Wie sicher ist der digitale Impfausweis?

Die Pandemie deckt schonungslos alle Defizite des Gesundheits­wesens im digitalen Bereich auf. Angefangen mit dem Faxgate des Bundesamts für Gesundheit (BAG) über verspätete IT-Beschaffungen bis zu Pannen bei der Impfanmeldung in den Kantonen.

Und auch der digitale Impfausweis erfüllt keine zeitgemässen Standards an Sicherheit und Daten­schutz, wie eine Recherche der Republik zeigt.

Die Plattform Meineimpfungen.ch fristete bisher ein kümmerliches Dasein. 2016 waren gerade mal etwas mehr als 100’000 Nutzerinnen verzeichnet. Gross beworben wurde der freiwillige Impfausweis nicht, lediglich über Broschüren in Arztpraxen. Doch seit letztem Sommer verzeichnet die Website, seit kurzem bekannt als «der digitale Impfausweis», einen steilen Anstieg bei den Nutzer­zahlen. Im Spätherbst hatten sich bereits 300’000 Personen für einen digitalen Impfausweis angemeldet. Die Anwendungs­szenarien sind zwar noch unklar, doch denkbar wäre etwa, die dazugehörige App als Reise-Freipass zu nutzen: Wer sie hat, darf über die Grenze.

Das BAG lancierte die Website 2011, was sich auch im Design widerspiegelt. Wer ein Konto errichtet, findet eine komplizierte Benutzerführung vor, die vor allem auf Fach­personen wie Ärztinnen oder Alters­heim­personal ausgerichtet ist. Ein Bürger, der nur mal schnell seinen Impfausweis digitalisieren will, wird mit den zahlreichen medizinischen Fach­begriffen schnell überfordert sein.

Dieser Umstand allein wäre nicht allzu tragisch. Doch es gibt noch weit schwerwiegendere Missstände.

Etwa beim Thema Datenschutz.

Nutzerinnen werden nur spärlich informiert

Impfdaten gehören zu den besonders schützens­werten Daten. Es erstaunt daher, dass die Daten­schutz­erklärung von Meineimpfungen.ch sehr kurz und knapp ausfällt. Noch erstaunlicher ist die Antwort des Stiftungsrats­mitglieds Hannes Boesch auf die Frage, weshalb dies so ist: «Wir betreiben keine Daten­wirtschaft und sind nicht gewinn­orientiert. Wir können unsere Daten­schutz­erklärung deshalb kurz und knapp halten.»

Der Fakt, dass kein gewinn­orientiertes Daten­unternehmen die Plattform betreibt, soll also ausreichen als Garantie, dass mit diesen Daten nichts Böses angestellt wird, ja, dass deren Verwendung gar nicht weiter erklärt werden muss. Das ist eine durchaus eigenwillige Haltung.

In der Datenschutz­erklärung wird zum Beispiel nicht auf die von der Republik identifizierten Tracker hingewiesen, die Statistik­daten über die Zugriffe auf die Website sammeln. Diese Tracker arbeiten zwar gemäss Datenschutz­erklärung mit anonymisierten Daten. Aber: Zumindest zum Zeitpunkt, als dieser Beitrag geschrieben wurde, übermittelte die Website auch ganze Benutzer­namen an die Tracker der IT-Firma. Eine vollständige «Anonymisierung» sieht anders aus.

Es stimmt zwar: Seit 2015 verantwortet kein Unter­nehmen, sondern eine Stiftung die Plattform. Einsitz haben darin Vertreter des Ärzteverbands FMH, des Verbands Pharmasuisse und auch des IT-Unternehmens Arpage. So ist Hannes Boesch, der als Stiftungsrats­mitglied Medien­anfragen beantwortet, gleichzeitig auch CEO von Arpage.

Das Unternehmen Arpage hat Meineimpfungen.ch nicht nur entwickelt, sondern betreibt auch die Datenbank. «Hoch sicher», wie Boesch versichert. Die Impfdatenbank liegt also in den Händen einer privaten Firma. «Die Arpage AG gewährleistet die Daten­sicherheit insbesondere durch die fortlaufende Überwachung und Verbesserung von Prozessen und dem System zur Daten­bearbeitung», so Boesch.

