Schweiz versemmelt digitalen Impfausweis

, Uhr

Berlin - Die Schweiz will parallel zur EU einen digitalen Impfausweis einführen. Dazu hat das Parlament bereits die gesetzliche Grundlage geschaffen und wollte bei der Umsetzung fest auf die Plattform Meineimpfungen.ch setzen, die vom Bundesamt für Gesundheit (BAG) aufgesetzt werden sollte. Doch dann stellte sich heraus: Die Plattform hat massivste Sicherheitsmängel. Kurz darauf wurde sie komplett eingestellt. Die Stiftung Konsumentenschutz sieht das Projekt nun als „vollständig gescheitert“ – und nimmt auch den Apothekerverband Pharmasuisse in die Verantwortung.

In der Schweiz musste die bisher einzige Plattform für digitale Impfnachweise wegen massiver Sicherheitsmängel beim Datenschutz schließen. Das BAG hatte die von einer Stiftung getragene Plattform Meineimpfungen.ch eigentlich damit beauftragt, die Infrastruktur für ein digitales Impfzertifikat zu stellen. Die Plattform sollte als die Datenbank dienen, auf der die Patienten- und Impfdaten gespeichert sind und dann mit der App MyViavac mobil genutzt werden können. Doch das ging gehörig schief.

Denn Ende März hatten IT-Sicherheitsexperten des Vereins Mezdanak die Plattform geprüft und waren zu einem vernichtenden Urteil gekommen. Die Sicherheitsmängel seien zahlreich und zum Teil schwerwiegend. „In Summe ermöglichen sie auch ungeübten Angreifern auf verschiedenen Wegen vollumfänglichen Zugriff auf die Daten von Patienten sowie Fachpersonen“, heißt es im Testbericht. „Weder die Vertraulichkeit noch die Integrität oder Verfügbarkeit der hinterlegten Gesundheitsdaten ist gewährleistet.“

So könnten Unberechtigte unter Ausnutzung von Sicherheitsmängeln im Registrierungsprozess einen neuen Fachpersonen-Account ohne Legitimationsprüfung anlegen. Auch die Legitimationsprüfung selbst könne aufgrund gravierender konzeptioneller Schwächen einfach überwunden werden und Angreifer in Besitz eines zuvor erlangten Fachpersonen-Accounts aufgrund des fehlenden Berechtigungskonzepts auf persönliche Informationen sowie die Covid-19-Impfnachweise aller registrierten Patienten zugreifen.

Dem Schweizer „Blick“ zufolge waren bereits 450.000 Impfdatensätze auf der Plattform gespeichert, 240.000 davon zu Corona-Impfungen. Außerdem könnten Unberechtigte mithilfe sogenannter Cross-Site-Request-Forgery- und Cross-Site-Scripting-Angriffe gezielt sowohl Fachpersonen- als auch Patienten-Accounts übernehmen und darüber weitere Gesundheitsdaten abrufen, darunter Angaben zu chronischen Erkrankungen, HIV-Infektionen und Krebsleiden. Die Datenschutzexperten leiteten ihre Ergebnisse an das BAG und den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) weiter, der wiederum ein formelles Verfahren gegen die Plattform einleitete. Die hinter ihr stehende Stiftung nahm die Plattform und die zugehörige App vom Netz, wollte die Fehler beheben und im Mai wieder online gehen.

  • 1
  • 2

APOTHEKE ADHOC Debatte

Neuere Artikel zum Thema

Weiteres
Kein Nachweis über Zusammenhang zu Lungenembolie
Bayer gewinnt Yasminelle-Prozess»
Kein Anschub mehr für Apotheken
Impfzertifikate: 6 Euro ab Anfang Juli»