Die Tragödie um das Register von Swisstransplant kennt nur Verlierer. Die Schweiz braucht eine politische Diskussion zu Datenbanken mit sensiblen Informationen und zum Meldeverfahren für Sicherheitslücken.
Bis Ende Jahr sollen die über 130'000 Einträge des nationalen Organspenderegisters der Schweiz gelöscht werden. Fast 90% der Registrierten waren bereit, beim Eintritt des Hirntods ihre Organe zu spenden. Es ist der Höhepunkt einer betrüblichen Geschichte. Die Protagonisten: Die Stiftung Swisstransplant, die IT-Security-Firma ZFT.Company, das Investigativ-Team des Schweizer Radio und Fernsehen ('SRF') und der Eidgenössische Datenschutzbeauftrage (Edöb).
Sie alle äussern sich in dieser Rekonstruktion nochmals, denn die Abschaltung der Plattform führt bis heute zu kontroverse Diskussionen. In der IT-Community insbesondere zum Disclosure-Vorgehen – der Bekanntmachung von Sicherheitslücken. Etwas verdeckt wird dadurch aber eine andere fundamentale Diskussion: Wer soll unter welchen Bedingungen überhaupt Datenbanken mit Gesundheitsinformationen und anderen heiklen Angaben betreiben dürfen? Das Ende der Organspendedatenbank unterstreicht die Dringlichkeit der ethischen und politischen Debatte.
Die Timeline: Von der Entdeckung zur Notabschaltung
Die Abfolge ist auf den ersten Blick trivial: Die IT-Security-Firma ZFT entdeckte 2021 mehrere kritische Lücken im Onlineregister der vom Bundesamt für Gesundheit (BAG) mandatierten Stiftung Swisstransplant. Man konnte dort wegen des mangelhaften Identifizierungsprozesses Einträge für Personen machen, ohne dass diese einwilligten oder ihre Zustimmung zur Organspende auch nur mitbekamen. Seit die Datenbank 2018 in Betrieb genommen wurde, wurden 43 Organe auf Grundlage der Informationen aus dem Register verpflanzt, schreibt Swisstransplant auf Anfrage.
ZFT meldete sich beim Medienunternehmen 'SRF', dessen Investigativ-Team bewertete das Problem. Nach rechtlichen Abklärungen und Kontaktaufnahme mit Swisstransplant sollte ein Kassensturz-Beitrag ausgestrahlt werden. Dieser erschien am 18. Januar – 7 Tage nachdem die Stiftung über das Problem informiert worden war. Aufgezeichnet wurden die ersten Teile der Sendung bereits am 16. Dezember 2021, wie Fiona Endres, Co-Leiterin Investigativdesk des 'SRF', auf Anfrage von inside-it.ch schreibt. Es geht um jene Ausschnitte, in denen gezeigt wird, wie der Registrierungsprozess unterlaufen werden konnte und darum der Eintrag nicht rechtsgültig war. Ersteres war zu diesem Zeitpunkt also schon bekannt, der rechtliche Aspekt musste aber noch abgeklärt werden.
Diese zeitliche Abfolge sorgt für Diskussionen unter Security-Fachleuten. Zwischen der ersten Aufnahme, als die mangelhafte Identifizierung dokumentiert wurde, und der Ausstrahlung der Sendung lagen über ein Monat. Zwischen der Meldung an Swisstransplant und der Sendung aber nur 7 Tage. Auch wir haben dies in unserem Podcast vor der Rücksprache mit den Entdeckern problematisiert, ohne deren Namen zu nennen. Üblicherweise meldet man kritische Lücken umgehend und lässt dem Betreiber des Systems Zeit, um sie zu schliessen. Als ethische Leitplanke gelten 3 Monate, wie das bekannte Projekt Zero von Google vorschlägt. Wieso hielten sich die Entdecker nicht daran?
