Die Republik ist nur so stark wie ihre Community. Werden Sie ein Teil davon und lassen Sie uns miteinander reden. Kommen Sie jetzt an Bord!
Warum eigentlich haben wir die halbprivate E-ID abgelehnt, wenn doch der Staat nicht fähig ist, korrekte eigene IT-Lösungen zu entwickeln ?
Die meineimpfungen.ch-Plattform wird von einer privaten Stiftung betrieben und von eineM. P.rivatwirtschaftlichen IT-Unternehmen entwickelt.
...aber offenbar vom Staat ausgewählt und gefördert.
Ich habe sie abgelehnt, weil ich Unfähigkeit als Grund für “es gibt keine Alternative“ nicht akzeptieren will. Es ist ein Armutszeugnis, wenn nur ja gestimmt wird, weil davon ausgegangen wird, dass es der Staat so oder so nicht auf die Reihe kriegt.
Ausserdem: Die verwendete Architektur ist ähnlich wie bei der privaten E-ID und von Beginn an untauglich. Die Sicherheitslücken sind ein Symptom des schlampigen Designs, welches in der Software-Privatwirtschaft häufig auftritt weil bei den meisten Usern kein genügendes Qualitätsbewusstsein vorhanden ist (oder sie denken einfach, sie seien selbst Schuld, dass ihr System nicht funktioniert oder von Kriminellen ferngesteuert wird). Die Anderen leiden dann mit, weil sie sich dem entstehenden Monopol schlechter Lösungen schwer entziehen können, dank Inkompatibilität, Geheimhaltung von Quelltext und überbordenden Copyright/IP/EULA-Gesetzgebungen.
Für Leute, die denken, dass sie die involvierte Technik ohnehin nicht verstehen: Das ist hier gar nicht unbedingt notwendig, bei der Digitalisierung des Impfausweises hat sich die Architektur wie folgt geändert:
Vorher (so weit ich verstehe): Ärztinnen und Ärzte tragen die Impfung ins Büchlein ein und bestätigen sie mit ihrer Unterschrift. Zur Bestätigung weist man einfach dieses Büchlein vor.
Nachher: Ärztinnen und Ärzte schicken nach erfolgter Impfung einen Brief an ein zentrales Archiv. Zur Bestätigung schickt das Gegenüber einen Brief mit einer Anfrage an das zentrale Archiv und das zentrale Archiv bestätigt dann die Impfung mit einem weiteren Brief.
Das ist noch dümmer als es klingt, denn da Computer gut rechnen können ist es damit ziemlich einfach, die erste Variante sicher gegen Fälschungen zu machen.
Sprecherin Nicole Bürki sagt zur Republik: «Die beschriebenen Sicherheitsmängel waren uns bis gestern Sonntag nicht bekannt.»
So ein Irrsinn. Die Firma („Stiftung“ 🤡) weiss nicht einmal, wie ihr Produkt funktioniert.
Habe gegoogelt wer hinter dieser Stiftung steckt: laut Moneyhouse ist da mit dabei Virginie Masserey, die Dame vom BAG ;-)
Ich finde es nicht korrekt, hier im Zusammenhang mit Datensicherheit eine Person besonders hervorzuheben, die gemäss presseportal-schweiz.ch A) als Privatperson Einsitz im Stiftungsrat genommen hat, und B) dies wohl eher als Spezialärztin denn als Datensicherheitsspezialistin tut - und das auch erst seit Ende Januar 2021 (Meldung vom 28.1.21, https://www.presseportal-schweiz.ch…und-carlos).
Natürlich gehören Verbindungen zum BAG und Verantwortlichkeiten untersucht, und offensichtlich ist IT-Kompetenz weder sie Stärke des BAG noch der Stiftung. Ebenso stellt sich die Frage, wie sich bei solchen Mandaten Dienstliches und Privates trennen lässt - doch das ist ein generelles Problem in der Schweiz.
Ich finde das einfach UN FASS BAR!
Das klingt nicht nur nach einem, sondern einer Anreihung von absoluten Programmier-Anfängerfehlern, die jedeR Softwareentwickler*in mit auch nur einem Hauch Erfahrung einfach nicht machen darf.
Nicht vollständig validierte Eingabedaten in Datenbankabfragen? Umgehung einer Authentifizierung-Validierung wenn man sich das Token rausfischt? Einfach erratbare IDs? Zugriff auf sensible Daten nur anhand der ID des Datensatzes, ohne Prüfung der Berechtigung des anfragenden Users für diese ID?
Das liest sich wie die Hitparade der Fehler, die man als blutiger Amateur ca. anno 1995 bei den allerersten Gehversuchen mit dynamischen Webseiten machen konnte, und bei der ersten ernsthaften Beschäftigung mit dem Thema 2 Wochen später lernte, zu vermeiden.
Wie solche Fehler 25 Jahre später in einer inhaltlich sensitiven, offenbar für viel Geld entwickelten Webapplikation passieren können, sprengt echt mein Vorstellungsvermögen - und zwar bezüglich der nicht-technischen Vorgänge darum herum, der Verantwortungskette, die zu sowas führen kann.
Ich halte es üblicherweise mit Hanlon's Razor in abgeschwächter Form: vermute nie Bösartigkeit, wenn Nachlässigkeit eine ausreichende Erklärung bietet (im Original heisst es Dummheit statt Nachlässigkeit). Aber wie Strukturen eines Projekts dermassen disfunktional sein können, so dass sich so viel Nachlässigkeit oder unschuldige Inkompetenz verknüpfen kann zu so einem Resultat, lässt mich schlicht ratlos.
Wie solche Fehler 25 Jahre später in einer inhaltlich sensitiven, offenbar für viel Geld entwickelten Webapplikation passieren können, sprengt echt mein Vorstellungsvermögen - und zwar bezüglich der nicht-technischen Vorgänge darum herum, der Verantwortungskette, die zu sowas führen kann.
