![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
In der Schweiz ist das Projekt einer digitalen Impfplattform, auf der Impfungen in einem digitalen Impfpass nachgewiesen werden sollten, gescheitert. Schwere Sicherheitsm\u00e4ngel in der Authentifizierung erm\u00f6glichten Unbefugten sich als \u00c4rzte zu registrieren und Daten zu manipulieren. Nachdem einiges an Geldern verbrannt wurde, steht das Projekt vor dem Aus. Hier einige Informationen zum Thema, was ich vor einiger Zeit bereits im Blog aufgegriffen hatte.<\/p>\n
<\/p>\n
Die Plattform sollte von der Stiftung meineimpfungen betrieben werden \u2013 und laut Republik<\/a> gibt es einen Vertrag mit neun Kantonen. Zudem wurde dieser Ansatz vom Bundesamt f\u00fcr Gesundheit (BAG) als elektronischen Impfausweis favorisiert. Laut diesem Artikel<\/a> hatten sich rund 450.000 Personen bereits registriert. Darunter sind auch 240.000 Schweizer B\u00fcrger, die bereits gegen das Coronavirus geimpft wurden. Zur Umsetzung wurden \u201eBig-US-IT-Player\" als L\u00f6sungshelfer eingesetzt. Gut gedacht ist aber nicht immer gut gemacht.<\/p>\n Es war wohl ein Scheitern mit Ansage, was man aus vielen \u00f6ffentlichen IT-Projekten Deutschlands kennt. Nun hat es aber die Schweiz betroffen, wie ich bereits im M\u00e4rz 2021, nach einem Hinweis von Blog-Leser Adrian W., im Beitrag Schweizer Impfplattform mit schweren Sicherheitsm\u00e4ngeln<\/a> berichtete. <\/p>\n Die Sicherheitsexperten hatten sich die Impfplattform angesehen und kritische technische sowie konzeptionelle Sicherheitsl\u00fccken offen gelegt. So konnten sich Unbefugte als Fachpersonal registrieren und Daten einsehen sowie manipulieren. Die Plattform wurde darauf hin abgeschaltet – die Betreiber schrieben von einer Unterbrechung (siehe obiger Screenshot), und versuchten nachzubessern. Die Details lassen sich im verlinkten Blog-Beitrag nachlesen. <\/p>\n Jetzt hat man dem Projekt wohl endg\u00fcltig den \"Stecker gezogen\", wie ich gerade bei heise in diesem Artikel<\/a> lese. Wer jetzt die Seite meineimpfungen.ch <\/em>besucht, wird unter maintenance<\/em> mit einem Text begr\u00fc\u00dft. Dieser informiert, dass die mesvaccins Foundation in den letzten Wochen enorme Anstrengungen unternommen habe, um zuvor identifizierte kritische Sicherheitsl\u00fccken zu patchen. <\/p>\n Eine externe \u00dcberpr\u00fcfung habe aber ergeben, dass die aktuelle Plattform nicht ausreichend gegen aktuelle Sicherheitsbedrohungen gesch\u00fctzt ist. Der Stiftungsrat hat deshalb beschlossen, mesvaccins.ch in der bisherigen Form und Funktionalit\u00e4t nicht neu zu lancieren. Fr\u00fchere Einsch\u00e4tzungen, dass der Betrieb im Mai 2021 wieder aufgenommen werden k\u00f6nnte, sind leider nicht realisierbar.<\/p>\n Die Daten wurden isoliert und gesichert. Der Stiftungsrat arbeitet mit Hochdruck an der Bereitstellung einer neuen sicheren Webanwendung f\u00fcr den Zugriff auf Impfdaten. Dies sollte es den Benutzern erm\u00f6glichen, ihre Daten sicher herunterzuladen und\/oder L\u00f6schantr\u00e4ge zu stellen. Das Kuratorium ist derzeit auf der Suche nach zus\u00e4tzlichen Finanzmitteln und Partnern, um diese L\u00f6sung umzusetzen. <\/p>\n heise h\u00e4lt in seinem Artikel<\/a> noch einige zus\u00e4tzliche Possen bereit. So kosten Auskunftsbegehren und