Wollen Sie wissen, womit Viola Amherd geimpft ist?

Offen wie ein Telefonbuch und leicht manipulierbar: Um die Sicherheit und den Datenschutz beim digitalen Schweizer Impfausweis steht es schlimmer als bisher bekannt. Selbst die Impfdaten von Bundesräten waren für die Republik zugänglich.

Eine Recherche von Adrienne Fichter, Patrick Seemann (Text) und Lisa Rock (Illustration), 23.03.2021, Updates 30.03.2021, 31.05.2022

Synthetische Stimme
0:00 / 15:33

Wer gegen Covid-19 geimpft ist, soll in Europa frei reisen können. Diese Idee wird derzeit in der EU diskutiert. Nach dem Vorbild von Israel möchte die Europäische Union einen «digitalen grünen Impf­ausweis» einrichten.

Auch die Schweiz arbeitet an einem digitalen Impf­ausweis. Das Parlament hat dafür vergangene Woche das Covid-19-Gesetz angepasst.

Dabei sind alle Augen auf die Plattform Meineimpfungen.ch und die dazugehörige Impf-App MyViavac gerichtet. Nutzerinnen können dort eintragen, welche Impfungen sie wann erhalten haben, und überprüfen, ob ihnen gewisse Impfungen fehlen.

Die Plattform wird von einer Stiftung betrieben und vom Bundesamt für Gesundheit (BAG) für den elektronischen Impf­ausweis favorisiert. Neun Kantone haben einen Vertrag mit der Stiftung. Der Zweck: die Zusammen­führung der Daten der Impfanmeldungs­software der Kantone und des gesamt­schweizerischen elektronischen Impfbüchleins.

Doch Meineimpfungen.ch und das zugehörige MyCovidVac-Modul weisen gravierende Sicherheits­mängel auf und erfüllen die Anforderungen an den Daten­schutz nicht. Ein technischer Bericht der Informations­sicherheits­experten Sven Fassbender, Martin Tschirsich und André Zilch sowie Recherchen der Republik bringen drei gravierende Probleme zum Vorschein:

  1. Umfassende Zugriffsrechte: Jede Medizin­fachperson, die auf der Plattform registriert ist, hat umfassenden Zugriff auf die Impf- und Gesundheits­daten sämtlicher erfasster Privat­personen. Sie könnte zum Beispiel deren covid­relevante Impfdaten einfach manipulieren.

  2. Mangelhafte Überprüfung: Bei der erstmaligen Anmeldung als Medizin­fachperson findet keine eigentliche Identitäts­prüfung statt. Die Verifikation basiert allein auf den Informationen des Antrag­stellers. Das bedeutet: Es ist einfach, sich als «Arzt» auszugeben.

  3. Sicherheitslücken: Hackerinnen können relativ leicht die Covid-19-Impfausweise sämtlicher bisher geimpfter Personen auf der Plattform erbeuten. Mit etwas technischem Wissen können sie ausserdem die Impf­daten und weitere Gesundheits­daten manipulieren.

Das Tor für Missbrauch und Kompromittierung der Daten von rund 450’000 eingetragenen geimpften Personen, darunter von 240’000 Covid-Geimpften, ist mit den festgestellten Sicherheits­lücken sperrangel­weit offen.

Bereits im Januar 2021 berichtete die Republik über Sicherheitsmängel bei Meineimpfungen.ch. Damals ging es um technische Fragen, die teilweise behoben wurden. Eine vertiefte Überprüfung der Plattform zeigte nun aber, dass die Probleme viel gravierender sind als angenommen. Und sie stellt die Tauglichkeit der Plattform als solche infrage.

«Wir stufen das Risiko eines Missbrauchs als kritisch ein», sagt Sicherheits­experte Sven Fassbender. Mit «kritisch» ist in der Fachwelt das höchste Sicherheits­risiko gemeint. Und das bedeutet: Die Schwach­stellen sind auch von Laien ausnutzbar. Das Expertenteam schreibt in seinem Bericht dazu: «Die Dienste müssen unverzüglich ausser Betrieb genommen werden.»

Ob die Sicherheitslücken tatsächlich von Kriminellen ausgenutzt worden sind, ist unklar. Doch das Risiko ist real: Die Bundesräte Ignazio Cassis und Viola Amherd haben auf Meineimpfungen.ch einen Account, wie die Republik herausgefunden hat. Und die Republik hätte ohne weiteres den Impfstatus der Bundesräte sowie Angaben über chronische Krankheiten einsehen können, ohne dass Aussenminister Cassis und Verteidigungs­ministerin Amherd etwas davon mitbekommen hätten.