Unfassbar ist es, aber gleichzeitig wundert es mich nicht. Weil:
In diesen 25 Jahren wurden die Technologien, auf die solche Anwendungen gebaut werden, mehrmals von Grund auf neu aufgebaut. Diese Technologien bzw. deren Ökosysteme haben oft nur wenig voneinander gelernt, weshalb es immer noch relativ einfach ist, sich damit in den Fuss zu schiessen.
Die IT-Industrie ist nach wie vor stark von der Technologie, und weniger vom konkreten, fassbaren Nutzen getrieben. Das heisst: Technologie wird eingesetzt, weil sie neu ist, und nicht, weil sie einen messbaren Nutzen erzeugt (z.B. Sicherheit, Benutzerfreundlichkeit, Produktivität)
Wenn man eine Pistole hat, ist es leicht, sich in den Fuss zu schiessen, einverstanden.
Aber mir fällt schwer zu glauben, dass es irgendein ernstzunehmendes Framework, eine Programmiersprache, eine Library gibt, die nach 1995 ins Web kam und die nicht diese grundsätzlichsten Fehlerquellen irgendwie so addressiert, so dass ein*e professionelle*r Entwickler*in nicht solche Katastrophen produziert.
So einen Fall wie diesen möchte ich wirklich bis auf die letzte Codezeile verstehen können, inkl. der Entscheidungen für die Technologien, sollte behauptet werden, die Probleme seien in verwendeten Modulen Dritter.
Was für mich einmal mehr vehement die Forderung public money, public code unterstreichen lässt, sprich Opensource-Zwang für von der Öffentlichkeit finanzierte IT-Lösungen. Nicht dass OpenSource fehlerfrei wäre, aber in so einem Fall könnte man wenigstens die Fehlerkette offenlegen und vielleicht die Prozesse verbessern, die solche Scherbenhaufen produzieren. Ohne schonungslose Blossstellung von schlechter Arbeit scheint es in der IT offenbar wirklich nicht zu gehen.
Zusammengefasst also: Die Plattform ist sicherheitstechnisch auf dem Niveau der 1990er-Jahre stehengeblieben, mit Fehlern, die keinem auch nur halbwegs fähigen Softwareentwickler unterlaufen. Sie wird aber - wohl dank gutem Marketing und guten Beziehungen - trotzdem beinahe zu einem offiziellen Instrument. Und: Mit den 2.15 Millionen könnte man auch durchaus etwas Brauchbares auf die Beine stellen, was hier nicht passiert ist.
Was will man da sagen? Es gibt noch viel zu tun, packen wir's an.
Ich habe mich echt gefragt, wozu die 2.15 Millionen Fräichli denn eigentlich eingesetzt wurden. Achtung, böse Unterstellung: Wohl einfach, um die bestehende löchrige Lösung zu skalieren, damit sie mehr als 10 gleichzeitige Aufrufe von Bots aushält.
Nun etwas wohlwollender: Solche krasse Verfehlungen Seite Plattform ermöglichen es jetzt, statt zu pflästerlen, etwas schönes/sicheres Neues zu bauen. Solche Artikel sensibilisieren zudem die Bevölkerung Schritt für Schritt. Danke Republik!
Vielen Dank Republik, dass ihr beharrlich am Thema Datenschutz dranbleibt. Dieses Beispiel zeigt exemplarisch, dass Datenschutz kein nice to have ist.
Eine grosse Bitte: Verzichtet doch auf den Begriff Hacker*in im Zusammenhang mit solchen Angriffen. Er ist hier nämlich schlicht fehl aM. P.latz.
Nicht alle Angreifer sind Hacker und die meisten Hacker greifen nicht ohne Erlaubnis Computersysteme an. Die ausschliessliche Verwendung dieses Begriffes in solchen Umständen ist Propaganda. Der Ursprung ist, dass sich einige Hacker aktivistisch gegen die Zentralisierung des Internets gewehrt haben. (https://en.wikipedia.org/wiki/The_Hacker_Crackdown)
Das hier ist ein Hack:
https://youtu.be/3ofoeu1ndgA?t=63
Leute die gerne sowas basteln sind Hacker*innen. (https://en.wikipedia.org/wiki/Hacker_culture)
Aufgrund der Manipulierbarkeit der Impfeinträge ist die Impfplattform "meineimpfungen.ch" ein Medizinprodukt Klasse I mit potentieller Falschangabe von Daten, es geht nicht nur um den Datenschutz. Dieses Medizinprodukt untersteht den Strafbestimmungen des Heilmittelgesetzes Art. 86 und Art. 87 HMG. Es wird generell im Rahmen von Äusserungen zur Gesundheit übersehen, dass diese dem HMG unterstehen. Zahlreiche Medizinprodukte wie Risikorechner, Wirtschaftlichkeitsverfahren, gesundheitsökonomische Berechnungen (QALY), werden viel zu leichtfertig in die Welt gesetzt und entsprechen qualitativ nicht wissenschaftlichen Standards. Sie verletzen aufgrund von Qualitätsmängeln beim Medizinprodukt - mitunter mit ungemütlichen Folgen für die Patientinnen und Patienten - die Vorgaben des Heilmittelgesetzes. Leider wird behördlich (SwissMedic) auch auf Anzeigen hin der strafrechtliche Aspekt unwissenschaftlicher Medizinprodukte der Klasse I wohl kaum je verfolgt. Sehr zum Schaden für die Medizin, die Patientinnen und Patienten und dem Ansehen des Gesundheitswesens. Während andere Produkte viel besser reguliert sind ("dieses Huhn stammt aus Polen") können Sie auf den Medikamentenpackungen noch nicht einmal den Herkunftsort finden. Hier fehlt also die Kontrollierbarkeit betreffend Good Manufacturing Practice, welche ebenfalls durch SwissMedic wahrgenommen werden müsste. Sicher: das hier skizzierte Problem ist komplex. Die Nichtbeachtung rechtlicher Rahmenbedingungen schafft jedoch Raum für Produkte mit schlechter oder gar negativer Kosteneffektivität. Diesen Wildwuchs aufzuarbeiten würde sicherlich manche Wissenschaftler über Jahre beschäftigen müssen.
