Der Schweizer Impfpass: Gescheitert an der Sicherheit

Sicherheit (Pexels, allgemeine Nutzung)In der Schweiz ist das Projekt einer digitalen Impfplattform, auf der Impfungen in einem digitalen Impfpass nachgewiesen werden sollten, gescheitert. Schwere Sicherheitsmängel in der Authentifizierung ermöglichten Unbefugten sich als Ärzte zu registrieren und Daten zu manipulieren. Nachdem einiges an Geldern verbrannt wurde, steht das Projekt vor dem Aus. Hier einige Informationen zum Thema, was ich vor einiger Zeit bereits im Blog aufgegriffen hatte.


Anzeige

Das Projekt Schweizer Impfpass

Auch die Schweiz arbeitet, ähnlich wie die EU, an einem digitalen Impf­ausweis. Wer gegen Covid-19 geimpft ist, soll in Europa frei reisen können. Das Schweizer Parlament hat dafür Mitte März 2021 das Covid-19-Gesetz angepasst. Es gabt auch eine Plattform meineimpfungen.ch, auf der Schweizer Bürger ihre Impfungen eintragen sollten. Die dazugehörige Impf-App MyViavac sollte Registrierten den Nachweis der Impfungen ermöglichen. Idee war: Wer das Angebot nutzt, kann dort eintragen, welche Impfungen man wann erhalten hat. Zudem lässt sich überprüfen, ob gewisse Impfungen fehlen.

Die Plattform sollte von der Stiftung meineimpfungen betrieben werden – und laut Republik gibt es einen Vertrag mit neun Kantonen. Zudem wurde dieser Ansatz vom Bundesamt für Gesundheit (BAG) als elektronischen Impf­ausweis favorisiert. Laut diesem Artikel hatten sich rund 450.000 Personen bereits registriert. Darunter sind auch 240.000 Schweizer Bürger, die bereits gegen das Coronavirus geimpft wurden. Zur Umsetzung wurden „Big-US-IT-Player" als Lösungshelfer eingesetzt. Gut gedacht ist aber nicht immer gut gemacht.

Schwere Sicherheitsmängel erzwingen den Stopp

Es war wohl ein Scheitern mit Ansage, was man aus vielen öffentlichen IT-Projekten Deutschlands kennt. Nun hat es aber die Schweiz betroffen, wie ich bereits im März 2021, nach einem Hinweis von Blog-Leser Adrian W., im Beitrag Schweizer Impfplattform mit schweren Sicherheitsmängeln berichtete.

Schweizer Impfplattform meineimpfungen.ch offline


Anzeige

Die Sicherheitsexperten hatten sich die Impfplattform angesehen und kritische technische sowie konzeptionelle Sicherheitslücken offen gelegt. So konnten sich Unbefugte als Fachpersonal registrieren und Daten einsehen sowie manipulieren. Die Plattform wurde darauf hin abgeschaltet – die Betreiber schrieben von einer Unterbrechung (siehe obiger Screenshot), und versuchten nachzubessern. Die Details lassen sich im verlinkten Blog-Beitrag nachlesen.

Plattform muss geschlossen werden

Jetzt hat man dem Projekt wohl endgültig den "Stecker gezogen", wie ich gerade bei heise in diesem Artikel lese. Wer jetzt die Seite meineimpfungen.ch besucht, wird unter maintenance mit einem Text begrüßt. Dieser informiert, dass die mesvaccins Foundation in den letzten Wochen enorme Anstrengungen unternommen habe, um zuvor identifizierte kritische Sicherheitslücken zu patchen.

Eine externe Überprüfung habe aber ergeben, dass die aktuelle Plattform nicht ausreichend gegen aktuelle Sicherheitsbedrohungen geschützt ist. Der Stiftungsrat hat deshalb beschlossen, mesvaccins.ch in der bisherigen Form und Funktionalität nicht neu zu lancieren. Frühere Einschätzungen, dass der Betrieb im Mai 2021 wieder aufgenommen werden könnte, sind leider nicht realisierbar.

