Ctrl-Alt-R

Meineimpfungen.ch: Sie starb, wie sie lebte

Zum Ende: noch mal eine peinliche Datenpanne. Die geschlossene Plattform verschickt alle Impfausweise unverschlüsselt an die Nutzerinnen. Und macht dabei Eigen­werbung für eine andere beteiligte Firma.

Von Adrienne Fichter, 10.11.2021

Die Nutzerinnen der wegen Sicherheits­mängeln deaktivierten Plattform Meineimpfungen.ch haben am Sonntag eine E-Mail erhalten. Darin enthalten war eine ZIP-Datei mit ihren registrierten Impfungen im PDF- und XML-Format.

Diese E-Mails wurden unverschlüsselt – also ganz «normal» – verschickt. Die Empfängerinnen mussten bei Erhalt nicht ihre Identität nachweisen, also keine Authentifizierung durchführen, um die Impfnachweise anzuschauen. Dies geschieht in der Regel durch die Angabe eines zusätzlichen Faktors wie etwa des Geburts­datums.

Auch wurde kein HIN-E-Mail verwendet, wie in der Medizin­branche üblich (mit entsprechendem Sicherheits­standard).

Es ist ein passender Schlusspunkt, den Meineimpfungen.ch mit diesem Versand setzt. Passend zum Betrieb der Plattform, der im März 2021 eingestellt werden musste, nachdem die Republik Sicherheits­lücken aufgedeckt hatte. Ein Datenschutz-Desaster.

Doch nicht nur das:

  1. Gemäss Angaben von Meineimpfungen.ch erfolgte der Versand in Absprache mit dem eidgenössischen Datenschutz­beauftragten, kurz EDÖB, und der Eidgenössischen Stiftungs­aufsicht. So deutet es eine Formulierung in der E-Mail zu den «offenen Fragen», die geklärt werden konnten, an. Nur: Weder hat der EDÖB dies gutgeheissen, noch wusste er davon.

  2. Auch die Eidgenössische Stiftungs­aufsicht war ahnungslos. Für sie war zwingende Bedingung, dass das Vorgehen vom EDÖB abgesegnet sein müsse.

  3. Die sich in Auflösung befindende Stiftung nutzt auch gleich noch die Gelegenheit, um Werbung für eine andere mitbeteiligte Firma zu streuen: Viavac. Diese hat vom Bund bisher 2,5 Millionen Franken Subventionen erhalten.

Sicherheits­mängel noch gravierender als angenommen

Der Versand der Impfausweise ist das letzte Kapitel in einem mehrmonatigen Trauerspiel. Nochmals eine kurze Rekapitulation der Ereignisse:

Im Rahmen unserer Recherche gemeinsam mit dem Team rund um den Informations­sicherheits­berater Sven Fassbender, bei der wir gravierende Sicherheits­mängel entdeckten, entschied die Betreiberin von Meineimpfungen.ch – die gleichnamige Stiftung –, die Plattform am 22. März vom Netz zu nehmen. Die Stiftung war damals überzeugt, die von uns gemeldeten konzeptionellen und technischen Mängel schnell beheben zu können. Sie beauftragte die Firma Compass Security für eine externe Prüfung.

Nach weiteren Recherchen, die ich mit Patrick Seemann in unserem Blog dnip.ch veröffentlichte, traten noch mehr Verfehlungen zutage: Es existierte zwar ein Vertrag zwischen dem Bundesamt für Gesundheit (BAG) und der Stiftung, doch es gab (aus Zeitgründen) nie eine offizielle Abnahme und Prüfung der vertraglichen Aufgaben. Das einzige Abnahme­protokoll war auf den April 2021 datiert, also nach Publikation der Republik-Recherche. Ausserdem kam heraus, dass die Stiftung trotz vertraglicher Verpflichtung keinen Penetrationstest – also keine Angriffe auf das eigene System in einer Testphase – des Covid-19-Moduls durchgeführt hatte.

Die Firma Compass Security fand insgesamt 59 Schwachstellen und weitere Defizite vor. Der Bericht der Prüffirma fiel vernichtend aus, und die Defizite schienen so unüberwindbar, dass die Stiftung am 14. Mai ihrer eigenen Plattform ganz den Stecker zog.

Doch damit ist in den Sommer­monaten ein neues Problem aufgetaucht: wohin mit den bestehenden 400’000 elektronischen Impfausweisen?

Seit der Enthüllung haben zahlreiche Betroffene Lösch­anträge gestellt. Der EDÖB stellte sich in seinem Schlussbericht vom 31. August auf den Standpunkt, dass allen Begehren nachzukommen ist – sofern Betroffene eine Ausweiskopie vorlegen oder eine 2-Faktor-Authentifizierung von der Stiftung digital bewerkstelligt wird. Davon haben einige Nutzerinnen Gebrauch gemacht, bis Mitte August waren es rund 4000. Doch wie sollen die Impfdaten an die anderen Hundert­tausende bisher passiven Geimpften gelangen? Und zwar auf sicherem Weg?