Für mich das Tragische ist, dass ich bisher davon ausging, dass in der Schweiz solche Sachen von kompetenten Personen der staatlichen Verwaltung beaufsichtigt und kontrolliert werden, dass man also als Bürger Vertrauen haben kann. Leider hat dieses Vertrauen arge Kratzer bekommen. Woran liegt das? Warum kann das der Staat nicht? Hier ist es eine private Organisation, ergo können es Private auch nicht. Was müsste man ändern, dass man wieder vertrauen kann?
Dies liegt nach einem Jahr Covid langsam auf der Hand: weder die Verwaltung noch die Wirtschaft haben die Kompetenz grundlegende Probleme zu lösen. In der Informatik zeigt sich diese Verquickung beider Seiten besonders gut: Die einen werden für ihre Inkompetenz, durch die Inkompetenz der anderen beauftragt und bezahlt.
Ein hoch auf die Republik! wieder einmal und heute erst recht! Aber: nicht nur hier für die gute Recherchearbeit! Eben das (oder noch mehr), was ich unter Recherche verstehe. Jetzt bin ich zufrieden, dass ich mit meiner langen Leitung und mit Widerständen, mich zu registrieren, vorerst eben beim guten alten gelben Impfbüchlein geblieben bin. Aber: zurück zur Republik: mir fehlt schmerzlich der covid-19-Abendbrief! Bin ich die einzige? Gibt es irgendwo eine Möglichkeit für ein neues Projekt? kann ich das gegebenenfalls sponsern: gerade in der letzten Zeit waren dies hervorragenden Briefe: Portraits, Blogähnliche Beobachtungen, Selbst-Ironie und Hinweis auf das Wichtigste vom Tag. Jedenfalls: weiter alles Gute und gutes Gelingen!
Und wieso ums Himmels Willen akzeptiert der Bund eine Lösung, welche eine Amerikanische Datenkrake erster Güte mit einbindet?
Wieso kriegt es unser Parlament nicht hin, für Bevölkerungsdienste aller Art eine rein staatliche, rein Schweizerische und damit der schweizerischen Datenschutz-Verordnung unterstehende, Lösung vorzuschreiben?
Wird auch hier der ach sooo vertrauenswürdigen Privatwirtschaft ein fettes G'schäftli zugeschanzt? Ist unsere 'Politik' so sehr neoliberal durchseucht?
Danke einmal mehr an die Republik für eine hervorragende Journalistische (oder sollte man schon fast sagen: kriminalistische ;-) Recherche. Das Abo ist wie immer jeden Cent wert!
Man könnte sich ja fragen, ob solches Verhalten eines Plattformbetreibers mit Personendaten nicht bereits strafrechtlich relevant ist. Immerhin wird der Nutzerin treuhänderisches Verhalten mit persönlichen Daten kräftig vorgegaukelt um dann gemäss Recherche Republik krass mit Füssen getreten zu werden. Hier geht es ja nicht um irgendwelches Käuferverhalten, sondern um sensible Gesundheitsdaten, bei welchen z.B. für den Arzt das Arztgeheimnis gilt. Das ist einfach nur noch skandalös.
Jeder kann irgendeine Webseite hochschalten und man ist ein bisschen selber schuld, wenn man dann da auch noch sensitive Daten hochlädt. Aber die Webseite ist nicht irgendeine, sie wird von Bundesämtern empfohlen, von Ärzten im ganzen Land genutzt. Eine total dilettantische Lösung, die in der Privatwirtschaft nicht überleben würde. Ich meine: Mein Facebook-Profil ist besser geschützt, als meine Gesundheitsdaten, jedenfalls spätestens nach Cambridge Analytica.
Ich seh definitiv strafrechtliche Relevanz. Da haben einige auf ganzer Linie versagt.
Mir gefallen Ihre Gedanken gut, aber ich denke bei der Hardware ist die Schweiz momentan leider nicht in der Lage, eine eigene Lösung zu produzieren. Eine Frage ist, ob wir bei kritischer digitaler Infrastruktur wirklich komplett von USA und China abhängig sein wollen, doch das ist längst der Fall.
Existierende Hardware hat oft Hintertüren, zum Beispiel:
https://en.wikipedia.org/wiki/Intel…ent_Engine
STmicroelectronics hat den Firmenhauptsitz (ok, nennen wir es Briefkasten) in Genf, Chipproduktion zwar keine in der Schweiz, aber immerhin in Europa. Allerdings sind produzierten chips nicht konkurrenzfähig zu den grossen desktop/server CPUs, für gewisse sicherheitskritische Anwendungen könnte das jedoch trotzdem eine Option sein.
Aber wir reden hier schon von einer Klasse Angriffe die ein ganz anderes Kaliber sind als die Sicherheitslücken in der Webapp ;-)
Danke für die vertiefte Recherche und das Dranbleiben! Dass eine IT-Firma mit diesem Budget den Job dermassen an die Wand fährt, ist schon sehr bedenklich. Und wer hier alles kommentiert, dass der Staat IT nicht kann: Da steht eine private Firma dahinter. Das ist eben genau NICHT der Staat.
Dank dem Tages-Anzeiger kennen wir auch das Geld, was da verbraten wurde und wird. Und als Branchenkenner muss ich sagen: Das sind ansehnliche Summen, mit denen man ein bisschen Sicherheit problemlos hätte einbauen können.