Die Widersprüche: Security, Sorgen, Strafverfahren
Nach den Erkenntnissen, wie einfach ein Eintrag fingiert werden kann, klärte das Investigativ-Team die rechtliche Lage und die Konsequenzen bei Rechtsexperten ab – so auch bei Florent Thouvenin, Professor für Informations- und Kommunikationsrecht an der Universität Zürich. Dieser bestätigte Anfang Januar 2022 die Problematik. Kurz drauf erhielt Swisstransplant-CEO Franz Immer eine E-Mail mit Fragen und eine Einladung zu einem Interview. Beigelegt: Der komplette Report der Firma ZFT, die ebenfalls zu einem Gespräch mit der Stiftung bereit war. Zugleich wurde das nationale Zentrum für Cybersicherheit (NCSC) und der Eidgenössische Datenschutzbeauftragte (Edöb) informiert. Man habe sich jederzeit an die publizistischen Leitlinien des 'SRF' gehalten, schreibt Endres, die den obigen zeitlichen Ablauf transparent gemacht hat.
Wann das Team durch ZFT informiert wurde, will sie aus Gründen des Quellenschutzes nicht preisgeben. "Wir haben intensiv darüber diskutiert, wie der durch Swisstransplant verursachte Mangel zu adressieren ist, um der Sensitivität des Themas gerecht zu werden", sagt Martin Tschirsich, Co-Geschäftsführer von ZFT zu inside-it.ch. Danach habe man sich an das unabhängige Team von 'SRF' Investigativ gewandt und nicht an den Betreiber des Registers, denn dieser habe eigene Interessen. Das 'SRF'-Team und die Öffentlichkeit würden verhindern, dass das Thema unter den Teppich gekehrt werde, so das Mitglied des Chaos Computer Clubs. Auch war man sich bei ZFT nicht sicher, wie der Anbieter juristisch reagieren würde.
Swisstransplant-CEO Franz Immer: "Das Register wurde vom Fachpersonal auf den Intensivstationen sehr geschätzt." Foto: Swisstransplant
Die Sorgen waren nicht unbegründet. Dies zeigen die Antworten von 'SRF' auf unsere Fragen. Von der Stiftung Swisstransplant hiess es demnach nach der ersten Meldung von 'SRF', die Recherche-Methoden seien potenziell strafbar, man solle die geplante Sendung überdenken. Die Stiftung lud im eigenen Youtube-Kanal ein Video hoch, in dem der involvierte Journalist und die Entdecker der Lücke gescholten wurden. Das Video auf dem Kanal mit 320 Abonnenten ist mittlerweile gelöscht, im Web Archive ist das Statement aber noch abrufbar. Swisstransplant-CEO Immer spricht dort von einer "Hackerfirma", die das Register gehackt habe. Der involvierte Journalist habe Urkundenfälschung begannen, als er einen Eintrag "fälschen" liess. Es handle sich um versuchten Betrug, lautet der bedrohliche Vorwurf.
Die Sorgen der Entdecker erklären aber nicht, warum man Swisstransplant nur 7 Tage für eine Reaktion eingeräumt hatte, statt sich an Richtlinien wie die von Googles Project Zero zu halten. Deren Ziel sei ein effektiveres Patching von Herstellern und Betreibern, darum setze das Team klare zeitliche Grenzen, sagt Martin Tschirsich. Allerdings gewähre Google den Herstellern ebenfalls nur eine Schonfrist von 7 Tagen zur Behebung einer aktiv ausgenutzten Schwachstelle. Tschirsich ergänzt: "Im Falle von Swisstransplant handelte es sich aber um ein rechtliches Problem, welches von der Stiftung unmittelbar durch Bekanntgabe der fehlenden Rechtsgültigkeit hätte adressiert werden können." Dennoch habe 'SRF' einen alternativen Beitrag in der Hinterhand gehabt, falls Swisstransplant wichtige Gründe für einen grösseren zeitlichen Spielraum genannt hätte. Das bestätigt auch das 'SRF'.
Die Diskussion: Prozesse, Polizei und Patches
Eine andere Möglichkeit als die Löschung der Datenbank ist aus Datenschutzsicht nicht ersichtlich. Die Daten sind möglicherweise kompromittiert – es ist nicht sicher, ob der Wille von der eingetragenen Person hinterlassen wurde. "Die Überprüfung der Profile durch die Nutzer selbst kann nicht alle Unklarheiten beseitigen, insbesondere wenn eine Person unwissentlich registriert wurde", bestätigt der Edöb auf unsere Anfrage. Aus dem Büro heisst es aber mit Verweis auf die eigene Aufsichtsrolle als höchste Datenschutzbehörde auch: "Den Entscheid, die Daten zu löschen, hat Swisstransplant auf der Grundlage einer internen Risikoanalyse gefällt, die der Edöb nicht im Detail kennt."
