Der Schweizer Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat ein formelles Verfahren gegen die Betreiberin der Plattform meineimpfungen.ch eröffnet. Dies meldet der EDÖB, der damit in Rücksprache mit dem Nationalen Zentrum für Cybersicherheit (NCSC) auf einen Bericht des Onlinemagazins 'Republik' reagiert.
Die von der 'Republik' angezeigten Verletzungen seien plausibel, entsprechend habe er die Betreiberin aufgefordert, die Plattform "meineimpfungen.ch" bis auf Weiteres vom Netz zu nehmen.
Verantwortlich ist eine Stiftung, die im Auftrag des BAG das elektronische "Impfbüchlein" führt, bei welcher man freiwillig eigene Impfungen registrieren kann. Die Stiftung selbst nennt es einen "schweizerischen elektronischen Impfausweis".
Die Zeitschrift publizierte verschiedene Vorwürfe, die insbesondere auf einem Bericht von drei deutschen Security-Forschern basiert. Diese schreiben nach einer laut eigenen Angaben oberflächlichen Untersuchung: "Es ist von einer vollständigen Kompromittierung der Webanwendung auszugehen. (...) Aktuell ist die Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Informationen nicht gewährleistet."
Die Webseite und eine zugehörige App sind nun für "Wartungsarbeiten", wie es die Verantwortlichen nennen, deaktiviert worden.
Mindestens 9 Lücken in der Benutzeroberfläche
Im Bericht nennen die Autoren 9 Sicherheitslücken betreffend der Benutzeroberfläche, gehen aber von weiteren aus, die sie aus Zeitmangel nicht untersucht hätten.
Diverse der genannten Schwächen und Lücken sind weit verbreitet, aber dürften im Umgang mit sensiblen Daten eigentlich nicht mehr passieren. Insbesondere weil die Stiftung zur jetzt abgeschalteten Plattform geschrieben hatte: "Wir treffen angemessene sowie geeignete technische und organisatorische Massnahmen, um den Datenschutz und insbesondere die Datensicherheit zu gewährleisten. Wir entwickeln und warten unsere Software im Einklang mit ISO 62304 für Medizingeräte-Software-Lebenszyklus-Prozesse. Unser Informationssicherheitsmanagementsystem richtet sich nach ISO 27001."
"Die Bearbeitung von Gesundheitsdaten erfolgt ausschliesslich durch oder unter Kontrolle von ausgebildeten und informierten Fachpersonen. Wir gewährleisten die Datensicherheit insbesondere durch die fortlaufende Überwachung und Verbesserung von Prozessen und Systemen zur Datenbearbeitung sicher. Wir arbeiten dafür auch mit spezialisierten Unternehmen (...) zusammen."
In der Praxis aber können die Betreiber wegen ungenügender Authentisierungsmassnahmen nicht einmal zwischen legitimen und nicht-legitimen Accounts unterscheiden.
Die Gründe: Teilweise reicht ein reines Passwort-Login, um Daten einzusehen. Teilweise gibt es zwar eine Zwei-Faktor-Authentisierung, aber nicht für alle Fachpersonen. Dann kommen SMS zum Einsatz, was nicht den aktuellen Sicherheitsstandards für sensible Daten entspricht.
Der Passwort-Reset-Token umfasse zudem "lediglich sechs alphanumerische Zeichen in Gross- und Kleinschreibung", damit sei das "Erraten" innert 2 Stunden möglich, so die Autoren. Vorausgesetzt allerdings man kann 500 Anfragen/Sekunde ausführen.
Jeder ein Arzt
Man kann sich zudem, um ein Login zu erhalten, relativ leicht als eine andere Person ausgeben. Zentrale Identifikatoren für einen Login-Antrag als existierender Arzt kann jedermann öffentlichen Registern entnehmen und die Validierung der Angaben erfolgt manuell. Das ist allerdings ungenügend, denn man könnte auch gefälschte ID-Dokumente einreichen, ohne dass dies sicher bemerkt würde.
Photoshop-taugliche Vorbilder sind im Internet zu finden, wie die 'Republik' aufzeigt. Es ist ohne technische Kenntnisse möglich, sich mit Eingaben im Webformular als Arzt auszugeben und anschliessend die entsprechenden Zugriffsrechte zu erhalten.
Ein Angreifer kann laut den Autoren den manuellen Validierungsprozess zudem auch mit einem Passwort-Reset umgehen.
Des Weiteren gibt es Probleme mit dem Rollen- und Rechtemanagement: "Registrierte Fachpersonen können über eine unter
services.mycovidvac.ch bereitgestellte Suchfunktion uneingeschränkt auf viele personenbezogenen Daten aller in der Webanwendung registrierten Patienten zugreifen". Dies umfasst auch Adressdaten über Versichertennummer, Krankenkasse und anderes mehr. Hat man diese einmal kopiert, könnt ein Angreifer diese Informationen über das "Impfbüchlein" hinaus für Identitätsdiebstahl oder andere Straftaten einsetzen.
Falls im System erfasst, können auch Informationen zu Covid-19 relevanten Vorerkrankungen von allen "Fachpersonen" eingesehen werden, weil ein der Sensibilität der Daten angemessenes Berechtigungskonzept fehlt.
Damit hört die Liste der Schwachstellen mit unterschiedlichem Risiko aber noch nicht auf. Die Forscher fanden nämlich auch mindestens eine für Cross-Site-Scripting offene Schwachstelle, sie vermuten mehrere. Auch Cross-Site-Request-Forgery soll möglich sein.
Zudem schreiben sie, dass bei der Plattform unverschlüsselte Kommunikation stattfinde, beispielsweise zwischen der Webanwendung und dem Identity-Provider HIN.
Die Stiftung schreibt nun: "Auf der technischen Seite wurden die Schwachstellen sofort behoben. Wir sind daran, die Auswirkungen dieser vergangenen Schwachstellen zu analysieren, um festzustellen, ob tatsächlich gefälschte Konten oder Impfausweise erstellt wurden. (...) Vor einer Wiederinbetriebnahme von
meineimpfungen.ch werden alle Komponenten und Prozesse eine tiefgehende Prüfung durch eine qualifizierte Stelle durchlaufen und die Ergebnisse transparent gemacht."
Es stellen sich nun unterschiedliche Fragen: Haben Angreifer die Schwachstellen schon ausgenutzt? Gäbe es lukrative Motive? Wie könnten sie von den Daten profitieren – neben Identitätsdiebstahl oder dem Verschieben der eigenen Person in die Kategorie "Risikoperson" mit raschem Impfdatum? Warum finden 3 ehrenamtlich arbeitende Security-Forscher 9 Lücken, aber die in
meineimpfungen.ch involvierten IT-Fachleute nicht? Und: Wer ist verantwortlich?
Die Stiftung schreibt treuherzig: "Wir sind immer dankbar, wenn wir über Schwachstellen informiert werden und wir Verbesserungsvorschläge erhalten."
Schon die SwissCovid-App ist nicht über alle Zweifel erhaben, weshalb sie auch von uns bekannten Security-Fachleuten gemieden wird. Nun nagt ein weiteres Datenleck am Vertrauen in öffentliche Gesundheits-Plattformen.