Ganz abgesehen davon ist das Portal auch inhaltlich absolut unvertrauenswürdig. Ich habe meinen Impfpass zur Validierung hochgeladen und bekam eine sehr seltsame Rückmeldung, auf welche ich eine Frage einreichte. Ein paar Tage später war meine Impfempfehlung eine andere und ich bekam eine kurze Mitteilung, dass man etwas geändert habe. Auf erneute Anfrage wurde diese ein zweites Mal verändert ohne eine nachvollziehbare Begründung. Nach der dritten Anfrage mit dem Hinweis, dass ich das Vorgehen problematisch fände, wurde die Impfempfehlung erneut verändert, ich wurde darüber allerdings nicht mehr informiert.
Das Vertrauen ist dahin, das Geld zum Fenster hinausgeworfen und ich werde meinen Impfstatus woanders validieren lassen.
Ich bin sprachlos. Was für Anfänger waren denn da am Werk...?
Die Programmierer waren sicherlich unfähig. Was ich als bedenklick empfinde ist das System dahinter: Niemand kam auf die Idee, eine Plattform die sensible Daten speichert einer ordentlichen QS zu unterziehen?
Wenn ein Lehrling etwas programmiert, sollte jemand auch mal drüber schauen ^^.
Die Programmierer? Der Projektleiter, der Datenschutz nicht in den Specs hatte oder die Ausführung nicht prüfte? Die Behörde, die einen Projektleiter einsetzte, der keinen Sinn für Datenschutz hat (über die Gründe lässt sich nur spekulieren)? Der Gesetzgeber, der Verfahrensgrundsätze für Ausschreibungen festlegt, aber seinen Kollegen in den Behörden den Gefallen tut, unabhängige Kontrolle zu vermeiden? Oder wir, die diese Pflöcke gewählt haben?
ich verstehe immer noch nicht, warum die Schweiz nicht einfach beim Europäischen Impfausweis mit machen will.
Ich habe schon beim letzten Beitrag zu dieser Plattform geschrieben, dass so etwas auf keinen Fall in Frage kommt.
Scheint tatsächlich so, dass nicht viel technische Kompetenz involviert war. Tut mir leid für die harschen Worte. Ich hätte das aber während meiner Lehre (beim Bund, notabene) besser gekonnt (ok, sagen wir in der zweiten Hälfte)! Das ist ein Armutszeugnis.
Danke für das Update. Ich bin bereits gespannt auf den nächsten Artikel von Adrienne Fichter.
Sie sprechen mir aus der Seele.
Ich frage mich wirklich, was für technische Kompetenzen im Entwicklungs-Team vorhanden waren, dass so eine App live gehen konnten.
Es geht nicht nur um die technische Kompetenz, sondern um die Weisungsgewalt. Wenn alle Mediziner, weil sie ein weisses Mäntelchen haben, Zugriff haben sollen, ist es eigentlich schon gelaufen.
Der Chef war ein Mediziner, das Konzept ist schon falsch. Dann wird's nicht mehr besser. Auch mit guten Leuten.
Dem TA hat die Republik einmal mehr gratis eine gute Schlagzeile geliefert. Ist dies ein Nachteil der guten Recherchearbeit?
Die Anleitung für Ärzte ist weiter zu finden:
https://webcache.googleusercontent.…clnk&gl=ch
Die Behauptung der Verantwortlichen: "Auf der technischen Seite wurden die Schwachstellen sofort behoben." scheint nicht korrekt, die unter der Domain eingesetzte Apache Tomcat/8.5.51 Version ist veraltet und weist seit knapp 4 Jahren bekannte Sicherheitslücken auf.
Warum gibt es eigentlich noch keine verbindlichen Sicherheitsstandards, wenn ein Unternehmen Personendaten verwalten will? Welche sie auch nachweisen muss. Werden diese nicht eingehalten, sollten damit die Unternehmen auch zur Rechenschaft gezogen werden können. Schliesslich muss jeder Kinder TripTrap irgend einen Sicherheits-Minimalstandard erfüllen. Da fühlt man sich echt nur noch verschaukelt als gutgläubige KonsumentIn.
Sprachlos. Symptomatisch dafür, welch Entwicklungsland wir sind in Sachen IT. Dafür gibt es keine Entschuldigung. Eine solche Plattform in Betrieb zu nehmen, offensichtlich ohne Qualitätskontrolle. Jedem Verantwortlichen hätte doch klar sein sollen, dass so was geprüft gehört. Dafür sollte es klare Prüfungsnormen geben. IT Sicherheit wird in unserer Kultur als nice to have empfunden, nicht als elementares Element der Konstruktion.
Die SBB kann es. Banken können es. Israel kann es und auch bald die EU. Nur Bund und Kantone können es nicht: Eine vernünftige, brauchbare IT - Lösung zu irgend eineM. P.roblem auf die Beine stellen. Das Debakel bei den Impfausweisen ist ja nur eines in einer beinahe schon unendlichen Reihe von IT - Desastern. Und es ist ein weiteres Debakel in der Covid - Politik.
Für den Impfpass muss wohl eine proprietäre, mit möglichst keinem Ort auf der Welt kompatible Lösung gefunden werden. Die ist dann so absolut sicher, dass wahrscheinlich auch die Entwickler nicht mehr damit arbeiten wollen. Bis dann noch alle Politiker, Ämter, Kantone, Experten, etc. ihre absolut vordringlichen und zwingenden Abänderungen eingebracht haben, kann das beste Programm nicht mehr funktionieren.
Bin ich froh, dass das alles so langwierig und mühsam geht. Dann kann ich mich so lange freuen darauf, bis ... Und Vorfreude ist ja die schönste Freude. Und auch alle, die so kompetent und fleissig daran arbeiten sind wohl froh, denn ihrer ist ein fürstlich Gehalt sicher.
