{"id":251406,"date":"2021-03-24T10:34:33","date_gmt":"2021-03-24T09:34:33","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=251406"},"modified":"2023-02-06T17:28:19","modified_gmt":"2023-02-06T16:28:19","slug":"schweizer-impfplattform-mit-schweren-sicherheitsmngeln","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/03\/24\/schweizer-impfplattform-mit-schweren-sicherheitsmngeln\/","title":{"rendered":"Schweizer Impfplattform mit schweren Sicherheitsm&auml;ngeln"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" \/>Auch die Schweiz hat so ihre Probleme mit der Digitalisierung. Ein gerade verabschiedetes Gesetz sollte den Weg zu einem digitalen Impfausweis \u00f6ffnen, der auch in Europa Bestand hat. Die dazu eingerichtete Impfplattform <em>meineimpfungen.ch <\/em>musste wegen gravierender Sicherheitsm\u00e4ngel komplett abgeschaltet werden. Auch hier wurden \"Big-US-IT-Player\" als L\u00f6sungshelfer eingesetzt, so dass es auch noch einen Datenschutzskandal gibt. Hier ein kleiner Einblick, was Sache ist.<\/p>\n<p><!--more--><\/p>\n<h2>Das Schweizer-Modell<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/e2ea5e875de14529bfe965e467119d96\" alt=\"\" width=\"1\" height=\"1\" \/>Die Schweiz arbeitet an einem digitalen Impf\u00adausweis, \u00e4hnlich wie die EU. Die Idee dahinter: Wer gegen Covid-19 geimpft ist, soll in Europa frei reisen k\u00f6nnen. Das Schweizer Parlament hat daf\u00fcr Mitte M\u00e4rz 2021 das Covid-19-Gesetz angepasst. Es gibt auch eine Plattform <em>meineimpfungen.ch<\/em>, auf der Schweizer B\u00fcrger ihre Impfungen ablegen k\u00f6nnen. Eine dazugeh\u00f6rige Impf-App MyViavac soll den Leuten den Nachweis der Impfungen erm\u00f6glichen. Wer das Angebot nutzt, kann dort eintragen, welche Impfungen man wann erhalten hat. Zudem l\u00e4sst sich \u00fcberpr\u00fcfen, ob gewisse Impfungen fehlen.<\/p>\n<p>Die Plattform wird von der Stiftung meineimpfungen betrieben &#8211; und <a href=\"https:\/\/www.republik.ch\/2021\/03\/23\/wollen-sie-wissen-womit-viola-amherd-geimpft-ist\" target=\"_blank\" rel=\"noopener\">laut Republik<\/a> gibt es einen Vertrag mit neun Kantonen. Zudem wird dieser Ansatz vom Bundesamt f\u00fcr Gesundheit (BAG) als elektronischen Impf\u00adausweis favorisiert. Laut <a href=\"https:\/\/web.archive.org\/web\/20230107095135\/https:\/\/www.blick.ch\/schweiz\/450000-personen-registriert-darunter-bundesraete-schweizer-impfplattform-weist-riesige-sicherheitsmaengel-auf-id16415856.html\" target=\"_blank\" rel=\"noopener\">Blick<\/a> haben sich rund 450.000 Personen bereits registriert. Darunter sind auch 240.000 Schweizer B\u00fcrger, die bereits gegen das Coronavirus geimpft wurden. Gut gedacht ist aber nicht immer gut gemacht.<\/p>\n<h2>Offen f\u00fcr Manipulationen wie ein Scheunentor<\/h2>\n<p>Blog-Leser Adrian W. hat mir die Information zukommen lassen, mal einen Blick auf das Thema zu werfen. Wer aktuell aber die Plattform\u00a0 <a href=\"https:\/\/web.archive.org\/web\/20220911070802\/https:\/\/www.meineimpfungen.ch\/\" target=\"_blank\" rel=\"noopener\">meineimpfungen.ch<\/a> besucht, wird mit einer Wartungsseite begr\u00fc\u00dft, die keinen Zweifel daran l\u00e4sst, warum das Angebot offline genommen wurde.