Der Schweizer Staat will die Kuh vom Eis holen und entwickelt nun im Hauruckverfahren ein Konzept für ein fälschungssicheres digitales Zertifikat, mit dem sich Immunisierte ausweisen können sollen. Denn die bisher mit dessen Umsetzung betraute Plattform Meineimpfungen.ch musste im Mai wegen massivster Sicherheitsmängel komplett vom Netz genommen werden. Trotzdem soll das staatliche Impfzertifikat bis Ende Juni verfügbar sein. Statt einem Projekt mit vielen Stakeholdern setzt der Bundesrat – das Schweizer Pendant zur Bundesregierung – deshalb nun auf eine einzige und bundeseigene Lösung.

Für den Apotheker- und den Ärzteverband verfallen damit nicht nur die Investitionen in das ursprüngliche Projekt, sondern sie sind anders als bisher nicht in die Konzipierung eingebunden – und befürchten, dass das für die Leistungserbringer zum Nachteil werden könnte. „Pharmasuisse und die FMH wollten mit einer eigenen Lösung beitragen, weil sie die Schnittstellen und Anbindung der Leistungserbringer bereits haben. Somit könnten die Leistungserbringer effizient mit ihren gewohnten Systemen arbeiten und den Patientinnen oder Klienten die Zertifikate ohne zeitliche Verzögerung im Rahmen der Konsultation ausstellen“, schreiben sie in einer gemeinsamen Mitteilung. Außerdem könne die Lösung schneller und einfacher zur Verfügung gestellt werden, wenn Apotheker und Ärzte involviert sind, schließlich müssten nicht erst neue Schnittstellen und Anbindungen geschaffen werden.

Die Hoffnung auf eine für Leistungserbringer anwenderfreundliche Lösung scheinen beide Verbände aber noch nicht aufgegeben zu haben. Sie unterstützen „weiterhin das Ziel, dass die Bevölkerung sowie die Ärzte-und Apothekerschaft möglichst rasch ein sicheres und administrationsarmes Covid-Zertifikat verwenden und ausstellen können“ und würden dem Bund, „wo immer gewünscht“, dafür zur Verfügung stehen – betonen aber: „Für die jetzt gewählte Lösung steht der Bund jedoch in alleiniger Verantwortung.“

Die Betonung der Verantwortlichkeit kommt nicht von Ungefähr: Verbraucherschützer hatten auch die beiden Verbände für das Debakel beim bisher geplanten Impfzertifikat kritisiert. „Für dieses Debakel tragen auch das BAG [Bundesamt für Gesundheit, Anm.d. Red.], die FMH und Pharmasuisse eine große Verantwortung. Sie haben Meineimpfungen.ch über Jahre unterstützt – auch mit großzügiger Finanzierung – und sie haben das Projekt durch ihre Vertretungen im Stiftungsrat mitgetragen“, erklärt Sara Stalder, Geschäftsleiterin der Konsumentenschutzstiftung. Zudem hätten sie den Patient:innen und Konsumenten den Dienst als praktisch und sicher angepriesen. Die Stiftung forderte deshalb, dass der Bund die Hoheit über das Projekt an sich reißt – wie nun auch geschehen.

Das BAG hatte die von einer Stiftung getragene Plattform Meineimpfungen.ch eigentlich damit beauftragt, die Infrastruktur für ein digitales Impfzertifikat zu stellen, bei der die Plattform als die Datenbank dienen sollte, auf der die Patienten- und Impfdaten gespeichert sind und dann mit der App MyViavac mobil genutzt werden können. Doch Ende März hatten IT-Sicherheitsexperten die Plattform geprüft und waren zu einem vernichtenden Urteil gekommen. Die Sicherheitsmängel seien zahlreich und zum Teil schwerwiegend. „In Summe ermöglichen sie auch ungeübten Angreifern auf verschiedenen Wegen vollumfänglichen Zugriff auf die Daten von Patienten sowie Fachpersonen“, heißt es im Testbericht. „Weder die Vertraulichkeit noch die Integrität oder Verfügbarkeit der hinterlegten Gesundheitsdaten ist gewährleistet.“

Dem Schweizer „Blick“ zufolge waren bereits 450.000 Impfdatensätze auf der Plattform gespeichert, 240.000 davon zu Corona-Impfungen. Die Stiftung nahm die Plattform und die zugehörige App vom Netz, wollte die Fehler beheben und im Mai wieder online gehen. Doch dazu kam es nicht. Im Mai gab die Stiftung bekannt, dass die Sicherheitsmängel derart gravierend seien, dass ein Weiterbetrieb der Plattform nicht möglich ist. Die Daten seien nun isoliert und gespeichert worden, das Kuratorium der Stiftung suche nun nach einem geeigneten Weg, sie den Nutzern zukommen zu lassen.