krisenzeiten beruhigen, sie entbehren aber jeglicher technischer Grundlage: Das Organspende-Register wurde nicht geschützt: Serverdaten konnten ohne jegliche Prüfung frei ausgelesen werden. In der IT-Szene gilt das als «rotes Tuch» und absoluter Anfängerfehler, da Passwörter und gefährlichere Sicherheitslücken gefunden werden können. Bis heute können Google-Dienste quasi auf der ganzen Webseite, ja selbst beim Ausfüllen der Organspende-Erklärung, mitlesen. Das sind zwar alles «theoretische» Risiken, sie sind aber derart schwergradig, dass sie mit einer offenen Haustüre verglichen werden können: Ein realer «Einbruch» war nur Frage der Zeit.
Wie konnte das passieren? Und wieso gibt es Parallelen zur gescheiterten Plattform «MeineImpfungen.ch»? Der gemeinsame Nenner beider Techpannen ist nicht das Bundesamt für Gesundheit (BAG), sondern die Art und Weise, wie Gesundheitspolitik in der Schweiz betrieben wird.
Sowohl die Impf- als auch die Organspende-Plattform wurden unter dem Credo «Private-public partnership» betrieben: Der Staat gibt Vorgaben, die von privaten Organisationen umgesetzt werden. Die grundsätzliche Überlegung im Gesundheitsbereich zielt sicher auch auf die politische Frage, wie viel und was der Staat selbst leisten soll. Wichtiger ist aber: Wie viel dürfen staatliche Behörden wissen?
Die Schweizer Politik entschied sich für den Mittelweg und überliess das digitale Management von Impf- und Organspende-Registern den privaten Stiftungen: Sie sollen koordinieren, verwalten und die IT-Plattformen betreiben, damit bei der Impfung oder der Organspende kein staatlicher Beigeschmack aufkommt. Würde der Staat solche Systeme betreiben, müssten zudem unzählige parlamentarische Kommissionen, behördliche Arbeitsgruppen, Spitäler, medizinische Fachpersonen und Programmiererinnen zusammenarbeiten – was Innovationen dem verbreiteten Glauben nach erschwert. Der Föderalismus würde das Ganze noch erschweren. Denn die Gesundheitspolitik ist und bleibt Sache der Kantone.
Anstatt dieses Mammutprojekt anzupacken, liess die Politik die Privaten gewähren: Stiftungen wie «MeineImpfungen» oder Swisstransplant entwickelten mit Fördergeldern die Plattformen, ohne dass spezielle Gesetze geschaffen werden mussten. Als Rahmen galten lediglich das Datenschutz- und das Transplantationsgesetz. Bundesbern und die Kantone konnten sich zurücklehnen und beobachten, wie die Innovation beim Impf- und Organspende-Management entstand, während die Digitalisierung anderswo haperte: So scheiterte etwa die elektronische Identität (E-ID) in einer Volksabstimmung. Und wann das elektronische Patientendossier in allen Hausarztpraxen und Spitälern ankommt, verraten nicht einmal die Sterne.
Die Pandemie zeigte aber auf, dass das nicht in erster Linie mit dem «Staat», sondern mit dem politischen Wille zu tun hat: Das BAG entwickelte zusammen mit dem Bundesamt für Informatik und Telekommunikation (BIT) in Rekordgeschwindigkeit die Covid-Zertifikate oder die SwissCovid-App, die nach aktuellem Kenntnisstand sicher und modern sind und deren Quellcode öffentlich eingesehen werden können. Der Datenschutz wurde aus politischen Gründen hoch priorisiert und von Kontrollinstanzen kritisch begleitet. Fehler wurden laufend, wenn auch langsam, ausgemerzt. Rückmeldungen aus der Bevölkerung wurden berücksichtigt.
Diese Prozesse fehlten aber bei «MeineImpfungen.ch» oder beim digitalen Organspende-Register: Die Programmierung wurde ausgelagert, Datenschutzfragen von irgendwelchen Anwaltskanzleien bearbeitet und die Transparenz vernachlässigt. Passieren dann Fehler, führt das bei Privaten im schlimmsten Fall zum Verlust eines Auftrags oder zum Abschalten der Plattform. Es sind harmlose Konsequenzen im Vergleich mit den Rücktritten oder einer parlamentarischen Untersuchungskommission (PUK), die derselbe Skandal in der Verantwortung einer Behörde zur Folge hätte.
Der Data-Owner muss "den Kopf hinhalten", wenn Datenschutzverstösse geschehen. Die Funktion des Data-Owners MUSS deshalb beim Auftraggeber bleiben, dass kann nicht an Personen ausserhalb der eigenen Organisation delegiert werden.
Leider wird das viel zu oft trotzdem gemacht, offensichtlich auch hier.