<\/p>\n<p><a href=\"https:\/\/i.imgur.com\/f6Wze4m.png\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" title=\"Schweizer Impfplattform meineimpfungen.ch offline\" src=\"https:\/\/i.imgur.com\/f6Wze4m.png\" alt=\"Schweizer Impfplattform meineimpfungen.ch offline\" width=\"638\" height=\"566\" \/><\/a><br \/>\nSchweizer Impfplattform meineimpfungen.ch offline, <a href=\"https:\/\/i.imgur.com\/f6Wze4m.png\" target=\"_blank\" rel=\"noopener\">zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n<p>Die Sicherheitsexperten Sven Fassbender, Martin Tschirsich und Andr\u00e9 Zilch haben sich die Plattform &#8211; zusammen mit dem <a href=\"https:\/\/www.republik.ch\/\" target=\"_blank\" rel=\"noopener\">Medium Republick<\/a> &#8211; mal genauer angesehen. Hierbei sind kritische technische sowie konzeptionelle Sicherheitsl\u00fccken zu Tage getreten. Das Team hat eine <a href=\"https:\/\/web.archive.org\/web\/20211128121118\/https:\/\/mezdanak.de\/2021\/03\/22\/sicherheitspruefung-meineimpfung-ch-und-services-mycovidvac-ch\/\" target=\"_blank\" rel=\"noopener\">technische Analyse<\/a> vorgelegt, Das Medium Republik zitiert in <a href=\"https:\/\/www.republik.ch\/2021\/03\/23\/wollen-sie-wissen-womit-viola-amherd-geimpft-ist\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> aus diesem Bericht. Hier die Kernpunkte:<\/p>\n<ul>\n<li><strong>Zugriffsrechte f\u00fcr Fachpersonal:<\/strong> Fachpersonen aus dem medizinischen Bereich, die auf der Plattform registriert sind, haben umfassenden Zugriff auf die Impf- und Gesundheits\u00addaten s\u00e4mtlicher erfasster Privat\u00adpersonen. Die Daten sind nicht nur einsehbar, sondern k\u00f6nnen vom Fachpersonal auch ge\u00e4ndert werden. Ob dort ein Journal der \u00c4nderungen gef\u00fchrt wird, ist mir unbekannt. Das Problem liegt beim zweiten Punkt.<\/li>\n<li><strong>Mangelhafte \u00dcberpr\u00fcfung:<\/strong> Wer Zugang zur Plattform wollte, wurde zwar nach einer EAN\/GLN-Identifikation (eine eindeutige Identifikations\u00adnummer von \u00c4rztinnen) und seinen pers\u00f6nlichen Daten samt Telefon\u00adnummer\/E-Mail gefragt. Per E-Mail gab es dann die Bitte, ein Fotos des \u2013 vom \u00c4rzteverband FMH vergebenen \u2013 HPC-Ausweises oder der Urkunde oder des Diplom als Nachweis einzureichen.<\/li>\n<\/ul>\n<p>Der obige Vorgang klingt seri\u00f6s, alleine: Das schweizerische EAN\/GLN-Verzeichnis ist \u00f6ffentlich verf\u00fcgbar. Sucht man sich den Namen einer Fachperson (die sich wahrscheinlich noch nicht angemeldet hat) aus dem Verzeichnis heraus, und verwendet man die betreffenden Daten, k\u00f6nnten sich Fremde einen Zugang verschaffen. Damit konnte sich faktisch jeder Interessierte als Fachperson registrieren und dann auf den kompletten Datenbestand der Privatpersonen dieser Plattform zugreifen. Da umfassende Zugriffsrechte bestanden, lie\u00dfen sich Daten nicht nur einsehen, sondern auch manipulieren.<\/p>\n<h2>Sicherheitsm\u00e4ngel on Top<\/h2>\n<p>Die Sicherheitsexperten haben zudem noch weitere Sicherheitsm\u00e4ngel der Plattform aufgedeckt. Um lediglich die Daten des digitalen Impfausweises einzusehen, kann bei der Registrierung am Portal auf den Nachweis des Medizin\u00addiploms verzichtet werden, wie Republick schreibt. \u00dcber die Passwort-Reset-Funktion erhalten dann Dritte Zugang zum Portal &#8211; und \u00fcber nicht n\u00e4her erl\u00e4uterte technische Kniffe gibt es dann den Zugriff auf den Datenbestand.Unbefugte k\u00f6nnen faktisch alle gespeicherten Daten der registrierten Personen aus deren Impf\u00adausweisen einsehen.<\/p>\n<p><img decoding=\"async\" title=\"KRITIS-Netzwerk\" src=\"https:\/\/i.imgur.com\/yNk8TvY.jpg\" alt=\"KRITIS-Netzwerk\" \/><br \/>\n(Quelle: Pexels Markus Spiske CC0 Lizenz)<\/p>\n<p>Ben\u00f6tigt wird wohl eine ID, die aus dem Zeitstempel, wann das Konto der Person angelegt wurde, und vermutlich einer fortlaufenden Nummer ermittelt wird. Die meisten Nutzer haben sich erst mit dem Start der Covid-Impfkampagne Anfang 2021 angemeldet. Es reicht ein kleines Script, um die seit 1. Januar 2021 vergebenen IDs zu generieren und f\u00fcr Abfragen nach Impfausweisen zu verwenden. Laut dem Security-Team ist auf diesem Weg theoretisch alle 15 Minuten ein Impfausweis einsehbar. Erfolgen die Abfragen \u00fcber einen l\u00e4ngeren Zeitraum, d\u00fcrften die Betreiber da auch keinen Verdacht sch\u00f6pfen. Die Sicherheitsexperten konnten die Daten (Adressen etc.) von zwei Bundesr\u00e4tinnen abrufen.