Der eidgenössische Datenschutz­beauftragte (Edöb) Adrian Lobsiger hat aufgrund des Sicherheitsberichts und der Republik-Recherchen umgehend ein Aufsichts­verfahren gegen die Stiftung Meineimpfungen.ch eingeleitet.

Die Plattform wurde gestern Montag vom Netz genommen.

1. Die Impfdaten sind offen wie ein Telefonbuch

Von aussen betrachtet wirkt bei Meineimpfungen.ch alles normal. Die Daten des elektronischen Impfpasses scheinen nur für Nutzer selbst zugänglich zu sein. Damit eine medizinische Fach­person diese Daten einsehen kann, muss sie dieser explizit den Zugriff freischalten oder einen Code übermitteln.

Anders präsentiert sich das aus Sicht der registrierten Fachperson: Sie hat ohne weitere Hürden Zugriff auf die persönlichen Daten sämtlicher auf der Plattform registrierter Privat­personen. Dies hat die Republik bei den Covid-19-Impfungen heraus­gefunden. Andere Impfdaten – wie die gegen Wind­pocken oder Masern – wurden aus rechtlichen Gründen nicht angeschaut.

Das bedeutet also:

  • Persönliche Informationen wie Adresse, Telefon­nummer, Geburts­datum, Impf­status, Kranken­kassen­details sowie besonders schützens­werte Personen­daten wie Impfstatus oder Risiko­faktoren von registrierten Bürgerinnen können von allen medizinischen Fach­personen eingesehen und geändert werden. Für sie ist die Plattform ein offenes Telefon­buch, das sie erst noch umschreiben können.

  • Auch die sogenannten Indikatoren für eine Covid-19-Impfung sind für die Mediziner sichtbar und auch veränderbar: Damit ist es etwa ohne Wissen der Betroffenen möglich, eine kerngesunde 25-Jährige in die Risiko­gruppe zu verschieben (und ihr so eine frühe Impfung zu sichern) oder im umgekehrten Fall bei einem 72-Jährigen die Vorerkrankungen zu streichen, um den Impf­termin hinauszuzögern.

Das ist ein gravierender konzeptioneller Sicherheits­mangel. Ob es auch möglich wäre, eine Covid-19-Impfung einzutragen, die es nie gab, hat die Republik aus rechtlichen Gründen nicht ausprobiert. Doch nur schon die Tatsache, dass jede als Fachperson registrierte Benutzerin besonders schützens­werte Gesundheits­daten aller erfassten Nutzer schweizweit einsehen und abändern kann, ist kritisch genug. «Das verstösst auf krasse Weise auch gegen die Nutzungs­bedingungen von Meineimpfungen.ch», sagt der eidgenössische Datenschutz­beauftragte Adrian Lobsiger zur Republik.

Schlimmer noch: Covid-19-kritische Ärzte könnten sich an den Informationen zu schaffen machen und die Impf­datensätze von Patientinnen manipulieren.

2. Jeder kann sich als Fach­person registrieren lassen

Noch gravierender als die Lese- und Modifikations­rechte für Ärztinnen ist, dass die Registrierung als medizinische Fachperson anfällig für Betrug ist. Hackerinnen können sich mit wenigen Kniffen auf Meineimpfungen.ch als Fachperson registrieren und dieselben Zugriffs­rechte wie Ärzte erhalten.

Auch hier sieht der Registrierungs­prozess zunächst sicher aus:

  • Als medizinische Fachperson meldet man sich mit seiner EAN/GLN-Identifikation (eine eindeutige Identifikations­nummer von Ärztinnen) und persönlichen Daten und Telefon­nummer/E-Mail für einen Account an.

  • Anschliessend erhält man von der Plattform eine E-Mail mit der Bitte, sich als medizinische Fach­person auszuweisen, sei das mithilfe eines Fotos des – vom Ärzteverband FMH vergebenen – HPC-Ausweises oder der Urkunde oder des Diploms. Erst dann wird das Benutzer­konto freigeschaltet.

Das klingt nach einer seriösen, sicheren Prüfung.

Doch das schweizerische EAN/GLN-Verzeichnis ist öffentlich verfügbar, man kann sich also problemlos den Namen einer Fachperson heraus­suchen, von der man annehmen kann, dass sie bisher noch keinen Zugang zur Impf­plattform beantragt hat, und sich als diese Person anmelden.