Herzlichen Dank für diese erneute exzellent recherchierte Publikation. Das ist Presse und Journalismus. Ihr geht mit dem guten Beispiel voran. Damit gehe ich für diese Zeitung werben, nicht mit Rabatbons, sondern mit echtem Mehrwert für uns alle.
BAG und co werden ggf. versuchen, den Ball flach zu halten. Aber Ihr habt 100000fachen grobfahrlässigen Verstoss gegen Datenschutz und Belügung von Nutzern (auch ohne x können Ärzte auf meine Daten zugreifen und manipulieren) aufgedeckt. Betreiber ist das BAG und nicht eine externe Stelle. Da können sie sich hoffentlich nicht herausstehlen.
Meine Hoffnung stirbt zuletzt, dasd das BAG Management endlich qualifizierte Leute ans Werk lässt. Denn die gibt es, und die wären bereit.
Wow. Musste kurz das Datum checken: kein 1. Aprilscherz.
Hat das das 14 Jährige Kind der Stiftungsrätin programmiert? Das kann doch nicht ein Profi gewesen sein? Menüpunkte ausblenden um den Zugriff zu verwehren: Das ist ist ja herzig gutgläubig. Internet im Auenland. So komisch, dass es mich gerade ungemein zum Lachen brachte. OMG.
Und unser aller Bund investiert da auch noch zweieinhalb Millionen... Ja, wär's nicht so traurig, dann wär's zum sich totlachen...
Ich habe dabei mich selber mit 14 und meinen Programmierprojekten vor Augen gehabt. Auf die naheliegende und simple Idee Menüpunkte auszublenden hätte ich jedenfalls damals auch kommen können. Ist ja auch eine gute Idee, wenn es sich nicht um eine Impfplattform handelt.
Vielen Dank dafür. Überrascht bin ich keineswegs. Genau deshalb muss obligatorische staatliche Infrastruktur ja Quelltextoffen und möglichst dezentralisiert sein. [1]
Bei der Registrierung erhält man als medizinische Fachperson das Passwort erst nach Validierung des Medizindiploms zugestellt.
Zugestellt. (Neben den im Beitrag diskutierten bestätigten Sicherheitsproblemen könnte das auch bedeuten, dass sie alle Passwörter im Klartext abspeichern.)
«Die beschriebenen Sicherheitsmängel waren uns bis gestern Sonntag nicht bekannt.»
Das glaube ich nicht, denn es kann nicht überall sein. Vielleicht war ihnen bei manchen Dingen einfach nicht bekannt, dass das Sicherheitsmängel sind.
[1] Alles was es dazu wirklich braucht sind digitale Signaturen: Der Staat unterschreibt, dass ein bestimmter Schlüssel jemandem gehört wer Impfbescheinigungen ausstellen kann und diese Personen unterschreiben dann, dass bestimmte andere Personen die Impfung erhalten haben. Es ist dann komplett unnötig, Gesundheits- oder Identitätsdaten auf einem Gerät zu speichern, das nicht der betroffenen Person gehört und das ist erst noch alles komplett kompatibel mit bequemen Lösungen für Leute, denen Datenschutz egal ist. (User könnten ja ihren Impfausweis sogar auch selbst in die Google Cloud speichern, es braucht dazu eigentlich keine Intermediäre.)
Warum haben Stiftung und Datenschutzbeauftragter so schnell reagiert?
Das kommt jetzt einigen grad wohl sehr ungünstig. Hat das Volk doch an der Urne eben grad beim Gesetz zur E-ID grösstes Vertrauen an Politik und Wirtschaft ausgesprochen.
IRONY MODE OFF
Wir brauchen so was wie eine E-ID, einen Impfpass, ein Elektronisches Patientendossier, etc.. Aber bitte so, dass ich vertrauen kann.
Meine persönlichen Anforderungen
mit selbstbestimmter Freigabe durch den OWNER der Daten/Informationen
Also sicher NICHT in Händen der Wirtschaft - ein gewinnorientiertes Unternehmen dahinter wird NICHT die beste und sicherste Lösung liefern. Die Einträglichste.
Ohne Beamtenschimmel - intrinsisch motoviert
Dezentral organisiert - ich will meine Daten selber verwalten
Software und Schnittstellen sind FLOSS (Free/Open Source Software)
WIR - Das Volk darf sich nicht mehr länger auf die Politik oder Wirtschaft verlassen. Da gibt es zu viel "Häfeli - Deckeli". Das ist weder nachhaltig, noch sicher oder wirtschaftlich.
WIR - Die Individuen mit Fachwissen müssen der Politik helfen, die eigenen Gesetze einzuhalten. Lest mal die Bundesverfassung. Bund und Kantone verstossen wohl regelmässig selber dagegen. Aus Hilflosigkeit.
Oder das neue BöB (Bundesgesetz über das öffentliche Beschaffungswesen), in Kraft getreten am 01.01.2021.
Ich bin kein Jurist. Aber lest mal nach. Oder fragt mal Fachleute. Z.B. einen Bundesverfassungsrichter. Da gibt es klare Meinungen zur Öffentlichen "Beschaffung".
"Beschaffung" wie "Drogen beschaffen". Um bis zum nächsten "Schuss" (Update) entspannt zu sein. Und die beschaffenden Unternehmen sind wie Drogendealer.
Organisatorischer Entwurf - im Wissen, dass es nicht zu Ende gedacht ist
Alle Stakeholder tun sich in einem Verein zusammen
Der Verein ist nicht gewinnorientiert, gemeinnützig
Ziel des Vereins ist die Schaffung einer sicheren, nachhaltig wirtschaftlichen und vertrauenswürdigen Lösungen (z.B. eine E-ID)
Die Stakeholder mit Geld und Anforderungen (Bund, Kantone, ...), aber ohne Fachwissen bringen die Rahmenbedingungen und die Finanzen ein
Praxisorientierte Fachleute (Firmen, Privatpersonen, Entwickler, Wissenschaftler, ...) entwickeln die Lösung
Die Lösung ist Gemeinwohl, FLOSS.
