Meineimpfungen 10.09.2021, 13:10 Uhr

Edöb bestätigt «schwerwiegende Mängel» bei Schweizer Impfplattform

In seinem Schlussbericht zur Causa Meineimpfungen bestätigt der Eidgenössische Datenschützer «schwerwiegende Mängel». Nun wird eine Lösung angestrebt, damit User wieder Zugriff auf ihre Daten erhalten oder diese löschen lassen können.
(Quelle: Screenshot/NMGZ)
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftrage Edöb hat seinen Schlussbericht zur Causa Meineimpfungen veröffentlicht. Die Bilanz zur Plattform fällt vernichtend aus: «Es hat sich gezeigt, dass die technischen Mängel sehr schwerwiegend waren und das gesamte Angebot der Plattform betrafen», schreibt der oberste Datenschützer Adrian Lobsiger in seinem Bericht.
Auf meineimpfungen.ch konnten Privatpersonen – bis zur Einstellung der Plattform – ihre Impfungen in einem persönlichen Konto elektronisch dokumentieren. Teil der Lösung war auch das Modul «myCOVIDvac», das als Nachweis der Covid-19-Impfungen dienen sollte. Hierbei wollte das Bundesamt für Gesundheit ursprünglich mit der Stiftung zusammenarbeiten, die für den Betrieb der Plattform zuständig war.
Dazu kam es jedoch nicht. Im März dieses Jahres deckte das Onlinemagazin «Republik» gravierende Sicherheitslücken auf (PCtipp berichtete). In der Folge wurde die Plattform vom Netz genommen und schliesslich eingestellt.

Manipulationen nicht rekonstruierbar

Die Sicherheitslücken wurden nach dem Bericht der «Republik» genauer untersucht – und zwar von der Dienstleisterin Compass Security Schweiz, wie es im Schlussbericht des Edöb heisst. Die Untersuchung habe unter anderem verschiedene Mängel bezüglich der Protokollierung von Logdateien aufgedeckt. Diese seien nicht zentral gesammelt, nicht vor Manipulationen geschützt und auch nicht automatisch ausgewertet worden, um bei einer Anomalie eine automatische Alarmierung auszulösen. Zudem wurden diese dem Bericht zufolge grundsätzlich nur 30 Tage lang aufbewahrt.
So hielt die Dienstleisterin in ihrer Analyse denn auch fest, dass aufgrund des Mangels an auswertbaren Logdateien keine forensische Analyse durchgeführt werden konnte. Konkret heisst das: Man konnte nicht ausschliessen, dass vor Februar 2021 Daten der Impfplattform und «myCOVIDvac» manipuliert wurden. Kritisch ist das insofern, weil die Applikation gemäss der Untersuchung veraltete Komponenten von Drittherstellern verwendete, die anfällig für bereits bekannte Schwachstellen waren und/oder nicht mehr unterstützt wurden.



Kommentare

Avatar
malamba
11.09.2021
"Dass sich das BAG von 2017 bis 2020 mit knapp 1,5 Millionen Franken an der Stiftung Meineimpfungen beteiligt hatte. " Bedeutet das BAG zahlte jedes Jahr 1,5 Millionen oder insgesamt über die Jahre? "Man konnte nicht ausschliessen, dass vor Februar 2021 Daten der Impfplattform und «myCOVIDvac» manipuliert wurden". Dann wäre es wichtig zu wissen, inwieweit diese Daten für welche Zwecke manipuliert werden können. Weitere erhellende Recherchen folgen hoffentlich.