allf\u00e4llige L\u00f6schauftr\u00e4ge der pers\u00f6nlichen Impfdaten wegen der geforderten beglaubigten Ausweiskopien umgerechnet 23 Euro – wobei ich allerdings f\u00fcr die Betreiber keinen Ausweg sehe, das anders datenschutzgerecht zu regeln – einen digitalen Identit\u00e4tsnachweis \u00fcber den Ausweis scheint es in der Schweiz nicht zu geben oder ist nicht breit im Einsatz. In \"B\u00e4lde\" will die Stiftung die Seite aber wieder online nehmen, damit Betroffene die Daten bzw. ihre Konten mit den eigenen Zugangsdaten selbst l\u00f6schen k\u00f6nnen. <\/p>\n Also auch in der Schweiz ist das Projekt digitaler Impfpass spektakul\u00e4r gescheitert. Pikantes Details am Rande: Der elektronische Impfausweis verst\u00f6\u00dft Berichten vom M\u00e4rz 2021 mehrfach gegen das (noch veraltete) Datenschutzgesetz – eine revidierte Fassung tritt erst 2022 in Kraft. Die Stiftung setzt bei der Impfplattform zudem auf Infrastruktur von amerikanischen Big-Tech-Unternehmen. So werden f\u00fcr die Nutzung des MyCovidVac-Moduls Google-Dienste wie etwa die Google-Cloud<\/a> verwendet. <\/p>\n \u00c4hnliche Diskussionen kennen wir ja auch aus Deutschland, wo Microsoft 365 und dessen Datentransfer in die USA datenschutzrechtlich \u00e4u\u00dferst problematisch ist. Digitalisierung mal ebenso machen vielleicht ein bisschen probieren und dann kucken, wie manche Partei (Digitalisierung first, Bedenken second) sie plakatiert, scheint wohl irgendwie keine gute Idee. Auch in Deutschland wurden Millionen sinnlos in solchen Projekten verbrannt. <\/p>\n \u00c4hnliche Artikel:<\/strong> In der Schweiz ist das Projekt einer digitalen Impfplattform, auf der Impfungen in einem digitalen Impfpass nachgewiesen werden sollten, gescheitert. Schwere Sicherheitsm\u00e4ngel in der Authentifizierung erm\u00f6glichten Unbefugten sich als \u00c4rzte zu registrieren und Daten zu manipulieren. Nachdem einiges an Geldern … Weiterlesen Auch die Schweiz arbeitet, \u00e4hnlich wie die EU, an einem digitalen Impfausweis. Wer gegen Covid-19 geimpft ist, soll in Europa frei reisen k\u00f6nnen. Das Schweizer Parlament hat daf\u00fcr Mitte M\u00e4rz 2021 das Covid-19-Gesetz angepasst. Es gabt auch eine Plattform meineimpfungen.ch<\/em><\/em>, auf der Schweizer B\u00fcrger ihre Impfungen eintragen sollten. Die dazugeh\u00f6rige Impf-App MyViavac sollte Registrierten den Nachweis der Impfungen erm\u00f6glichen. Idee war: Wer das Angebot nutzt, kann dort eintragen, welche Impfungen man wann erhalten hat. Zudem l\u00e4sst sich \u00fcberpr\u00fcfen, ob gewisse Impfungen fehlen.<\/p>\n
Schwere Sicherheitsm\u00e4ngel erzwingen den Stopp <\/h2>\n
![\"Schweizer](\"https:\/\/i.imgur.com\/f6Wze4m.png\" "\\"Schweizer")
<\/a> <\/p>\nPlattform muss geschlossen werden<\/h2>\n<\/p>\n
Sicherheitsl\u00fccken im deutschen Gesundheitsdatennetz<\/a>
Sicherheit: Possen um das Anwaltspostfach beA<\/a>
Schweizer Impfplattform mit schweren Sicherheitsm\u00e4ngeln<\/a>
Corona-Tests: Datenleck legt pers\u00f6nliche Daten und Ergebnisse offen<\/a>
\u00dcbermittelt die Corona-Warn-App des RKI ungewollt Benutzerdaten an Google?<\/a>
Android Corona-Warn-App: Frust, schwerer Bug und Implementierung f\u00fcr F-Droid<\/a>
Lizenz\u00e4rger: Die Luca-App und die Open Source-Klippen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"