Sie wird durch die Community getestet
Und durch Profis weiterentwickelt
Vorteile
Keine "Security by Obscurity" wie z.B. bei der Crypto AG.
Viel Vertrauen - hohe Akzeptanz
Einen Verein gründen mit dem Zweck, sich selber zu helfen und helfen zu lassen, dafür braucht es kein Gesetz, keine Ausschreibung - nichts
Der Output durch intrinsisch motivierte Menschen ist schnell und zielorientiert
Schafft das richtige Umfeld - und die RICHTIG MOTIVIERTEN Menschen und Organisationen werden sich finden.
Weil es NICHT um ein Business-Modell geht, werden die FALSCH MOTIVIERTEN Menschen und Organisationen werde sich dafür nicht interessieren - ein natürlicher Filter.
Crowd - denkt das doch mal weiter zu Ende ...
Als langjähriger IT Berater und Experte halte ich das öffentliche Anprangern und einer Hexenjagd nahe kommenden Verurteilung eines Dienstes, dessen primäres Ziel es ist Prozesse zu verbessern, für kontraproduktiv. Ich möchte hier gar nicht erläutern wie viele Schwachstellen es in anderen Sicherheitsrelevanten IT Anwendungen gibt, die wesentlich sensibler sind als die Impfdaten von irgendwelchen Politikern, oder auch meine persönlichen: kann gerne jeder haben ! Im Gegenteil - was hier mal wieder passiert, ist eine masslose Übertreibung von halben Fakten die nur eins wieder spiegelt: Furcht, Angst, Phobien, Beklemmung, Verzeiflung, Fremdverantwortungszweisung.... statt viel notwendigerer Zuversicht, Lösungsorientiertheit, mitdenken und Kooperation.
Vor 20 Jahren hätte so ein "Sicherheitsexperte" erst mal dem Anbieter die Chance gegeben diese Lücken zu schliessen ohne gleich öffentlich mit dem Finger drauf zu zeigen... der Masse kann man nicht erklären das man - wenn man will - alles hintergehen kann, es ist nur eine Frage des Aufwands / Kreativität - das "Eure Leute" da illegal unterwegs waren interessiert auch niemanden, ganz nebenbei gesagt. Den Image Schaden für die Plattform ist nun nicht mehr zu reparieren und jede andere Plattform wird es erheblich schwieriger haben sich zu etablieren in dem Bereich als vorher: genau das brauchen wir jetzt - Gratulation !
Das sehe ich völlig anders. meineimpfungen.ch wurde auf Tausenden von Impfanmeldezetteln/onlineformularen für die Covid19-Impfung täglich promotet in allen Kantonen, auf den Webseiten bei der Anmeldung ebenso. (teilweise bis heute noch, die Institutionen haben es versäumt das Kästchen zu entfernen) Überall hiess es dass dies eine Möglichkeit sei, seine Impfung offiziell einzutragen und damit auch als Beweis zu dokumentieren. Das BAG fördert die Plattform, auch in den Medien, es wurde als das offizielle Impfzertifikat in Betracht gezogen (auch wenn die jetzige Rhetorik der Bundesbehörden sei unserer Publikmachung eine ganz andere ist) ...Bitte vergegenwärtigen Sie sich nochmals: Es geht um eine Plattform/App mit besonders schützenswerten Daten (Gesundheit und Impfung), jeder Tag länger online mit derart gravierenden Schwachstellen (und derart veralteter Software) ist eine Hypothek und eine Gefahr für Hunderttausende von NutzerInnen. Ursprünglich wollten wir 30 Tage einräumen für die Behebung der Schwachstellen. Doch als wir bei der Recherche herausfanden wie offen wir ohne Weiteres reinkamen z.Bsp mit XSS-Angriffen und Zugriff auf Benutzerkonten hatten usw, war es klar, dass wir schnell handeln mussten und dass die Plattform vom Netz genommen werden muss.
Zum illegalen Handeln: Die Recherche und Applizierung der dokumentierten Schwachstellen des IT-Security-Teams haben wir alleine durchgeführt. Das ist investigativer Tech-Journalismus. Wir haben die gefundenen Accounts der BundesrätInnen nicht angerührt.
Danke für den Artikel. Mich würde zudem eine Recherche zum Geldfluss brennend interessieren. Entweder hat man die über 2 Millionen Franken massiv falsch eingesetzt oder sie kamen nie beim eigentlichen Projekt an - oder Firmen, die mit der Stifung verbunden sind, haben sich eine goldene Nase verdient. Das sind wilde Spekulationen, aber ich kann mir nicht erklären, wie eine Webseite mit einer solchen Struktur und Design soviel Geld verschlungen habe kann.
Ich gehöre zu den Betroffenen die die Plattform leider aus naivem Vertrauen heraus genutzt haben. Ich frage mich, wie man jetzt am schnellsten sicherstellen kann das unsere Daten unwiederbringlich gelöscht werden. Eine zukünftige Nutzung ist für mich nach dem Bericht ausgeschossen. Einschreiben an die Stiftung.?
zu Ihrer Verteidigung: Ich habe nun einige Formulare vorgelegt bekommen. In einigen Spitälern und Kantonen wird ja Onedoc.ch (Impfanmeldungsoftware) und meineimpfungen.ch gleich bei der Anmeldung angepriesen für die Speicherung und Ameldung des Covid19-Impfnachweises. Quasi als drittes Kästchen. Da kreuzt man noch schnell JA an, wenn dies vom Spital als vertrauenswürdige und sichere Plattform angepriesen wird (auf Papier).
Ich bin dort auch Registriert und habe erst vor kurzem meinen Impfausweis hochgeladen für die Erfassung. 10 CHF hat mich das gekostet.
