On/Off 31.01.2022, 12:00 Uhr

Sicherheitslücken bei Organspende-Register Swisstransplant nicht behoben

Da die erheblichen Sicherheitsmängel noch nicht gelöst worden sind, ist der Registrierungs-Prozess für Organspenden wieder offline. Ausserdem hat Swisstransplant rund 1000 Organspende-Erklärungen gelöscht.
(Quelle: Swisstransplant.org/Screenshot/PCtipp.ch)
Nachdem das digitale Organspende-Register von Swisstransplant vorübergehend wieder aufgeschaltet worden war, musste es am vergangenen Freitag wegen ungelöster Sicherheitsmängel erneut offline genommen werden. Franz Immer, Direktor der Stiftung Swisstransplant, hatte dies gegenüber Keystone-SDA bestätigt. «Beim derzeit implementierten Prozess der Registration kann nicht ausgeschlossen werden, dass sich jemand mit gefälschten Angaben im Register einträgt», heisst es auf der Swisstransplant-Webseite. 
Laut einem Bericht der SRF-Sendung Kassensturz soll es möglich gewesen sein, eine Person ohne deren Wissen als Organspender zu registrieren. SRF Investigativ und eine private Informationssicherheitsfirma konnten laut Bericht im Selbstversuch einen SRF-Investigativreporter mit fiktiven Daten registrieren.
Meldung von Swisstransplant, wenn man sich für das nationale Organspendenregister registrieren möchte (Stand: 31.1.22/12:00 Uhr)
Quelle: Screenshot/PCtipp.ch
Kurz vor Montagmittag ist die Registrierung im Nationalen Organspenden-Register weiterhin nicht möglich. Bestehende Profile können zwar eingesehen und gelöscht werden, Änderungen sind aber «bis auf weiteres» nicht möglich. In diesem Falle solle man das Profil löschen.

1000 neue Organspende-Erklärungen werden gelöscht

Nach der Enthüllung einer Sicherheitslücke am 11. Januar 2022 erhielt Swisstransplant trotzdem rund 1000 neue Organspende-Erklärungen. Diese wurden nun allerdings von Swisstransplant gelöscht. Die Stiftung habe diese Personen angeschrieben, berichtet Keystone-SDA. Betroffene, die online eine Organspende-Erklärung ausgefüllt haben, müssen ihre Registrierung zu einem späteren Zeitpunkt wiederholen – wenn der überarbeitete Validierungsprozess vom Eidgenössischen Datenschützer (EDÖB) bewilligt wird.

EDÖB hat Verfahren eröffnet

Das erste Mal wurde der Registrierungsprozess am 11. Januar 2022 vom Netz genommen. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat am 13. Januar wegen Sicherheitsmängeln und Datenschutzproblemen eine formelle Sachverhaltsabklärung gegen die Stiftung Swisstransplant eröffnet. «Es stellen sich grundlegende Fragen zur Geeignetheit elektronischer Identifikationsverfahren in heiklen Bereichen wie jenem eines Registers über den persönlichen Entscheid für oder gegen eine Organentnahme», heisst es in der Mitteilung des EDÖB.
Swisstransplant hatte das Anmelde-Tool am 19. Januar wieder freigegeben, obwohl die vom EDÖB empfohlenen Anpassungen im Anmeldeverfahren nicht umgesetzt worden waren.



Kommentare
Avatar
PCUser71
31.01.2022
Es ist immer wieder herrlich, wie der EDÖB Begriffe wie "Geeignetheit in Frage stellen" erfindet, statt deutsch und deutlich zu sagen: «Die aktuell verwendeten elektronischen Identifikationsverfahren für ... sind nicht geeignet. Punkt. In heiklen Bereichen wie einem Register über den persönlichen Entscheid über die Organentnahme sind zwingend Ausweiskopien samt Unterschrift in schriftlicher Form erforderlich.» Kann doch nicht so schwierig sein? (Wer jetzt einwendet, dass man auch Ausweise und Unterschriften fälschen kann: Ja, kann man. Das braucht aber schon wesentlich mehr kriminelle Energie als eine einfache Bildersuche im Internet um dem bösen Nachbarn eins auszuwischen). Würde die ganze Registrierung zudem per Post bestätigt, würde die Hürde für falsche Einträge noch höher.