Update

Wie das Debakel um den digitalen Impfpass schöngeredet wird

Nicht gelöschte Benutzerkonten, erzwungene Registrierungen und Falschinformationen der Betreiber: das Update zu den gravierenden Sicherheitsmängeln bei Meineimpfungen.ch.

Von Adrienne Fichter und Patrick Seemann, 30.03.2021

Vergangene Woche publizierte die Republik eine Recherche zur Plattform Meineimpfungen.ch. Die Erkenntnisse, die in Zusammen­arbeit mit den IT-Sicherheits­experten Sven Fassbender, Martin Tschirsich und André Zilch gewonnen wurden, führten dazu, dass der elektronische Impf­ausweis vom Netz genommen wurde. Die Schwach­stellen waren so gravierend, dass der Eidgenössische Datenschutz­beauftragte ein Aufsichts­verfahren einleitete.

Zur Recherche

Offen wie ein Telefonbuch und leicht manipulierbar: Um die Sicherheit und den Datenschutz beim digitalen Schweizer Impfausweis steht es schlimmer als bisher bekannt. Selbst Impfdaten von Bundesräten waren für die Republik zugänglich.

Für das Bundesamt für Gesundheit (BAG) ist die Angelegenheit äusserst unangenehm. Das Amt hat sich rasch von der Plattform distanziert – obwohl es offensichtlich mit ihr zusammen­gearbeitet und Förder­beiträge gesprochen hatte. Virginie Masserey, Leiterin der Sektion Infektions­kontrolle beim BAG, ist zudem als Stiftungs­rätin von Meineimpfungen.ch zurückgetreten. Und an Presse­konferenzen betonten BAG-Direktorin Anne Lévy und Bundesrat Alain Berset unisono: Wir tragen keine Mitverantwortung.

Im Widerspruch zu diesen Äusserungen zeigt sich:

  • Der elektronische Impfpass ist viel stärker in die institutionellen Prozesse der Schweizer Impf­kampagne integriert als gedacht.

  • Das Datenchaos ist noch viel grösser als angenommen.

  • Die Stiftung hat in einer Medien­mitteilung versucht, die gravierenden Mängel kleinzureden – auch mit groben Falschaussagen.

Das Recherche-Update in drei Punkten:

1. Zwangsregistrierung von Ärztinnen

Im Spital Thurgau konnte sich das Fachpersonal im Frühjahr impfen lassen. Der elektronische Eintrag bei Meineimpfungen.ch war dabei für Ärztinnen obligatorisch, wie ein Dokument zeigt, das der Republik vorliegt. Eine Fachperson, die sich bei uns meldete, sagt, dass diese Zwangs­eintragung für grosse Irritation sorgte. Das Spital Thurgau reagierte nicht auf eine Anfrage.

Wie sehr das elektronische Impf­büchlein in den kantonalen Abläufen integriert ist, zeigte sich in den Tagen nach unserer Recherche. Der Hinweis und die Empfehlung zu Meineimpfungen.ch wurde etwa in St. Gallen oder in Zürich erst Tage später auf Webseiten und Formularen entfernt. In einigen Kantonen steht die Empfehlung noch heute auf dem Papier.

2. Daten trotz Löschungs­begehren immer noch vorhanden

Zwischenzeitlich haben wir zahlreiche Zuschriften von Betroffenen erhalten. Manche melden uns, dass ihre Benutzer­konten auf Meineimpfungen.ch trotz Löschungs­begehren immer noch existierten. Ein Leser schildert, wie er 2015 einen Antrag auf Löschung gestellt hat. Dies, nachdem er erfahren hatte, dass die ehemalige BAG-Datenbank an eine private Stiftung übertragen werde.

Die Stiftungsrats­präsidentin Claire-Anne Siegrist bestätigte damals die Löschung des Benutzer­kontos in einer E-Mail, die der Republik vorliegt. Doch letzte Woche erhielt der Leser die offizielle E-Mail, in der die Stiftung über die Sicherheits­mängel und über den Unterbruch der Plattform informierte. Das bedeutet: Sein Benutzer­konto wurde de facto gar nie gelöscht. Seine Impf- und Gesundheits­daten lagen also seit sechs Jahren auf den Servern von Meineimpfungen.ch, ohne dass er davon wusste. Es handelt sich um einen weiteren groben Verstoss gegen das Datenschutzgesetz.