Diese Nachricht ging Anfang November an die im Register hinterlegten Mail-Adressen.
Jenen Entscheid fällte Swisstransplant nach Hin-und-Her Anfang November. Es gebe derzeit einen "engagierten Einzelvorstoss", die Datenbank zu retten, sagt CEO Franz Immer auf Anfrage. Man werde dies mit dem hauseigenen Datenschutzbeauftragten nächste Woche beurteilen – fraglich ist, wie man die Integrität der Daten sicherstellen will. Die Stiftung hatte die Identifizierungshürde absichtlich relativ tief gehalten, um Personen zu motivieren, ihren Willen zu hinterlegen. Das ist aus ihrer Sicht nachvollziehbar: Bei der Organspende geht es um Leben und Tod. Eine allfällig Güterabwägung zwischen Datenschutz und Dringlichkeit von Spenderorganen hätte ein Ethikgremium fällen müssen. Die juristische Dimension, falls die Datenbank wieder hochgefahren wird, müsste möglicherweise ein Gericht beurteilen.
Die Geschichte kennt heute nur Verlierer: Die über 1400 Personen auf der Warteliste für ein Organ. Der beschuldigte Journalist von 'SRF' und die Security-Fachleute, die in der öffentlichen Kritik stehen. Aber auch der engagierte Herzchirurg Franz Immer, der für den Medienschmähpreis "Goldener Bremsklotz" als grösster Informationsverhinderer nominiert war – aber von BAG-Direktorin Anne Lévy überflügelt wurde. Es geht um ein strukturelles Problem. Die Politik, die IT-Sicherheitsexperten und die IT-Anbieter müssen dringend zwei Diskussionen führen:
1. Wer darf überhaupt in wessen Auftrag eine Datenbank mit derart heiklen Informationen betreiben? Welche Gesetze und Regeln braucht es, um deren Sicherheit zu verbessern?
2. Wie können Entdecker mit einem intakten ethischen Kompass Schwachstellen melden, ohne Gefahr zu laufen, juristisch belangt zu werden.
Meldeprozess: Eine schweigsame IT-Industrie
Martin Tschirsich: "Es gibt ein regelrechtes Stillhalteabkommen."
ZFT-Geschäftsführer Tschirsich sagt, man brauche dringend eine unabhängige Instanz, die mit ethischen sowie rechtlichen Fragen vertraut sei, an die sich White-Hat-Hacker wenden könnten. Diese Stelle müsse Vertraulichkeit wahren können. Im vorliegenden Fall waren zwei öffentliche Organisationen involviert: Der Eidgenössische Datenschützer, der die Sachlage aber seinem Auftrag gemäss unter dem Aspekt des Datenschutzes betrachtet hat, nicht aber nach Massgaben der besten ethischen Lösung. Das nationale Zentrum für Cybersicherheit NCSC, das aber auf seiner Website empfiehlt, sich direkt an Hersteller zu wenden. "Wenn diese Organisationen nicht oder unzureichend reagieren, kann das NCSC bei der Lösung solcher Sicherheitsprobleme als Vermittler fungieren", heisst es dort weiter. Hersteller hegen aber immer auch eigene Interessen. Tschirsich sagt: Er habe bei nicht-öffentlichen Meldungen an Anbieter schon erlebt, dass dieser die Sache selbst dargestellt oder sogar Unwahrheiten publiziert habe.
Beim NCSC heisst es auch, man solle dem Zentrum mitteilen, wenn man eine Veröffentlichung plane. Auf die Frage, ob man sich nicht aus Publicity-Gründen ans 'SRF' gewendet habe, entgegnet Sven Fassbender, Co-Geschäftsleiter von ZFT: "Publicity steht bei einem solchen Thema niemals im Vordergrund. Der verantwortungsvolle Umgang verlangt in einer solchen Situation die Wahl des effektivsten Mittels, um Schaden von Betroffenen abzuwenden." ZFT hat mehrere Fälle öffentlicher Meldungen auf ihrer Website dokumentiert, darunter: Swisstransplant, das digitale Impfbüchlein und das Schwarzfahrregister der SBB. Bei allen geht es um Lücken, die potenziell viele Menschen und heikle Daten betreffen. "Wir halten es für wichtig, für dieses Thema zu sensibilisieren", sagt Fassbender und ergänzt: Die Vorarbeit des 'SRF'-Investigativteams erleichtere auch dem Edöb die Arbeit. Der Schweizer Datenschützer ist notorisch unterdotiert für die vielen Datenschutz-Anfragen.
