Swisstransplant: Schwere Sicherheitslücken im Schweizer Organspende-Register
Im Schweizer Organspender-Verzeichnis war es möglich, ohne Identitätsprüfung online beliebige Personen einzutragen. Die Datenschutzbehörde prüft den Fall.
(Bild: vchal/Shutterstock.com)
Massive Panne beim nationalen Organspende-Register der "Schweizerischen Nationalen Stiftung für Organspende und Transplantation" (Swisstransplant): Experten der IT-Sicherheitsfirma ZFT.Company entdeckten, dass es bei dem Online-Verzeichnis möglich war, beliebige Personen ohne ihr Wissen und ihre Zustimmung einzutragen und so unfreiwillig quasi zum Organspender zu machen. Die Forscher wiesen in diesem Zusammenhang auf "signifikante Sicherheitsmängel" hin.
Damit in der Schweiz Organe und Gewebe zur Spende oder zu Forschungszwecken entnommen werden dürfen, muss der Betroffene informiert einwilligen (Opt-in). Neben einer Patientenverfügung oder dem physischen Organspendeausweis stellt das Register von Swisstransplant eine digitale Option dar, einen solchen Entscheid zu dokumentieren. Eine der großen Herausforderungen dabei ist laut ZFT "die Identitätsfeststellung der Beteiligten".
"Mangelhafter Registrierungs- und Einwilligungsprozess"
Die Sicherheitsexperten haben hier laut ihrem am Dienstag veröffentlichten Bericht schon bei einer "kursorischen Untersuchung" der Online-Datenbank kritische Schwachstellen festgestellt. Sie gehen dabei nur auf solche "mit hohem Risiko" ein. Dazu zählen sie einen "mangelhaften Registrierungs- und Einwilligungsprozess", den "ungenügenden Authentisierungsmechanismus sowie eine unzureichende Prüfung der Eingabeparameter". Ferner sei es möglich gewesen, alle Dateien auf dem Anwendungs-Server auszulesen und herunterzuladen.
Die Folgen der identifizierten Mankos "sind ein vollständiger Verlust der Vertraulichkeit, Authentizität und Integrität" der in dem Register erfassten Daten, monieren die Forscher. Insbesondere sei nicht nachweisbar, wer welche Entscheide darin verfasst hat. Angebliche Einwilligungen "konnten mühelos und ohne Entdeckungsrisiko im Namen Dritter abgegeben werden".
Die Mängel teilten die Entdecker nach eigenen Angaben den Verantwortlichen mit. Zudem informierten sie die Stiftung, das Bundesamt für Gesundheit (BAG), den Eidgenössischen Datenschutzbeauftragten (EDÖB), Adrian Lobsiger, sowie das Nationale Zentrum für Cybersicherheit (NCSC).
Identifikation mit einem zusätzlichen Ausweisdokument
Der Schweizer Sender SRF hat die Vorwürfe überprüft. Der ZFT-Berater Sven Fassbender meldete für ihn per Tablet einen eingeweihten Reporter mit dessen Personalien an, inklusive eines Fotos. Adresse, Geburtsdatum und Bild des Journalisten hatte er zuvor im Internet gefunden. Bereits nach wenigen Minuten kam auf eine auf den Namen der Testperson erstellte E-Mail-Adresse die Bestätigung: "Besten Dank für Ihren Eintrag im Nationalen Organspende-Register. Wir haben ihn geprüft und aktiviert." Dazu der Hinweis: "Im Ernstfall wird Ihr Entscheid den Angehörigen vorgelegt und zweifelsfrei umgesetzt."
Swisstransplant nahm das Register nach der Meldung vorübergehend offline und behob die Sicherheitslücken zumindest zum Teil. Inzwischen ist die Datenbank wieder online, die Registrierung über die Webseite oder per Post aktuell aber nicht möglich. Man stehe "in engem Austausch" mit dem EDÖB, "der den Sachverhalt zurzeit prüft". Gemeinsam evaluierten beide Seiten "weitere Schritte". Angestrebt werde "bei Online-Registrierungen allenfalls eine Identifikation mit einem zusätzlichen Ausweisdokument".
Keine Einsicht oder Bearbeitung von Personendaten
Zuvor hatte die Stiftung in einer Stellungnahme an den SRF betont, sie habe den Registrierungsprozess "bewusst benutzerfreundlich" ausgestaltet. Die Anforderungen an eine Zwei-Faktor-Authentifizierung seien erfüllt, da ein Passwort und eine E-Mail beziehungsweise SMS zum Einsatz kämen. Ein Entscheid zur Organspende würde im Ernstfall den Angehörigen vorgelegt und könne so noch abgeändert werden, wenn er nicht dem mutmaßlichen Willen des Verstorbenen entspreche.
"Es konnten zu keinem Zeitpunkt Personendaten eingesehen oder bearbeitet werden. Die bestehenden Registereinträge sind sicher", unterstreicht Swisspatent in einer öffentlichen Erklärung. Als Sofortmaßnahme seien die Intensivstationen angewiesen worden, "im Angehörigengespräch bei Vorliegen eines Online-Registereintrags die Validierung von Porträtbild, E-Mail und Unterschrift zusätzlich mit einem Ausweisdokument der verstorbenen Person vorzunehmen".
Bis Mitte Januar hatten sich rund 130.000 spendenwillige Personen in das Register eingetragen. Zu der Frage, ob diese Vermerke nun alle überprüft werden müssen, wollte der Datenschützer Lobsiger wegen des laufenden Verfahrens gegenüber dem SRF noch keine Stellung beziehen. Er betonte aber, dass es ihm darum gehe, das Vertrauen in das System der Organentnahme aufrechtzuerhalten.
(bme)