Darüber wurde mehrere Monate hin und her diskutiert. Ende August lagen mehrere Optionen auf dem Tisch, unter anderem: ein eigenes Abruf­portal einzurichten oder eben ein elektronischer verschlüsselter Versand an die Nutzerinnen.

Die Stiftung wiederum behauptete, sie könne den Aufwand für eine solche datenschutz­konforme Lösung nur mit weiteren finanziellen Beiträgen des BAG stemmen. Doch das unter öffentlichen Druck geratene BAG wollte keinen Franken mehr an die Stiftung bezahlen. Also Pattsituation, eine Einigkeit war nicht in Sicht. Der Dialog zwischen BAG und der Stiftung geriet ins Stocken.

Nun handelte die Stiftung Anfang November eigenmächtig, mithilfe eines «privaten Spenders».

Und zum Entsetzen des eidgenössischen Datenschützers. «Der unverschlüsselte Versand von Gesundheits­daten per E-Mail ist nicht datenschutz­konform», sagt Kosmas Tsiraktsopoulos, der Leiter Kompetenz­zentren des EDÖB, auf Anfrage der Republik. Ausserdem sei keine «verlässliche Identifizierung der Empfängerinnen und Empfänger» erfolgt, was eine von mehreren Bedingungen in den Sitzungen gewesen sei.

Auch hat der EDÖB für den unverschlüsselten Versand via E-Mail niemals seinen Segen erteilt: «Die Formulierung im Begleit­schreiben der Stiftung Meineimpfungen erweckt den falschen Eindruck, dass die gewählte Lösung vom EDÖB genehmigt worden sei bzw. gebilligt werde», ergänzt der Leiter Datenschutz beim EDÖB, Daniel Dzamko.

Noch vor wenigen Wochen – am 15. Oktober – hat das verantwortliche EDÖB-Team zum Projekt «Datenrettung Meineimpfungen» nochmals schriftlich festgehalten: Der Versand der Impfausweise erfordert ein mehrfaches Authentifizierungs­verfahren (etwa mit der HIN-Mail). Auch die Vertreter des BAG waren mit dieser Variante einverstanden und wollten damit fortfahren.

Nicht zuletzt: Die Eidgenössische Stiftungsaufsicht, die ebenfalls in der E-Mail der Stiftung erwähnt ist, wurde böse überrascht. Sprecher Grégoire Gogniat sagt auf Anfrage der Republik: «Für die [Eidgenössische Stiftungsaufsicht] war klar, dass die Stiftung bei der Übermittlung der Daten die im EDÖB-Bericht festgelegten Datenschutz­standards einhalten muss.» Somit hat auch die Aufsicht das Vorgehen der Stiftung, anders als in der E-Mail formuliert, nicht offiziell gutgeheissen.

Persönliche Verstrickungen hinterlassen Nach­geschmack

Mögen Sie noch? Denn stossend ist noch ein weiterer Punkt: Ob die Impfdaten jemals manipuliert worden sind, kann die Stiftung weder bestätigen noch dementieren. Kurz: Sie weiss es einfach nicht.

Doch das umschreibt sie in der E-Mail nur verklausuliert. Etwa dass sie die «Datenintegrität nicht aktiv nachweisen könne», gleichzeitig gebe es «keine Anhalts­punkte, dass die Integrität nicht gegeben» sein könnte.

Der EDÖB übt harsche Kritik an dieser missratenen Kommunikation: «Es fehlt jeglicher Hinweis auf dem Impfausweis selber, dass die Integrität der darin enthaltenen Daten beeinträchtigt sein könnte», sagt Tsiraktsopoulos.

Fast noch dreister ist der letzte Punkt: Die sich in Auflösung befindende Stiftung war sich nicht zu schade, in der E-Mail noch etwas Eigen­werbung zu machen. Sie schreibt, dass das Impf-File in Zukunft einerseits in das elektronische Patienten­dossier und andererseits in die «Experten­software Viavac» – die von Arztpraxen genutzt werde – integriert werden könne.

Und die Co-Inhaberin der Firma Viavac ist? Claire-Anne Siegrist, Präsidentin der Stiftung Meineimpfungen.ch.

Die Firma hat in den letzten 8 Jahren mindestens 2,5 Millionen Franken an Subventionen erhalten, wie Recherchen der Republik zeigen. Eine Doppelrolle spielt auch ein anderes Stiftungsrats­mitglied: Die gravierenden technischen Mängel der Plattform Meineimpfungen.ch hat die IT-Firma Arpage zu verantworten, deren CEO Hannes Boesch ebenfalls bei Meineimpfungen.ch Einsitz hatte (und sich damit selbst einen Auftrag erteilte).

Die persönlichen Verstrickungen der Stiftungsrats­mitglieder sind ein weiteres unschönes und politisch nicht aufgearbeitetes Kapitel in der Causa Meineimpfungen.ch.

Es herrscht der Eindruck, dass der Stiftung eigentlich ohnehin alles egal ist. Sie befindet sich in Liquidation. Und hat rechtlich nichts mehr zu befürchten.