Es gibt in der Security-Szene aber ein beträchtliches Lager, dass Stillschweigen für richtig hält. Wer eine Lücke korrekt schliesse, soll vor Reputationsschaden bewahrt werden, generell sei das Rampenlicht möglichst zu meiden und allenfalls das NCSC beizuziehen. Inside-it.ch hat mit mehreren Cyber-Sicherheitsleuten darüber gesprochen. Tschirsich sagt seinerseits, es gebe ein regelrechtes Stillhalteabkommen zwischen IT-Industrie und einigen Security-Experten zu Lasten der Betroffenen. Man arbeite in der Regel auch unter dem Radar der Medien, in den dokumentierten Fällen überwiege aber das Interesse der Öffentlichkeit.
Kritische Daten: Wer soll die Datenbanken betreiben?
Hinter dieser Diskussion verschwindet aber die wesentlichere Fragestellung nach den Regelungen für den Betrieb einer solchen Datenbank. Seinen Anfang nahm das Drama nämlich nicht mit der Meldung der Lücke, sondern mit dem Aufbau des Registers durch Swisstransplant im Jahr 2018. Franz Immer sagt: Das Dokument aus dem Register wäre Angehörigen vorgelegt worden, die wiederum erkannt hätten, dass im Falle einer Fälschung das Foto aus dem Internet, die E-Mail-Adresse unbekannt und die Unterschrift gefälscht gewesen sei.
Damals hätte man aber dringend weitere rechtliche und datenschutzspezifische Abklärungen treffen müssen, es braucht für Datenbanken mit kritischen Daten klare Regeln und Vorgaben, wie schon das Ende des "digitalen Impfbüchleins" aufzeigte. Es ist höchst fragwürdig, wenn der Bund seine Verantwortung an mandatierte und mitfinanzierte Stiftungen auslagert, die kaum über Cybersecurity-Know-how verfügen. Im obersten Gremium, dem 21-köpfigen Stiftungsrat von Swisstransplant, sitzen ausschliesslich Medizinerinnen und Mediziner. Dieser hat die Einstellung des Registers beschlossen.
Die Datenbank wird also höchstwahrscheinlich gelöscht. Ende 2021 standen 1434 Menschen auf der Warteliste für eine Transplantation. Im letzten Jahr haben 587 Menschen ein neues Organ erhalten, darin inbegriffen sind aber auch die 125 Lebendspenden. Franz Immer sagt zur Wichtigkeit der Datenbank: "Im Jahr 2021 konnten 17 Organe transplantiert werden von 9 Personen, die ihren Ja- oder Nein-Entscheid hinterlegt hatten." Der Schaden dürfte im vorliegenden Fall für Organempfänger angerichtet sein, auch wenn es weitere Quellen als das Register gibt. Und auch wenn er mit der Widerspruchslösung, die die Stimmbevölkerung am 15. Mai angenommen hat, abgefedert wird. Das BAG wird bis 2024 eine zentrale Datenbank für die Organspende aufbauen, 2025 soll das Gesetz in Kraft treten, das besagt, dass man zu einer Spende zustimmt, es sei denn man widerspricht explizit.
Eine Schweizer Spendekarte
Franz Immer bat bei der Anfrage von inside-it.ch, im Artikel darauf hinzuweisen, dass man seinen Spendewillen in einer Organspende-Karte, einer Patientenverfügung oder dem Elektronischen Patientendossier hinterlegen könne. Er wirkte dabei verunsichert: "Die Empfehlungen sind mit dem Bundesamt für Gesundheit abgesprochen." Das ist was übrig bleibt: Keiner der in dieser Sache Befragten war mit dem Outcome auch nur halbwegs zufrieden.
Es ist höchste Zeit für eine offene und sachliche Debatte.