Die Daten wurden isoliert und gesichert. Der Stiftungsrat arbeitet mit Hochdruck an der Bereitstellung einer neuen sicheren Webanwendung für den Zugriff auf Impfdaten. Dies sollte es den Benutzern ermöglichen, ihre Daten sicher herunterzuladen und/oder Löschanträge zu stellen. Das Kuratorium ist derzeit auf der Suche nach zusätzlichen Finanzmitteln und Partnern, um diese Lösung umzusetzen.

heise hält in seinem Artikel noch einige zusätzliche Possen bereit. So kosten Auskunftsbegehren und allfällige Löschaufträge der persönlichen Impfdaten wegen der geforderten beglaubigten Ausweiskopien umgerechnet 23 Euro – wobei ich allerdings für die Betreiber keinen Ausweg sehe, das anders datenschutzgerecht zu regeln – einen digitalen Identitätsnachweis über den Ausweis scheint es in der Schweiz nicht zu geben oder ist nicht breit im Einsatz. In "Bälde" will die Stiftung die Seite aber wieder online nehmen, damit Betroffene die Daten bzw. ihre Konten mit den eigenen Zugangsdaten selbst löschen können.

Also auch in der Schweiz ist das Projekt digitaler Impfpass spektakulär gescheitert. Pikantes Details am Rande: Der elektronische Impfausweis verstößt Berichten vom März 2021 mehrfach gegen das (noch veraltete) Datenschutz­gesetz – eine revidierte Fassung tritt erst 2022 in Kraft. Die Stiftung setzt bei der Impfplattform zudem auf Infra­struktur von amerikanischen Big-Tech-Unternehmen. So werden für die Nutzung des MyCovidVac-Moduls Google-Dienste wie etwa die Google-Cloud verwendet.

Ähnliche Diskussionen kennen wir ja auch aus Deutschland, wo Microsoft 365 und dessen Datentransfer in die USA datenschutzrechtlich äußerst problematisch ist. Digitalisierung mal ebenso machen vielleicht ein bisschen probieren und dann kucken, wie manche Partei (Digitalisierung first, Bedenken second) sie plakatiert, scheint wohl irgendwie keine gute Idee. Auch in Deutschland wurden Millionen sinnlos in solchen Projekten verbrannt.

Ähnliche Artikel:
Sicherheitslücken im deutschen Gesundheitsdatennetz
Sicherheit: Possen um das Anwaltspostfach beA
Schweizer Impfplattform mit schweren Sicherheitsmängeln
Corona-Tests: Datenleck legt persönliche Daten und Ergebnisse offen
Übermittelt die Corona-Warn-App des RKI ungewollt Benutzerdaten an Google?
Android Corona-Warn-App: Frust, schwerer Bug und Implementierung für F-Droid
Lizenzärger: Die Luca-App und die Open Source-Klippen


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Der Schweizer Impfpass: Gescheitert an der Sicherheit

  1. Remo sagt:

    Und wieder ein Millionen schweres IT Projekt in den Sand gesetzt. Deckel drauf und weiter zum nächsten Projekt. Berechtigterweise stellen sich da einige, leider noch viel zuwenige, Steuerzahler dann Fragen. Antworten kriegen sie nicht, denn die Beteiligten sind wohlwissend auf Tauchstation gegangen.

  2. Skati sagt:

    Eigentlich müsste es in der Überschrift
    "Gescheitert an mangelnder Sicherheit"
    oder
    "Gescheitert an der Unsicherheit"

    heißen, oder … ?!? ;-)

    • HansGS sagt:

      Mal gerechnet:

      lt. https://coronavirus.jhu.edu/map.html (Johns Hopkins University) am 19.Mai 2021:
      164.330.646 weltweit mit SARS-Cov2 Infizierte zum 19.Mai 2021.
      3.407.159 Tote an Covid-19 zum 19.Mai 2021.
      Todesrate aller Infizierten weltweit demnach 2,07%.

      lt. sciencefiles.org: (btw, diese Web-Seite braucht kein Impressum, sagen sie auf https://sciencefiles.org/sciencefiles/impressum/ "…ScienceFiles hat deshalb kein Impressum.")
      5.640 Menschen sind bislang nach COVID-19-Impfung verstorben.
      Tote derjenigen die gegen Covid-19 geimpft wurden: 0,165%.

      Mit Impfung leben mehr Menschen länger, trotz Nebenwirkungen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.