Verträge und Protokolle untersucht

So sorgt die Schweizer Impfplattform für ihre Sicherheit – oder auch nicht

Uhr
von René Jaun und lha

Das elektronische Impfregister "Meineimpfungen" ist weniger gründlich auf seine Sicherheit geprüft worden, als vom Bund gefordert. Öffentlich gewordene Verträge zeigen zudem, welche weitreichenden Pläne der Bund mit der Plattform hatte.

(Source: © Robert Kneschke / AdobeStock)
(Source: © Robert Kneschke / AdobeStock)

Seit März ist die Plattform "Meineimpfungen.ch" vom Netz. Die Betreiber schalteten das Portal ab, nachdem gravierende Sicherheitsmängel bekannt worden waren. Dass die Mängel nicht ohne Weiteres behoben werden können, wurde zwei Monat später klar, als die Betreiber der Plattform deren dauerhafte Abschaltung bekanntgaben.

In einem detailreichen Beitrag gibt der Blog "Das Netz ist politisch" nun einen Einblick in Protokolle und Verträge zwischen der Plattformbetreiberin, der Stiftung "Meineimpfungen", und dem Bundesamt für Gesundheit (BAG). An die Dokumente gelangten die Autoren des Textes gestützt auf das Öffentlichkeitsgesetz. Man wolle feststellen, "was da eigentlich so kolossal schiefgegangen ist", erklären die Autoren ihre Absichten.

Fehlfunktion oder geplant?

Aus der Analyse geht hervor, dass das BAG offenbar geplant hatte, "Meineimpfungen.ch" als offizielles Impfzertifikat zu nutzen. Die Autoren nennen mehrere Formulierungen aus den Verträgen, die dies belegen. So sei vorgesehen gewesen, aus dem Portal heraus eine mit QR-Code versehene Impfbescheinigung erstellen zu können. Diese Befunde widersprechen mehreren Verlautbarungen des BAG seit Bekanntwerden der Sicherheitsmängel: Das Bundesamt habe mehrfach "die Rolle des elektronischen Impfausweises heruntergespielt", schreiben die Autoren.

Ein weiterer Widerspruch betrifft den im März bekanntgewordenen Sicherheitsmangel, wonach eine Fachperson nach ihrer Anmeldung die persönlichen Daten sämtlicher auf der Plattform registrierter Privatpersonen lesen und auch verändern konnte. Offenbar sei dies keine Fehlfunktion, sondern durchaus so geplant gewesen, heisst es nun in der Analyse. "Die schweizweite Suche nach bereits registrierten Patienten war Teil des geforderten und schlussendlich gelieferten Funktionsumfangs", schreiben die Autoren, und untermauern ihr Fazit erneut mit Auszügen aus dem Leistungsvertrag und Testfällen. Demnach sei die explizite Autorisierung durch Patienten nicht vorgesehen gewesen. Stattdessen hätten gefundenen Daten automatisch für den Zugriff der jeweiligen Fachperson freigeschaltet werden sollen.

Pentest oder nicht

Weiter nehmen die Journalisten die Verträge zwischen "Meineimpfungen.ch" und dem BAG auseinander, die sie als "schwammig" bezeichnen. So kommen zwar Datenschutz und Cybersecurity zur Sprache. Die entsprechenden Kapitel "beziehen sich aber nur auf die Bedingungen während der Vertragserfüllung. (…) In Bezug auf das zu erstellende Werk (also die Software) haben diese Abschnitte keine Wirkung".

Bezüglich Datenschutz enthalte das Dokument nur die Forderung nach Pentests. Natürlich könne man sich auf das bestehende Datenschutzgesetz berufen, räumen die Autoren ein, kommentieren aber: "Angesichts der im zu entwickelnden System zu speichernden besonders schützenswerten Personendaten wäre es aber sicher nicht falsch gewesen, entsprechende Vorgaben direkt in den Vertrag zu schreiben."

Doch auch die vertraglich geforderten Pentests – oder besser deren Durchführung – kommen in der Analyse nicht gut weg. Gemäss den Autoren scheint es lange Zeit gar keine echten Pentests gegeben zu haben. Vielmehr seien Ende Januar und Ende März sogenannte Vulnerability Scans durchgeführt worden. Diese könnten allenfalls technische Schwächen im System-Setup aufzeigen, jedoch keinen bewussten Angriff auf ein System simulieren, urteilen die Autoren. Zudem gehe aus den Dokumenten hervor, dass im Zuge dieses Scans aufgezeigte mögliche Schwachstellen nicht ernst genommen wurden, denn sie seien sowohl im Bericht von Ende Januar wie auch in jenem von Ende März enthalten.

Wie es zu derartigen Versäumnissen kommen konnte, darüber gehen laut dem Bericht die Meinungen auseinander. Unter Berufung auf "mehrere Quellen" schreiben die Autoren, dass BAG-Direktorin Anne Lévy daran sei, eine Generalüberholung bei allen bestehenden Leistungsempfängerinnen durchzuführen.

Webcode
DPF8_226149