Elektronisches Impf­büchlein: Schuld­zuweisungen und Hilfsangebote

24. März 2021, 16:16
image

Die aufgedeckten Lücken in der Daten­sicherheit seien kein Fehler des BAG, so der Bund. Neben Kritikern preschen auch Helfer vor.

Das Bundesamt für Gesundheit (BAG) bedauert die Datensicherheitslücken auf der Plattform meineimpfungen.ch. Die Verantwortung für den Fehler trage aber die private Stiftung, welche das schweizerische elektronische Impfbüchlein anbietet und betreibt.
"Wir subventionieren diesen Betrieb, sind da aber nicht die Einzigen", sagte BAG-Direktorin Anne Lévy vor den Bundeshausmedien mit Verweis auf die Ärztevereinigung FMH und andere. Die Stiftung, die mit meineimpfungen.ch eine digitale Übersicht für Impfungen anbietet, sei breit abgestützt. Am Dienstag 24. März machte die Onlinezeitung 'Republik' basierend auf einem Report von drei Securityforschern publik, dass die 450'000 Impfdaten auf meineimpfungen.ch, darunter 240'000 von Covid-19-Geimpften, manipulierbar waren. Zudem bestanden Schwachstellen bei der Authentisierung und der Authentifizierung sowie dem Rollen- und Rechtemanagement, die auch ohne technisches Fachwissen ausgenutzt hätten werden können.
In der Folge wurden das BAG und der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) aktiv. Die Plattform wurde vom Netz genommen für "Wartungsarbeiten" und ein Verfahren gegen die Betreiber eingeleitet.

"Informations-Sicherheits-Managementsystem richtet sich nach ISO 27001"

Insgesamt flossen bisher 2,15 Millionen Franken in den Ausbau, die Werbung und den Unterhalt der Seite, sagte eine Stiftungs-Sprecherin dem 'Tages-Anzeiger'. Der Fokus sei "in den vergangenen Jahren auf dem einwandfreien Funktionieren und der medizinischen Korrektheit der Plattform gelegen".
Allerdings hiess es vor der Abschaltung, wie unsere Recherchen zeigen, auf der Plattform selbst zum Thema: "Wir treffen angemessene sowie geeignete technische und organisatorische Massnahmen, um den Datenschutz und insbesondere die Datensicherheit zu gewährleisten. Wir entwickeln und warten unsere Software im Einklang mit ISO 62304 für Medizingeräte-Software-Lebenszyklus-Prozesse. Unser Informationssicherheitsmanagementsystem richtet sich nach ISO 27001."
Derweil deckten die drei Security-Experten die Mängel ehrenamtlich und mit einer laut eigenen Angaben "oberflächlichen" Untersuchung auf.
Auch personell gibt es inzwischen Kritik. So sass Virginie Masserey, Leiterin der Sektion Infektionskontrolle im BAG, als Privatperson im Stiftungsrat der Impfplattform. Heute verkündete sie nun, sie werde ihr Mandat ganz abgeben, "um eine noch klarere Grenze zwischen dem BAG und der Stiftung zu ziehen".
Ob die Zusammenarbeit des Bundes mit der Stiftung weitergeführt werde, sei derzeit völlig offen, sagte BAG-Direktorin Lévy. Zuerst müsse die Stiftung die Plattform sichern, dann sehe man weiter.
Inwiefern die bestehenden Lücken ausgenutzt wurden, ist Teil von Abklärungen.
Eines der obersten Ziele sei es, bis im Sommer ein Impfzertifikat zur Verfügung zu haben, sagte Lévy weiter. Dieses Impfzertifikat habe jedoch nichts mit meineimpfungen.ch zu tun.

"Jegliches Vertrauen verspielt"

Die Stiftung für Konsumentenschutz rief Nutzerinnen und Nutzer derweil auf, ihre Daten von der Plattform löschen zu lassen. Die Betreiber hätten jegliches Vertrauen verspielt. Eine "von der Pharmaindustrie finanzierte Stiftung mit einem solchen Verständnis von IT-Sicherheit und Transparenz" sei für die Verwaltung von sensiblen Gesundheitsdaten "inakzeptabel".
Nach dem "Grounding" brauche es nun innerhalb von drei Monaten eine neue Lösung, sagte FDP-Nationalrat Marcel Dobler (SG), Vizepräsident der ICT-Standortinitiative Digitalswitzerland, gegenüber 'SRF'. Dazu müssten sich der Bundesrat und das BAG Hilfe holen, um "die Kompetenz, die nicht vorhanden ist" in Gremien zu besetzen.
Digitalswitzerland habe dem Bund deshalb angeboten, mit ihm zusammen einen Hackathon durchzuführen. "Ich hoffe jetzt, dass der Bundesrat diese Hilfe annimmt, damit wir jetzt endlich vorwärtsmachen können", sagte Dobler.

"Es braucht unabhängige Zertifizierungsstellen"

Inwiefern dies mehr als PR-Aktionen in eigener Sache sind, wird sich zeigen. Nationalrat Balthasar Glättli (Grüne/ZH) hält laut 'Watson' eine kompetente, starke Projektleitung für zielführend.
In einem grösseren Kontext sieht Green-VRP und Nationalrat Franz Grüter (SVP/LU) die Datensicherheitsprobleme laut '20 Minuten'. Er verweist auf die bekannt gewordenen Security-Lücken beim E-Voting der Post und fordert zum wiederholten Male: "Es braucht unabhängige Zertifizierungsstellen, die IT-Lösungen auf Herz und Nieren prüfen. Also eine Art Cyber EMPA!"
Dieses Konzept kursiert in der Politik und bei Security-Experten seit einiger Zeit. Ob die Hersteller und Schweizer IT-Firmen, die "kritische Infrastruktur" entwickeln, diese Initiative aktiv unterstützen, muss sich ebenfalls noch zeigen.

Loading

Mehr zum Thema

image

Bund sichert sich Printer und Zubehör für 80 Millionen Franken

An papierlos ist noch lange nicht zu denken. HP wird die nächsten Jahre für die Drucker der Verwaltung zuständig sein. Ein kleiner Teil des Auftrags geht daneben an Canon.

publiziert am 9.8.2022
image

In Zürich werden auch die Stühle smart

Im Rahmen von Smart City Zürich testet die Stadt neue Sensoren. Diese sollen an öffentlichen Stühlen Sitzdauer, Lärmpegel und mehr messen.

publiziert am 8.8.2022
image

Google wird bald Nachbar von AWS am Zürcher Seeufer

Google baut seine Büro­räumlichkeiten in Zürich weiter aus und zieht demnächst im ehemaligen Schweizer IBM-Hauptsitz ein. In der Nähe hat sich bereits AWS eingerichtet.

publiziert am 8.8.2022
image

Amazon bietet 1,7 Milliarden für Hersteller von Staubsauger-Robotern

Mit der Übernahme von iRobot setzt der Konzern seine Akquisitionen im Bereich Smart Home fort. Amazon erhält damit auch immer mehr Daten von Privathaushalten.

publiziert am 8.8.2022