Die Republik hätte also ohne grossen Aufwand einen fingierten Zugang zu Meineimpfungen.ch erstellen können: anhand eines Ärzte­namens und der passenden EAN/GLN-Nummer und einer eigens zu diesem Zweck kreierten E-Mail-Adresse. Der erforderliche Nachweis der medizinischen Ausbildung hätte relativ leicht mit einem gefälschten Dokument beziehungs­weise Fotos erbracht werden können. Beispiele für Health-Professional-Card-Ausweise wie auch für medizinische Berufsdiplome finden sich leicht im Internet.

Die Zugangsprüfung für medizinische Fach­personen basiert also auf reinem Vertrauen – darauf, dass der sich anmeldende Arzt tatsächlich die Person ist, als die er sich ausgibt. Bessere Verfahren zur Über­prüfung sind nicht vorgesehen. Es ist daher nicht auszuschliessen, dass sich bereits eine Reihe von «Fake-Ärztinnen» auf Meineimpfungen.ch angemeldet hat.

Darüber hinaus hat die Republik beim Registrierungs­prozess eine weitere, beinahe schon peinliche Sicherheits­lücke entdeckt. Will eine Hackerin keine Covid-Impfdaten verändern, sondern sie «nur» einsehen, kann sie sich das gefälschte Medizin­diplom sparen und stattdessen die Passwort-Reset-Funktion nutzen. Damit erhält sie einen Zugang auf die Plattform, der zunächst stark eingeschränkt aussieht. Mit ein paar technischen Kniffen gelingt es aber, die Einschränkungen zu umgehen und Zugriff auf Impf­ausweise zu erhalten.

Ich will es genauer wissen: Wie funktioniert der Zugriff ohne validierten Account?

Bei der Registrierung erhält man als medizinische Fachperson das Passwort erst nach Validierung des Medizin­diploms zugestellt. Es reicht jedoch, nur den ersten Schritt der Anmeldung als medizinische Fachperson zu durchlaufen, die darauffolgende E-Mail mit der Bitte um eine Dokumenten­kopie zu ignorieren und stattdessen über die Passwort-Reset-Funktion («Passwort vergessen») für den noch nicht validierten Account ein Passwort zu setzen. Dadurch kann ein Hacker selbst ein Passwort setzen und erhält so den Zugriff auf Meineimpfungen.ch.

Wer sich damit einloggt, scheint auf den ersten Blick noch keinen Zugriff auf die Covid-Impfausweise zu haben, da die Account-Validierung aussteht. Es wird allerdings nur der entsprechende Menüpunkt nicht angezeigt. Wenn man die URL für den Impfausweis kennt, kann man diese direkt in die Adresszeile des Browsers eingeben und so auf den Impfausweis zugreifen. Hacker können ausserdem das Access-Token auslesen, mit dem sämtliche Zugriffe des Benutzers authentisiert (d. h. diesem Benutzer zugeordnet) werden. Dieses Access-Token lässt sich auch bei einem noch nicht validierten Account für den automatisierten Zugriff auf sämtliche Covid-Impfdaten nutzen.

3. Hacker können Impf­ausweise einsehen

Schleust sich eine Angreiferin auf die beschriebene Weise in die Plattform ein, hat sie Zugriff auf eine grosse Menge an sensiblen Daten. Mittels des «übernommenen» Accounts kann sie sich mit der Such­funktion einfach bedienen und auf sämtliche erfassten Impfdaten zugreifen.

Wenn die Hackerin «nur» den Covid-19-Impfstatus einer Privat­person wissen möchte, geht es sogar noch einfacher, indem sie sich den Impf­ausweis bestimmter Personen als PDF beschafft. Dazu braucht sie neben dem Access-Token (siehe Box «Wie funktioniert der Zugriff ohne validierten Account?») lediglich die numerische Identifikations­nummer (ID) des jeweiligen Patienten und muss diese an die URL (also die Internet-Adresszeile) anhängen.

Die ID eines Patienten herauszufinden, klingt nach einer schwer zu überwindenden Hürde. Doch bei Meineimpfungen.ch sind die Zahlen weder besonders komplex noch zufallsgeneriert. Die ID-Nummer ist bloss ein Zeitstempel – sie gibt den Zeitpunkt an, wann der Patienten­account angelegt wurde.