Ich habe jetzt eine Löschung aller Daten über den support angefragt: support@meineimpfungen.ch
Mal sehen ob das etwas bringt...
Ein Müsterchen zur Qualität des elektronischen Impfpasses. Ich habe einen Account gelöst und dabei den Button "Vorhandene Impfdaten nachtragen" angeklickt. Das geschah denn auch, mit dem Resultat, dass ich gem. aktuellem Impfpass sechsmal gegen Diphtherie und Tetanus, und je fünfmal gegen Pertussis (Keuchusten) und Poliomyelitis geimpft wurde. Spannen dabei: alle Impfungen erfolgten an demselben Datum, nämlich am 1.9.1941, 1.11.1941, 1.1.1942!!, 1.1.1943, 1.7.1946 und 1.6.2018.
Jedermann mag sich selber ausrechnen, wie gross mein Vertrauen in diesen Impfpass-Bockmist noch ist.
Da kommen mir gleich die Vorträge am CCC in den Sinn wo es darum ging die Patientendaten einzusehen. Da konnte auch jede:r einen Account bestellen 😁
https://media.ccc.de/v/36c3-10595-h…akte_kommt
Danke für diesen Artikel!
Eine Kleinigkeit allerdings: Auch die Republik "setzt auf Infrastruktur von amerikanischen Big-Tech-Unternehmen" (gehostet bei Amazon). Das ist nicht schlimm, aber Glashaus und Steine und so...
True, wir haben diesen Punkt ja mehr "en passant" erwähnt und ob da einfach durch Google Cloud "geleitet" wird oder gehostet, wissen wir nicht. Der EDÖB war trotzdem nicht happy darüber und es geht um besonders schützenswerte Daten (die schützenswerteste überhaupt) wie Gesundheit, wo sich schon auch die Frage stellt, ob das "geboten" ist.
Daten auf der google cloud wären nicht so schlimm, wären sie verschlüsselt. Google könnte damit die Daten nicht auslesen.
Daten auf einer Big-Tech Cloud sind immer als "public" zu betrachten. Sollten sie das nicht sein - verschlüsseln.
Ich sehe freilich nicht ein, warum auf Amerikanische- und andere Clouds ausgewichen werden muss, wenn doch die Schweiz das Land mit den fast meisten Rechenzentren ist! Warum hostet die Eidgenossenschaft nicht ein eigenes RZ, nur für staatliche Daten?
Wenn wir so einem Dilettanten-Verein, wie den Meineimpfungen.ch, resp. deren Software-Entwicklern (das Wort passt in dem Kontext irgendwie grad nicht...) 2.5 Millionen hinterher werfen können, dann sollte eine wirklich 'lokale' Infrastruktur doch wohl auch möglich sein, nicht?
Ich verstehe irgendwie nicht warum man nicht das gelbe UN Impfbüchlein verwenden kann. Muss es digital sein weil es muss?
Die Papier-Impfbüchlein sind weder fälschungssicher noch klar einer Person zuzuordnen (hat ja keinen ID-Charakter). Was in der Diskussion leider oft vermischt wird, ist der Unterschied zwischen Impfbüchlein/Krankengeschichte-Eintrag und Impfnachweis. Im aktuellen Fall reicht für die öffentliche Nutzung zweiteres (zB wenn es um Veranstaltungen geht bei denen nur Geimpfte/Immune Zutritt haben), dazu braucht es die ganzen Details wie Impfdatum, Impfstoff, Chargennummer etc gar nicht erst. Ein reiner Impfnachweis wäre deutlich einfacher zu realisieren.
Ich registriere mich oft und gerne und viel zu schmerzfrei. Berufskrankheit. Ich habe den Text im Januar verpasst und wollte mich vor ein paar Wochen registrieren. Ich hab’s sein lassen. Schlechte oder wie in diesem Fall kritische Software lässt sich auch an ihrem User Interface Design erkennen. https://share.icloud.com/photos/01x…x_fXY8qOSw
Und zum Thema Datensicherheit und Datenschutz: Wer sich in unserer Gesellschaft künftig mehr oder weniger frei bewegen will, wird mit grosser Wahrscheinlichkeit einen Impfpass in irgend einer Form brauchen. Wer halt keinen Impfpass will, muss halt auch die Folgen tragen. Fünfer und Brötchen funktioniert halt meistens nicht.
Jeder Online - Shop weiss, wo ich zu Hause bin und was ich aktuell gerade kaufen möchte!
Das mit dem Impfpass stimmt nicht ganz. Es braucht technisch eigentlich nur einen Impfnachweis.
Dieser Impfnachweis braucht theoretisch keinerlei Personen bezogene Daten zentral zu speichern. Es muss nur sichergestellt werden, dass die Person gegen Covid-19 geimpft ist.
Ein solches Konstrukt wurde z.B. von der EU vor kurzem beschlossen.
https://www.srf.ch/news/internation…abei-haben
Wow! Vielen Dank für die Recherche Adrienne Fichter und auch an die erwähnten Sicherheitsexperten.
Ich bin zwar nicht überrascht aber schon etwas sprachlos. Als ich die Plattform im Dezember das erste Mal angeschaut habe, dachte ich bereits: Hm, das sieht mir sehr altbacken und unsicher aus.
Schade, dass sich meine Vermutungen bewahrheiten haben.
Frage mich, ob ein HIPAA ähnliches Gesetz auch in der Schweiz bereits diskutiert oder bereits in Kraft ist. (Aber so, wie ich unsere Parlamentarier kenne, gibt es sowas sehr wahrscheinlich nicht.)
Das Ergebnis meines heutigen Versuchs, nachzuschauen, ob nun meine bereits einen Monat alte COVID-Impfung endlich auch einsehbar ist (wenigstens für mich):
«Désolée, une maintenance urgente est nécessaire. Nous nous excusons pour les inconvénients et faisons le maximuM. P.our en réduire la durée.»