<\/p>\n<p>Pikant: Der elektronische Impfausweis verst\u00f6\u00dft laut Republik mehrfach gegen das (noch veraltete) Datenschutz\u00adgesetz &#8211; eine revidierte Fassung tritt erst 2022 in Kraft. Die Stiftung setzt bei der Impfplattform zudem auf Infra\u00adstruktur von amerikanischen Big-Tech-Unternehmen. So werden f\u00fcr die Nutzung des MyCovidVac-Moduls Google-Dienste <a href=\"https:\/\/web.archive.org\/web\/20211205195445\/https:\/\/www.nslookup.io\/dns-records\/mycovidvac.ch\" target=\"_blank\" rel=\"noopener\">wie etwa die Google-Cloud<\/a> verwendet. Bisher wurden laut dem hier zitierten Artikel 2,15 Millionen Franken in das Projekt investiert.<\/p>\n<p>Nach diesem vernichtenden Bericht hat die Stiftung das gesamte Portal offline genommen. Und jetzt ist bildlich gesprochen \"die Kacke am dampfen\". Das Medium Republick hat den Fall, laut eigener Aussage, dem dem eidgen\u00f6ssischen Daten\u00adschutz\u00adbeauftragten (Ed\u00f6b) gemeldet. Das Informatik-Team des Ed\u00f6b hat die Schwach\u00adstellen daraufhin verifiziert und best\u00e4tigt. Der Datenschutz\u00adbeauftragte Adrian Lobsiger hat am Montag ein Aufsichts\u00adverfahren gegen die Stiftung Meineimpfungen.ch eingeleitet.<\/p>\n<p>Und vom Schweizer Parlament war eine digitale Impfpass-Ll\u00f6sung, die f\u00e4lschungs\u00adsicher, international anerkannt und datenschutz\u00adkonform ist, per Gesetz gefordert. Diese sollte auch lokale \u00dcberpr\u00fcfungen erm\u00f6glichen, alles Punkte, die die Plattform nicht erf\u00fcllt. Die Details lest ihr im verlinkten Republik-Artikel nach. Da d\u00fcrften nun die Fetzen fliegen &#8211; das Ganze erinnert mich an das besondere Anwaltspostfach (beA), welches trotz Sicherheitsproblemen startete und dann abgeschaltet werden musste (siehe folgende Links).<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Das Projekt ist gescheitert &#8211; siehe <a href=\"https:\/\/borncity.com\/blog\/2021\/05\/18\/der-schweizer-impfpass-gescheitert-an-der-sicherheit\/\">Der Schweizer Impfpass: Gescheitert an der Sicherheit<\/a><\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/12\/28\/sicherheitslcken-im-deutschen-gesundheitsdatennetz\/\">Sicherheitsl\u00fccken im deutschen Gesundheitsdatennetz<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/09\/05\/sicherheit-possen-um-das-anwaltspostfach-bea\/\">Sicherheit: Possen um das Anwaltspostfach beA<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Auch die Schweiz hat so ihre Probleme mit der Digitalisierung. Ein gerade verabschiedetes Gesetz sollte den Weg zu einem digitalen Impfausweis \u00f6ffnen, der auch in Europa Bestand hat. Die dazu eingerichtete Impfplattform meineimpfungen.ch musste wegen gravierender Sicherheitsm\u00e4ngel komplett abgeschaltet werden. &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/03\/24\/schweizer-impfplattform-mit-schweren-sicherheitsmngeln\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-251406","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251406","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=251406"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251406\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=251406"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=251406"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=251406"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}