Sprecherin Nicole Bürki sagt dazu: «Daten von Nutzerinnen und Nutzern werden standard­mässig nicht per sofort gelöscht, um eine Wieder­herstellung zu ermöglichen. In der Datenschutz­erklärung der Plattform wurde über diesen Umstand informiert.» Doch diese Erklärung ist fragwürdig: Erstens war die Datenschutz­erklärung bis Januar 2021 – als die Republik die ersten technischen Schwach­stellen publik gemacht hat – denkbar knapp gehalten. Die Notwendigkeit temporärer Daten­speicherungen war gar nicht erwähnt. Zweitens: Im vorliegenden Fall liegt der Löschungs­antrag sechs Jahre zurück.

Die Stiftung stellte nun ebenfalls fest, dass sie jahrelang einen Daten­friedhof von vermeintlich gelöschten Konten gespeichert hat. Sprecherin Bürki räumt ein: «Bei der Überwachung des E-Mail-Versandes an alle Nutzerinnen und Nutzer der Plattform wurde festgestellt, dass die Daten einzelner Nutzerinnen und Nutzer noch nicht definitiv gelöscht waren. Diese Daten werden nun definitiv gelöscht, und es wird abgeklärt, wieso diese Daten noch nicht definitiv gelöscht waren.»

3. Irreführende Medienmitteilung

Die Stiftung Meineimpfungen.ch hat ihre Nutzerinnen erst vier Tage nach unserer Meldung und zwei Tage nach der Publikation unserer Recherche über die Deaktivierung der Plattform informiert. Sie gab ausserdem am 26. März eine sonderbare Medien­mitteilung heraus.

Darin betonte sie, dass alle Schwachstellen geschlossen seien und es keine Fälle von Missbrauch gebe: «Die seit Montag­morgen durchgeführten Untersuchungen haben ergeben, dass keine Daten manipuliert, kompromittiert oder gestohlen wurden.»

Brisant ist die Medien­mitteilung aus drei Gründen: erstens wegen irre­führender Aussagen. Zweitens, weil sie existierende gravierende Mängel bewusst nicht erwähnt. Und drittens, weil sie auch faktisch falsch ist.

  • Zu den irreführenden Aussagen. Die Stiftung schreibt etwa: «Eine unbefugte Registrierung als Fachperson mit vollem Zugriff wäre nur durch Vorlage eines gefälschten Arzt- oder Apotheker­diploms/-ausweises (…) möglich gewesen.» Die Beschwichtigung zu den gefälschten Ausweisen ist eine krasse Verharmlosung einer groben Schwach­stelle. Denn eine Hackerin kann sich hier einiger Vorlagen im Internet bedienen.

  • Zu den nicht erwähnten Mängeln. Die Stiftung erwähnt zwar mögliche XSS-/CSRF-Lücken (Cross-Site-Scripting-Attacken), jedoch nur im Zusammen­hang mit gefakten Fachpersonen­konten, was eine Falsch­aussage ist. Denn dieses Angriffs­szenario hat nichts mit der erwähnten Schwach­stelle – dem mittels gefälschten Ausweises erschlichenen Fachpersonen­konto – zu tun. Im Gegenteil: Es kommt vor allem bei «echten» Fachpersonen­konten zum Zug. Etwa, wenn ein Hacker eine Nachricht mit eingeschleustem Programm­code an eine nichts ahnende Ärztin auf der Plattform Meineimpfungen.ch verschickt und damit ihr Konto fernsteuern kann. In der Medien­mitteilung wird zudem kein Wort darüber verloren, dass Meineimpfungen.ch ein offenes Telefon­buch für alle registrierten Fach­personen ist: Damit ist der Zugriff auf die Daten, Impf­indikatoren und Impf­details sämtlicher in der Schweiz bisher gegen Covid geimpften Personen gemeint. Hierbei handelt es sich um eine krasse konzeptionelle Schwäche, wie es im Fachjargon heisst.

  • Zu den faktischen Fehlern. Die Medien­mitteilung impliziert, dass sich die Fehler und Lücken primär im MyCovidVac-Modul befinden. Doch die von uns gefundenen XSS-/CSRF-Lücken wie auch die unsichere Fach­personen­registrierung beziehen sich auf die gesamte Plattform Meineimpfungen.ch und damit auf alle eingetragenen Gesundheitsdaten.

Dass die Stiftung in der kurzen Zeit sämtliche Daten­einträge verifiziert und vermutlich seit Jahren existierende Sicherheits­lücken geschlossen haben soll, ist fraglich. Nicht zuletzt, weil eine Ärztin theoretisch «legal» über ihr Fachpersonen­konto Daten aller 450’000 angemeldeten Personen absaugen konnte – ohne dass dies jemand von der Stiftung bemerkt hätte.

Dabei jeglichen Missbrauch von Daten nach vier Tagen Prüfung auszuschliessen, ist eine gewagte Aussage, die angezweifelt werden kann.