Schweizer Farce: Digitaler Impfausweis scheitert
Jeder konnte sich als Arzt ausgeben und dann Gesundheitsdaten hunderttausender Schweizer einsehen und sogar verändern. Das Projekt ist nicht zu retten.
(Bild: Daniel AJ Sokolov)
Aufgrund erheblicher Datensicherheitsmängel muss die Schweiz ihre einzige Plattform für digitale Impfnachweise endgültig schließen. "Die Stiftung meineimpfungen hat in den letzten Wochen enorme Anstrengungen unternommen, die zuvor identifizierten, kritischen Schwachstellen zu beheben", steht auf der Webseite meineimpfungen.ch zu lesen, "Eine erneute Gesamtbeurteilung hat ergeben, dass ein sicherer Betrieb der Plattform nicht mehr möglich ist."
Die Stiftung war vom Bundesamt für Gesundheit (BAG) mit dem Betrieb eines "elektronischen Impfbüchleins" beauftragt und dafür finanziell unterstützt worden. 450.000 Schweizer haben in der Impfdatenbank freiwillig ihre Impfungen elektronisch registriert, darunter 240.000 COVID19-Geimpfte. Leider hat das Modul MyCovidVac erhebliche Sicherheitslücken.
Farce: Jeder darf Doktor spielen
Doch noch schlimmer als Fehler im Code wog ein absurder Designmangel: Jedermann konnte sich als Arzt registrieren, weil die Stiftung die notwendigen Angaben kaum überprüft hat, wie das Schweizer Online-Magazin Republik im März aufgedeckt hat: "Wer einmal als Arzt registriert war, hatte auf die Impf- und Gesundheitsdaten sämtlicher 450.000 erfassten Personen Zugriff", darunter auch persönliche Impf- und Gesundheitsdaten zweier Regierungsmitglieder, nämlich des Außenministers Ignazio Cassis und der Verteidigungsministerin Viola Amherd.
Mit etwas technischem Wissen hätten potenzielle Eindringlinge respektive die registrierten "Ärzte" sogar "die Impfdaten und weitere Gesundheitsdaten manipulieren" können, fand Republik heraus. Dabei war den Nutzern des Impfportals explizit versichert worden, nur sie selbst könnten den Medizinfachpersonen ihres Vertrauens Zugriffs gestatten. Wen wundert's da noch, dass die Nutzer nicht über Modifizierung ihrer Daten informiert wurden.
Lesen Sie auch
Österreichs COVID-Test-Webseite gab private Daten preis
Das Online-Magazin erstattete Anzeige beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), der daraufhin ein formelles Verfahren eröffnete und die Stiftung dazu brachte, ihre Webseite meineumpfungen.ch vom Netz zu nehmen. Die Stiftung wollte nachbessern und im Mai wieder online kommen.
Bürokratische Hürden
Zu allem Überdruss errichteten die Betreiber Hürden für Auskunftsbegehren und allfällige Löschaufträge der persönlichen Impfdaten: Bei Löschbegehren forderte die Stiftung beglaubigte Ausweiskopien. Das kostet etwa 25 Franken (knapp 23 Euro). Außerdem verlangte die Stiftung weitere Angaben wie persönliche Daten zur Identifizierung der anfragenden Person. Betroffene unter 16 Jahren sollten zudem eine Sorgerechtsbestätigung beibringen, wie die schweizerische Stiftung für Konsumentenschutz herausgefunden hat.
Der EDÖB unterstützte zwar diese "Übergangslösung" im Sinne des Datenschutzes, verlangte aber, dass meineimpfungen die Kosten für die beglaubigten Ausweiskopien übernimmt. Das verweigerte die Stiftung laut SRF jedoch: Die Webseite käme ja in Bälde wieder online, dann könne jeder seine Daten selbst löschen.
Daraus wird vorerst nichts. Die Stiftung sieht sich außer Stande, den Betrieb der Webseite wieder aufzunehmen. Sie arbeitet nach eigenen Angaben nun "an einer Lösung, um den Nutzerinnen und Nutzern ihre Impfdaten wieder zugänglich zu machen und bittet um Geduld." Das dafür nötige Kleingeld wird noch gesucht.
(ds)