Ausgehend davon, dass die meisten Schweizer Einwohnerinnen sich erst mit dem Start der Covid-Impfkampagne Anfang Jahr angemeldet haben, kann die Hackerin mittels eines kleinen Programms sämtliche seit 1. Januar 2021 möglichen IDs für Abfragen nach Impfausweisen verwenden. Viele davon werden nicht existieren und zu einem Fehler führen. Doch gemäss dem technischen Report des IT-Security-Teams wäre theoretisch alle 15 Minuten ein gültiger Impf­ausweis aufrufbar. Wenn die Abfragen portionen­weise verteilt über Tage oder nur nachts erfolgen, dürfte dies den System­betreibern von Meineimpfungen.ch – der IT-Firma Arpage – kaum auffallen.

Die Problematik einer öffentlich in der URL einsehbaren und einfach erratbaren ID hat die Republik, ebenfalls unter Beteiligung des IT-Security-Experten Sven Fassbender, bereits am Beispiel des Reservationsportals Lunchgate beschrieben. Doch Impfdaten sind weitaus sensibler als Restaurant­besuche, weil es sich um Gesundheits­informationen handelt.

Bekannt ist, dass sich alle Bundes­rätinnen impfen liessen. Wie erwähnt gelang es der Republik, die Konten der beiden Bundes­rätinnen Viola Amherd und Ignazio Cassis zu eruieren. Sie hätte auch problemlos ihren Impf­ausweis öffnen sowie auf den verabreichten Impfstoff und weitere persönliche Gesundheits­daten zugreifen können.

Ich will es genauer wissen: Wie sehen weitere mögliche Angriffs­szenarien auf die Impfplattform aus?

a) Account-Übernahme durch Cross-Site-Scripting (XSS)

Bei Meineimpfungen.ch können Privatpersonen nach Anlegen ihres Kontos bisher erfolgte Impfungen erfassen und diese beim nächsten Arztbesuch validieren (bestätigen) lassen. Wie Recherchen der Republik zeigen, überprüft, codiert und filtert die Plattform Meineimpfungen.ch die von den Privat­personen gemachten Texteingaben nur unvollständig, sodass Angreifer insbesondere auch Programm­code eingeben können. Dieser Programm­code wird dann anschliessend ausgeführt, wenn der Arzt die Impfdaten aufruft. In Fachkreisen ist diese Art von Angriff als Cross-Site-Scripting bekannt.

Das für eine Angreiferin Interessante dabei: Der eingeschleuste Programm­code kann mit den Zugriffs­rechten des gerade eingeloggten Arztes ausgeführt werden. Kurz: Eine Hackerin übernimmt den Account eines Arztes. Mit entsprechendem Wissen über die Funktions­weise der Applikation kann der Code problemlos so gestaltet werden, dass er spezifische, eigentlich nur Fach­personen zugängliche Funktionen ausführen kann. Dazu gehören die Validierung oder die Invalidierung von Impfungen ebenso wie das Erfassen von Vorerkrankungen von Patientinnen, aber auch – für Angreifer besonders interessant – das Auslesen sämtlicher Gesundheits­daten von Patientinnen eines Arztes oder das Eintragen einer Covid-Impfung. Gerade im Falle von impfstatus­abhängigen Freiheiten könnte Letzteres schnell an Bedeutung gewinnen.

Ein XSS-Angriff bedingt, dass jemand (in diesem Fall die medizinische Fachperson) persönlich am Rechner eingeloggt ist und auf die manipulierten Daten zugreift. Um dies zu erreichen, kann eine Hackerin den Umstand ausnutzen, dass Ärzte per E-Mail informiert werden, wenn eine Patientin innerhalb von Meineimpfungen.ch eine Mitteilung hinterlässt. Wie bei anderen Phishing-Attacken auch kann die Hackerin diese E-Mail mit einem entsprechend modifizierten Link selbst schreiben und dem Arzt zustellen. Beim Klick auf den Link zeigt Meineimpfungen.ch im Browser den vorab manipulierten Inhalt an und führt den zugehörigen Code aus.

b) Account-Übernahme mittels «Passwort-Hack»

Bei einem Passwort-Reset erhält man einen Passwort-Reset-Link mit einer sechsstelligen Zeichenfolge (Token) per E-Mail zugestellt, mit der Meineimpfungen.ch das neue Passwort dem richtigen Account zuordnet. Sechsstellige Tokens sind zu wenig komplex, sie können mithilfe des Durch­spielens sämtlicher Möglichkeiten innert nützlicher Frist erraten werden. Dazu löst die Hackerin für eine Reihe von Fachpersonal-Accounts den Passwort-Reset aus, lässt ein Programm laufen, das so lange Tokens ausprobiert, bis die Passwort-Änderung erfolgreich ist, und testet anschliessend, in welchen der Fachpersonal-Accounts sie sich mit dem neuen Passwort einloggen kann.

