Coronavirus: Sicherheitsmängel bei Schweizer Impf-Plattform
Viele, die sich gegen das Coronavirus geimpft haben, registrierten sich auf der Plattform meineimpfungen.ch. Wegen Datenmängeln wurde die Plattform deaktiviert.
Das Wichtigste in Kürze
- Seit der Corona-Pandemie ist der digitale Impfausweis beliebter denn je.
- In der Schweiz können sich Geimpfte auf meineimpfungen.ch registrieren.
- Recherchen zeigen: Die Plattform weist Sicherheitslücken auf.
Angelehnt an den «Grünen Impfpass» der Israelis soll der digitale EU-Impfausweis «Digitaler Grüner Nachweis» am 1. Juni zugelassen werden. Auch die Schweiz will den Impfausweis digitalisieren. Den ersten Grundstein dazu hat das Parlament in der vergangenen Woche gelegt.
Nutzer konnten sich bis anhin freiwillig auf der Plattform meineimpfungen.ch, betrieben von einer Stiftung, und der dazugehörigen App MyCovidVac registrieren. Bis dato sind es insgesamt rund 450'000 – die Tendenz war wegen der Impfung gegen das Coronavirus steigend. Über die Hälfte aller Registrierten (240'000) sind nämlich Corona-Geimpfte.
Nun zeigen Recherchen der «Republik», dass die Plattform gravierende Sicherheitslücken hat. Registrierte Medizinfachpersonen hätten umfassenden Zugriff auf die Impf- und Gesundheitsdaten aller erfassten Privatpersonen gehabt.
Darüber hinaus sei das Verifizieren des Nutzers mangelhaft, so die Zeitung. Kurz: Für Hacker ist es ein Leichtes, Zugriff auf vertrauliche Gesundheitsdaten zu erlangen.
Coronavirus: Einsicht in die Impfkonten von Bundesräten
IT-Experten hatten Einsicht in alle Daten der Nutzer. Darunter waren auch die Konten der Bundesräte Ignazio Cassis und Viola Amherd. Diese wären ohne weiteres einsehbar gewesen.
Die «Republik» hat das BAG darauf hingewiesen, dieses hat wiederum die Stiftung beauftragt, die Sicherheitslücken zu beheben. Die Plattform ist deswegen seit Montag deaktiviert.
Wie der Bund am Dienstag in einer Mitteilung schreibt, hat der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte ein formelles Verfahren eröffnet.
Er erachte die geltend gemachten Datenschutzverletzungen als «plausibel». Die Stiftung wurde aufgefordert, die Plattform bis auf Weiteres vom Netz zu nehmen.