Schweizer Impfausweis vom Netz genommen

Di, 23. März 2021, Ralf Hersel

Sowohl die EU als auch die Schweiz arbeiten an einem digitalen Impfausweis. Ein Ziel davon ist es, gegen Covid-19 geimpfte Personen das Reisen in Europa zu ermöglichen. In der Schweiz konzentriert man sich auf die Plattform Meineimpfungen.ch und die dazugehörige Impf-App MyViavac. Nutzerinnen können dort eintragen, welche Impfungen sie wann erhalten haben, und überprüfen, ob ihnen gewisse Impfungen fehlen. Neun Kantone haben bereits einen Vertrag mit der Stiftung abgeschlossen, die diese Plattform betreibt.


Doch Meineimpfungen.ch und das zugehörige MyCovidVac-Modul weisen gravierende Sicherheits­mängel auf und erfüllen die Anforderungen an den Daten­schutz nicht. Ein technischer Bericht der Informations­sicherheits­experten Sven Fassbender, Martin Tschirsich und André Zilch sowie Recherchen der Republik bringen drei gravierende Probleme zum Vorschein:

  1. Umfassende Zugriffsrechte: Jede Medizin­fachperson, die auf der Plattform registriert ist, hat umfassenden Zugriff auf die Impf- und Gesundheits­daten sämtlicher erfasster Privat­personen. Sie könnte zum Beispiel deren covid­relevante Impfdaten einfach manipulieren.

  2. Mangelhafte Überprüfung: Bei der erstmaligen Anmeldung als Medizin­fachperson findet keine eigentliche Identitäts­prüfung statt. Die Verifikation basiert allein auf den Informationen des Antrag­stellers. Das bedeutet: Es ist einfach, sich als «Arzt» auszugeben.

  3. Sicherheitslücken: Hackerinnen können relativ leicht die Covid-19-Impfausweise sämtlicher bisher geimpfter Personen auf der Plattform erbeuten. Mit etwas technischem Wissen können sie ausserdem die Impf­daten und weitere Gesundheits­daten manipulieren.

Das Tor für Missbrauch und Kompromittierung der Daten von rund 450’000 eingetragenen geimpften Personen, darunter von 240’000 Covid-Geimpften, ist mit den festgestellten Sicherheits­lücken sperrangel­weit offen. Der eidgenössische Datenschutz­beauftragte (Edöb) Adrian Lobsiger hat aufgrund des Sicherheitsberichts und der Republik-Recherchen umgehend ein Aufsichts­verfahren gegen die Stiftung Meineimpfungen.ch eingeleitet. Die Plattform wurde gestern Montag vom Netz genommen.

Weitere Details finden sich im Bericht der Republik und im Sicherheitsbericht:

Quellen:

https://www.republik.ch/2021/03/23/wollen-sie-wissen-womit-viola-amherd-geimpft-ist

https://mezdanak.de/2021/03/22/sicherheitspruefung-meineimpfung-ch-und-services-mycovidvac-ch/

Es wurden noch keine Kommentare verfasst, sei der erste!