Stark erleichtert wird dies durch das Fehlen von 2FA (2-Faktor-Authentifizierung) bei Fach­personen-Accounts (für normale Benutzer ist 2FA nicht nur möglich, sondern sogar stark empfohlen). Dies mag auf den ersten Blick überraschen, ist aber dadurch erklärbar, dass sich in medizinischen Praxen aus rein praktischen Gründen oft mehrere Praxis­assistenten und Ärztinnen einen einzigen Benutzer­account teilen und es daher fürs Log-in nicht so einfach ist, den 2FA-Code der richtigen Person zuzustellen.

Die Plattform wurde abgeschaltet

Der elektronische Impfausweis verstösst mehrfach gegen das (noch veraltete) Datenschutz­gesetz (das revidierte ist erst ab 2022 in Kraft). Die Stiftung setzt zudem auf Infra­struktur von amerikanischen Big-Tech-Unternehmen. So werden für die Nutzung des MyCovidVac-Moduls Google-Dienste wie etwa die Google-Cloud verwendet.

Die Stiftung hat auf die gemeldeten Mängel reagiert. Die Plattform wurde gestern Montag vorüber­gehend deaktiviert. Sprecherin Nicole Bürki sagt zur Republik: «Die beschriebenen Sicherheits­mängel waren uns bis gestern Sonntag nicht bekannt.» Man werde alle Befunde prüfen und eine spezialisierte Drittfirma mit weitergehenden Checks beauftragen.

Die Republik hat die gefundenen Miss­stände ausserdem dem eidgenössischen Daten­schutz­beauftragten gemeldet. Das Informatik-Team des Edöb hat die Schwach­stellen daraufhin verifiziert und bestätigt. Der Datenschutz­beauftragte Adrian Lobsiger hat am Montag ein Aufsichts­verfahren gegen die Stiftung Meineimpfungen.ch eingeleitet. Die Stiftung wird damit nun aufgefordert, sich detailliert zu den Sach­verhalten zu äussern und auch darzulegen, wie die Betroffenen im Fall von Daten­diebstahl informiert werden.

Grégoire Gogniat, der Sprecher des Bundesamts für Gesundheit, sagt auf Anfrage der Republik: «Das BAG hat die Stiftung sofort beauftragt, den Hinweisen nachzugehen und die Mängel zu beheben.» Das BAG scheint sich aufgrund der wachsenden Kritik zunehmend von der Stiftung zu distanzieren. So betonte Sprecher Gogniat, dass Meineimpfungen.ch kein nationales Impfregister sei und die Eintragung freiwillig. Es sei zudem offen, mit welcher Plattform man für den staatlichen Impfausweis zusammen­arbeiten werde, so das BAG letzte Woche im «Tages-Anzeiger».

Dabei waren die Absichten bis vor kurzem ganz andere: In Antworten auf parlamentarische Vorstösse nennt der Bundesrat die bestehende Plattform Meineimpfungen.ch als valable Kandidatin für einen staatlichen Impfausweis. Laut einem vertraulichen Dokument von Dezember 2020 – das allerdings im Netz verfügbar ist – scheint die Zusammenarbeit zwischen dem BAG und Meineimpfungen.ch bereits besiegelt zu sein: «(…) Dokumentation des Impfaktes für das Impfmonitoring, sowie für das Erstellen eines Impfausweises zuhanden der geimpften Personen, hat sich das BAG entschieden, mit myCovidVac zusammen zu arbeiten.» Der Bund hat gemäss Recherchen der «SonntagsZeitung» bereits 2,15 Millionen Franken investiert und weitere 250’000 Franken in Aussicht gestellt.

Ganz andere Vorstellungen hat da jedoch das Parlament. Dieses möchte gemäss Artikel 6a des soeben angepassten Covid-19-Gesetz eine digitale Impfpass­lösung, die fälschungs­sicher, international anerkannt, datenschutz­konform ist und lokale Überprüfungen ermöglicht.

Meineimpfungen.ch erfüllt diese Standards in keiner Weise.

Zu den Updates

Seit der Publikation dieses Beitrags haben wir zwei Updates veröffentlicht. Beim ersten ging es um nicht gelöschte Benutzer­konten, erzwungene Registrierungen und Falsch­informationen der Betreiber: das Update zu den gravierenden Sicherheits­mängeln bei Meineimpfungen.ch. Beim zweiten wird eine wüste Posse rund um die Frage beschrieben, ob die Daten der Nutzerinnen gelöscht werden sollen.