Das Bundesamt für Gesundheit (BAG) bedauert die Datensicherheitslücken auf der Plattform meineimpfungen.ch. Die Verantwortung für den Fehler trage aber die private Stiftung, welche das schweizerische elektronische Impfbüchlein anbietet und betreibt.
"Wir subventionieren diesen Betrieb, sind da aber nicht die Einzigen", sagte BAG-Direktorin Anne Lévy vor den Bundeshausmedien mit Verweis auf die Ärztevereinigung FMH und andere. Die Stiftung, die mit
meineimpfungen.ch eine digitale Übersicht für Impfungen anbietet, sei breit abgestützt. Am Dienstag 24. März machte die Onlinezeitung 'Republik' basierend auf einem Report von drei Securityforschern publik, dass die 450'000 Impfdaten auf meineimpfungen.ch, darunter 240'000 von Covid-19-Geimpften, manipulierbar waren. Zudem bestanden Schwachstellen bei der Authentisierung und der Authentifizierung sowie dem Rollen- und Rechtemanagement, die auch ohne technisches Fachwissen ausgenutzt hätten werden können.
In der Folge wurden das BAG und der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) aktiv. Die Plattform wurde vom Netz genommen für "Wartungsarbeiten" und ein Verfahren gegen die Betreiber eingeleitet.
"Informations-Sicherheits-Managementsystem richtet sich nach ISO 27001"
Insgesamt flossen bisher 2,15 Millionen Franken in den Ausbau, die Werbung und den Unterhalt der Seite, sagte eine Stiftungs-Sprecherin dem 'Tages-Anzeiger'. Der Fokus sei "in den vergangenen Jahren auf dem einwandfreien Funktionieren und der medizinischen Korrektheit der Plattform gelegen".
Allerdings hiess es vor der Abschaltung, wie unsere Recherchen zeigen, auf der Plattform selbst zum Thema: "Wir treffen angemessene sowie geeignete technische und organisatorische Massnahmen, um den Datenschutz und insbesondere die Datensicherheit zu gewährleisten. Wir entwickeln und warten unsere Software im Einklang mit ISO 62304 für Medizingeräte-Software-Lebenszyklus-Prozesse. Unser Informationssicherheitsmanagementsystem richtet sich nach ISO 27001."
Derweil deckten die drei Security-Experten die Mängel ehrenamtlich und mit einer laut eigenen Angaben "oberflächlichen" Untersuchung auf.
Auch personell gibt es inzwischen Kritik. So sass Virginie Masserey, Leiterin der Sektion Infektionskontrolle im BAG, als Privatperson im Stiftungsrat der Impfplattform. Heute verkündete sie nun, sie werde ihr Mandat ganz abgeben, "um eine noch klarere Grenze zwischen dem BAG und der Stiftung zu ziehen".
Ob die Zusammenarbeit des Bundes mit der Stiftung weitergeführt werde, sei derzeit völlig offen, sagte BAG-Direktorin Lévy. Zuerst müsse die Stiftung die Plattform sichern, dann sehe man weiter.
Inwiefern die bestehenden Lücken ausgenutzt wurden, ist Teil von Abklärungen.
Eines der obersten Ziele sei es, bis im Sommer ein Impfzertifikat zur Verfügung zu haben, sagte Lévy weiter. Dieses Impfzertifikat habe jedoch nichts mit
meineimpfungen.ch zu tun.
"Jegliches Vertrauen verspielt"
Die Stiftung für Konsumentenschutz rief Nutzerinnen und Nutzer derweil auf, ihre Daten von der Plattform löschen zu lassen. Die Betreiber hätten jegliches Vertrauen verspielt. Eine "von der Pharmaindustrie finanzierte Stiftung mit einem solchen Verständnis von IT-Sicherheit und Transparenz" sei für die Verwaltung von sensiblen Gesundheitsdaten "inakzeptabel".
Nach dem "Grounding" brauche es nun innerhalb von drei Monaten eine neue Lösung, sagte FDP-Nationalrat Marcel Dobler (SG), Vizepräsident der ICT-Standortinitiative Digitalswitzerland, gegenüber 'SRF'. Dazu müssten sich der Bundesrat und das BAG Hilfe holen, um "die Kompetenz, die nicht vorhanden ist" in Gremien zu besetzen.
Digitalswitzerland habe dem Bund deshalb angeboten, mit ihm zusammen einen Hackathon durchzuführen. "Ich hoffe jetzt, dass der Bundesrat diese Hilfe annimmt, damit wir jetzt endlich vorwärtsmachen können", sagte Dobler.
"Es braucht unabhängige Zertifizierungsstellen"
Inwiefern dies mehr als PR-Aktionen in eigener Sache sind, wird sich zeigen. Nationalrat Balthasar Glättli (Grüne/ZH) hält
laut 'Watson' eine kompetente, starke Projektleitung für zielführend.
In einem grösseren Kontext sieht Green-VRP und Nationalrat Franz Grüter (SVP/LU) die Datensicherheitsprobleme
laut '20 Minuten'. Er verweist auf die bekannt gewordenen Security-Lücken beim E-Voting der Post und fordert zum wiederholten Male: "Es braucht unabhängige Zertifizierungsstellen, die IT-Lösungen auf Herz und Nieren prüfen. Also eine Art Cyber EMPA!"
Dieses Konzept kursiert in der Politik und bei Security-Experten seit einiger Zeit. Ob die Hersteller und Schweizer IT-Firmen, die "kritische Infrastruktur" entwickeln, diese Initiative aktiv unterstützen, muss sich ebenfalls noch zeigen.