Es scheint, die Betreiber haben die «Republik» von heute bereits gelesen :-)
Was ich nebenbei sehr seltsam emfand. Bei der Impfung wird man gefragt, ob man sich in diesem Meineimpfungen.ch eintragen lassen will. Aus Datenschutzgründen. Was den Eindruck erweckt, dass man falls nicht - nirgendwo eingetragen ist. Quasi, das einzig existierende Dokument der Zettel ist. Vielleicht machen die Hausärzte noch eine Eintragung fuer sich. Ein Impfzentrum wird's handschriftlich auf einem Zettel vermerken, der dann irgendwo rumliegen bleibt.
Und falls man dann einen Impfpass möchte, muss man diesen Zettel bei einem Amt vorbei bringen.
Das Konzept ist schon sehr sonderbar. Vielleicht ein Promille, geschätzt, sind Mediziner, welche alle Daten anschauen dürfen. Dann können die Daten ja nicht wirklich so geheim sein. Dann kann man sie auch gleich allen zur Ansicht freigeben, nein?
Soll ich jetzt folgern, unsere Medizin hat die Digitalisierung seit über 20 Jahren verpasst - und das ist gut so... da liegen Welten dazwischen.
Wäre für diese Sache nicht eine Blockchain ideal geeignet? Ich verstehe noch zu wenig davon, aber hier zeigt sich die Schwachstelle einer Zentralisierung von Daten klar. Und das gibt einem wirklich zu denken.
Was den Impfnachweis betrifft so ist eine Zentralisierung hier sicher unglücklich und trägt zu den Problemen bei. Eine Blockchain würde aber nicht wirklich helfen.
Was sind die Eigenschaften von Blockchains?
Sie verhindert, dass Einträge (Transaktionen) mehrfach gemacht werden
Sie erzwingt einen Konsens zwischen Parteien welche sich nicht vertrauen
Sie schützt gegen nachträgliche Modifikationen von Einträgen
Im Falle eines Impfnachweis braucht es defacto nur den dritten Punkt. Der ist aber mit dem digitalen Signieren der Impfinformation einfacher zu erreichen als wenn man den ganzen Ballast einer Blockchain mitschleppen würde.
PS: Kommt dann noch dazu dass nicht alle der gefundenen Lücken rein den Impfnachweis betreffen. Probleme wie fehlende Identifikation von Fachpersonen oder XSS-Attacken kann eine Blockchain nicht verhindern.
Schauen Sie nach Deutschland - da haben sie eine komplette Bullshit-Lösung mit 5 Blockchains ;-) Den Sachverständigen dort tut die Stirn vom Draufklatschen so weh wie mir gerade heute angesichts dieser CH-Katastrophe.
Aber ernsthaft: Blockchains können dann eine sinnvolle Lösung sein, wenn es um das dezentrale fälschunssichere Feststellen einer Reihenfolge von Ereignissen geht. Was z.B. bei Zahlungsvorgängen der Fall ist.
Hingegen bei den Impfausweisen ist die Reihenfolge irrelevant - es zählt nur, dass fäschungssicher nachweisbar ist, dass jemand geimpft ist. Dafür gibt es die erprobte und für jede abgesichterte Web-Verbindung (etwa zu Ihrer Bank) verwendete Technik der PKI (Public Key Infrastructure). Diese Technik reicht vollkommen für einen digitalen Impfausweis.
Danke für diese Recherche - mit fehlen die (anständigen) Worte.
Dafür erlaube ich mir eine Verständnisfrage: Sie haben geschrieben:
"Auch die sogenannten Indikatoren für eine Covid-19-Impfung sind für die Mediziner ... veränderbar: Damit ist ... möglich, eine kerngesunde 25-Jährige in die Risikogruppe zu verschieben (und ihr so eine frühe Impfung zu sichern) oder ... die Vorerkrankungen zu streichen, um den Impftermin hinauszuzögern."
Ich bin bisher davon ausgegangen, dass die Impfwarteschlange von einer anderen Software kantonal gemanaged wird. meineimpfungen.ch dürfte eigentlich nicht wissen, dass ich mich in Luzern angemeldet habe...
Als Nutzer der Plattform hätte ich mir eigentlich ein "responsible disclosure" (Voranzeige gegenüber Betreiber mit Möglichkeit zur Behebung von Schwachstellen, allfällig kurzzeitige Unterbrechung von Teilen des Services) statt eines "full disclosure" mit unverzüglicher Publikation gewünscht. Damit hätte der jetzt zu erwartende Reputations-Totalschaden möglicherweise vermieden werden können. Alternativen gibt es ja bis jetzt keine und der Aufbau solcher dürfte sich in die Länge ziehen.
Wir hatten ursprünglich die Absicht, den Betreibern die üblichen 30 Tage einzuräumen da sich die zuerst gefundenen XSS/CSRF-Lücken nur mit einem gewissen Aufwand ausnützen lassen und nur den Zugriff auf die Daten jeweils einer kleine Gruppe von Personen erlaubten.
In der weiteren Analyse wurde dann klar, dass aufgrund der Schwächen in der Validierung der Fachpersonen, dem für alle Fachpersonen uneingeschränkt möglichen Zugriff auf Personen-, Gesundheits- und Impfdaten im MyCovidVac-Bereich und der Möglichkeit, auch mit einem noch nicht validierten Fachpersonen-Account sämtliche Impfausweise abzurufen, die Gefahr besteht, dass besonders schützenswerte Personendaten schnell, einfach und unbemerkt abgegriffen werden können. Angesichts der anlaufenden Impfkampagne und dem täglich wachsenden Risiko war aus unserer Sicht ein Weiterbetrieb in dieser Form nicht mehr anzeigt, eine Ansicht die der EDÖB letzten Montag dann teilte.
Republik AG
Sihlhallenstrasse 1
8004 Zürich
Schweiz