Doch gerade in Sachen Daten­sicherheit gab es bis vor kurzem grossen Verbesserungsbedarf:

• Die Republik fand etwa heraus, dass sich im Support­bereich der Plattform eine bekannte Schwach­stelle, die SQL Injection, befindet. Es handelt sich um eine Schwach­stelle, die schon seit drei Jahren bekannt ist. Eine Angreiferin könnte sich durch diese Sicherheits­lücke direkten Zugriff auf Daten­banken verschaffen und eigene Befehle ausführen. Sprich: im schlimmsten Fall Impfdaten von fremden Personen manipulieren. Es ist unklar, für wen dieser Support­bereich genau gedacht ist und ob man damit im schlimmsten Fall persönliche Daten extrahieren kann. Denn ausprobieren darf das die Republik nicht, wenn sie nicht gegen geltende Gesetze verstossen will. Die Frage bleibt: Können Hacker damit von aussen auf die Impf­datenbank zugreifen? Boesch sagt: «Wir können ausschliessen, dass über die Support­seiten auf Impfdaten zugegriffen werden kann.» Doch Arpage musste auf unseren Hinweis zuerst weitere Abklärungen treffen, was das Ausmass der Schwach­stelle angeht.

• Der Zugriff auf Meineimpfungen.ch war mit veralteten unsicheren Sicherheits­protokollen wie TLS 1.0 und TLS 1.1 möglich, wie Recherchen der Republik zeigen. TLS ist ein Verschlüsselungs­protokoll zur Daten­übertragung im Internet. Das zeitgemässe TLS 1.3 hingegen wurde nicht unterstützt. Ausserdem war die Plattform unzureichend gegen sogenannte Cross-Site-Scripting-Attacken geschützt, was es einer Angreiferin grundsätzlich erlaubt hätte, über eine Drittseite die im Browser angezeigten Impf- und Kontakt­daten mitzulesen. Die Republik konfrontierte die Stiftung auch mit diesem Befund. Boesch verteidigte erst den Einsatz von veralteten TLS-Protokollen mit der Begründung, den Zugriff auch älteren Browsern ermöglichen zu wollen. Doch seither hat die Stiftung einige Haus­aufgaben gemacht: Das alte TLS-Protokoll 1.0/1.1 wurde deaktiviert. Inzwischen erfolge der Zugriff nur noch mit TLS 1.2, so Boesch. Der Zugriff via TLS 1.3 soll ebenfalls bald möglich sein, und man werde ein besonderes Augenmerk auf Angriffe aller Art richten, einschliesslich Cross-Site-Scripting-Attacken. Sicherheits­überprüfungen würden wöchentlich von der Firma Netchange Informatik vorgenommen, sagt Boesch.

Ob diese Audits ausreichen, wird nicht zu erfahren sein. Die Software der Plattform ist nicht quelloffen, sie lässt sich also nicht einsehen und auf Schwach­stellen prüfen. Da es weder eine Offenlegungs­pflicht noch eine Meldepflicht für allfällige Angriffe gibt, muss man sich in Sachen IT-Security auf die Aussagen der Stiftung verlassen.

Was immerhin von aussen sichtbar ist: Seit der Anfrage der Republik wurde die Datenschutzerklärung um einige Punkte angepasst.

Auch ein paar weitere einfache Details wurden zwischen­zeitlich angegangen.

Noch vor zwei Wochen erzielte Meineimpfungen.ch bei einschlägigen Bewertungs­tools keine Bestnoten, im Gegenteil: Das Observatory-Tool der Stiftung Mozilla verpasste dem digitalen Impfausweis in Sachen IT-Sicherheit ein «F»: ungenügend. Zwischen­zeitlich wurden einige Verbesserungen getätigt, wie etwa die Aktivierung von HSTS: Damit wird die Verschlüsselung des Daten­verkehrs zwischen dem Browser der Nutzerin und der Website Meineimpfungen.ch sichergestellt.

Die Impfungen sind in allen Kantonen angelaufen, die Nachfrage ist gross. Doch in Sachen digitale Prävention gegen böswillige Hacker gibt es noch einiges zu tun.