Der Bundesrat kann sich vorstellen, einen digitalen Impfausweis nach europäischem Vorbild einzuführen. Das Parlament hat vergangene Woche mit einer Änderung im Covid-19-Gesetz entsprechende Grundlagen geschaffen.
Eine zentrale Rolle kommt dabei der Plattform «Meineimpfungen.ch» und der dazugehörigen Impf-App «MyViavac» zu. Nutzer können dort eintragen, welche Impfungen sie bereits erhalten haben und sehen, welche fehlen. Rund 450'000 Personen seien bereits registriert, darunter 240'000 Corona-Geimpfte.
Fast jeder hat Zugriff auf die Daten
Jetzt berichtet «die Republik»: Die Plattform weist gravierende Sicherheitsmängel auf! Zu diesem Schluss kommen mehrere IT-Experten, die ihre Erkenntnisse im Internet veröffentlicht haben.
Jede Medizinfachperson, die registriert sei, habe demnach umfassenden Zugriff auf die Impf- und Gesundheitsdaten sämtlicher erfasster Privatpersonen. Damit könnten beispielsweise Impfdaten manipuliert werden. Zudem würde keine richtige Identitätsprüfung bei der Anmeldung stattfinden. Damit sei es «einfach, sich als Arzt auszugeben». Auch Hacker könnten die Impfausweise relativ einfach einsehen und Impf- sowie Gesundheitsdaten manipulieren.
Plattform nach Bericht offline
Ausgestattet mit diesen Informationen gelang es der «Republik», die Konten von Aussenminister Ignazio Cassis (59, FDP) und Verteidigungsministerin Viola Amherd (58, die Mitte) ausfindig zu machen. Sie hätten anschliessend «ohne weiteres» deren Impfstatus sowie Angaben über chronische Krankheiten einsehen können – hätten sie das gewollt.
Das Medium informierte den eidgenössischen Datenschutzbeauftragten Adrian Lobsiger. Dieser habe ein Verfahren gegen die Betreiberin der Plattform, die Stiftung Meineimpfungen.ch, eingeleitet. Am Montag sei «Meineimpfungen.ch» vom Netz genommen worden.
«Wir setzen alles daran, dass die Sicherheit der Daten garantiert werden kann, und haben uns darum dazu entschlossen, die Plattform Meineimpfungen.ch temporär in den Maintenance-Mode zu setzen, bis alle angesprochenen Punkte gecheckt werden konnten», teilt die Stiftung der «Republik» mit.
Konsumentenschutz kritisiert
Kritik hagelte es auch von der Stiftung für Konsumentenschutz. Die Tätigkeit von meineimpfungen.ch müsse sofort und auf Dauer gestoppt werden, heisst es in einer Medienmitteilung. Nach diesem Datenleck müsse das BAG endlich seine Verantwortung wahrnehmen und für einen sicheren und verlässlichen Impfausweis sorgen, der zudem auch kompatibel für internationale Reisen sei.
Der Konsumentenschutz fordert, dass Personen, die sich bereits registriert hätten informiert werden, ob es zu einem Missbrauch ihrer Daten gekommen ist.
BAG nicht mehr so begeistert
Das Bundesamt für Gesundheit (BAG), das diese Plattform für den elektronischen Impfausweis bisher laut «Republik» favorisierte, scheint sich nun davon zu distanzieren. Ein Sprecher sagte, man habe die Stiftung sofort beauftragt, den Hinweisen nachzugehen und die Mängel zu beheben. Zudem betonte er, dass «Meineimpfungen.ch» kein nationales Impfregister und die Eintragung freiwillig sei. Vergangene Woche sagte das BAG dem «Tagesanzeiger», es sei offen, mit welcher Plattform man zusammenarbeiten wolle.
Im Dezember 2020 war allerdings in einem – vertraulichen, aber online zugänglichen – Schreiben des BAG an Fachpersonen aus der Medizin zu lesen: «Für die zentralen Prozesse der Zulassung zur Impfung (Indikation, Kontraindikation), der Dokumentation des Impfaktes für das Impfmonitoring, sowie für das Erstellen eines Impfnachweises zuhanden der geimpften Personen, hat sich das BAG entschieden, mit myCovidVac zusammen zu arbeiten.»
Laut der «Sonntagszeitung» hat der Bund bisher 2,15 Millionen Franken in die Plattform investiert und weitere 250'000 Franken in Aussicht gestellt. (vof)