Verfahren eröffnet Impf-Portal ist wegen Mängeln bei der Datensicherheit offline

Meineimpfungen.ch bietet ein elektronisches Impf-Büchlein. Doch nun zeigen sich bei dem Portal grosse Sicherheitsmängel im Umgang mit sensiblen Daten. Dabei wären diese eigentlich einfach zu verhindern, sagt ein Experte.

In der Schweiz wird derzeit viel diskutiert über einen Impf-Nachweis für jene, die ihre Corona-Impfung bereits erhalten haben. Eine zentrale Rolle spielt dabei das elektronische Impf-Büchlein, das die alte Papier-Version ersetzen soll. Dazu gibt es heute bereits das Portal meineimpfungen.ch, auf dem die Bevölkerung ihre Impfungen erfassen kann – darunter auch jene gegen Covid-19. Betrieben wird das Portal von einer privaten Stiftung. Mehrere Kantone arbeiten mit ihr zusammen.

Nun haben Recherchen des Online-Magazins «Republik» gravierende Sicherheitsmängel bei dem Portal gezeigt: Die Informationen über erhaltene Impfungen und allfällige Vorerkrankungen sind gemäss dem Bericht schlecht geschützt vor dem Zugriff durch Unbefugte. Zwar sind Sicherheitshürden eingebaut, doch liessen sich diese laut Spezialisten mit vergleichsweise einfachen Mitteln umgehen.

Die Lücken machen es möglich, sehr sensible Daten abzurufen und möglicherweise auch zu verändern. Das Magazin ist bei seinen Nachforschungen beispielsweise auch auf die Impf-Daten der Bundesräte Amherd und Cassis gestossen.

Portal ist vorerst offline

Von der «Republik» am Montag auf die Mängel aufmerksam gemacht, zeigten sich die Verantwortlichen überrascht: «Die beschriebenen Sicherheits­mängel waren uns bis gestern Sonntag nicht bekannt», wird Sprecherin Nicole Bürki zitiert. Die Stiftung hat das Portal unterdessen fürs Erste offline genommen und in Aussicht gestellt, dass die Mängel geprüft und mit Spezialisten angegangen werden.

Adrian Lobsiger, Eidg. Datenschutz- und Öffentlichkeitsbeauftragter (Edöb), hat wegen der nun publik gemachten Mängel ein Verfahren gegen die Betreiber-Stiftung eingeleitet. Er halte die Erkenntnisse der «Republik» nach einer summarischen Prüfung der zugänglichen Informationen für plausibel, teilt er den Medien mit. Lobsiger habe die Stiftung aufgefordert, ihre Plattform bis auf Weiteres vom Netz zu nehmen.

«Die Datenbearbeitung der Impfplattform ist geeignet, die Persönlichkeitsrechte einer grossen Zahl von Personen zu verletzen, zumal es sich in diesem Fall um besonders schützenswerte Personendaten betreffend die Gesundheit handelt», heisst es in der Mitteilung.

Experte: «Leider keine Seltenheit»

Die Mängel, die bei meineimpfungen.ch aufgetreten sind, seien leider keine Seltenheit, sagt Raphael Reischuk, Head of Cyber Security beim Schweizer IT-Dienstleister Zühlke. «Die Probleme, die da nun aufgetreten sind, gehörten zu den bestens bekannten Sicherheitsmängeln», so der Spezialist. Hätten die Betreiber ihr Portal einer sauberen Sicherheitsüberprüfung unterzogen, wären solch fahrlässige Fehler sicherlich aufgefallen.

Reischuk setzt sich darum dafür ein, dass Sicherheitsüberprüfungen für Systeme, die sensible Daten bearbeiten, künftig per Gesetz vorgeschrieben werden. Denn würden Lösungen wie die nun kritisierte schnell aufgebaut, gehe das meist auf Kosten der Sicherheit. Der Experte setzt sich ausserdem dafür ein, dass in der Schweiz ein nationales Testinstitut für Cybersicherheit entsteht, welches Behörden, Kantone und die Privatwirtschaft bei dem Thema unterstützt und voranbringt.

Von Tobias Bühlmann