Sicherheitsprüfung meineimpfungen.ch und services.mycovidvac.ch

Im Rahmen eines ehrenamtlichen Engagements haben Martin Tschirsich, Dr. André Zilch und ich die Dienste der Schweizer Stiftung meineimpfungen einer punktuellen Analyse unterzogen. Hierbei sind kritische technische sowie konzeptionelle Sicherheitslücken zu Tage getreten.

Damit auch wir in der Schweiz im kommenden COVID-19-Sommer 2021 die Möglichkeit haben zu reisen – oder einfach nur unsere Verwandten im Ausland wiederzusehen – wird ein COVID-19- Impfnachweis angestrebt. An einer Lösung hierfür muss JETZT gearbeitet werden. Daher und aufgrund der Schwere der Befunde haben wir beschlossen, die Ergebnisse der Untersuchung an dieser Stelle zu veröffentlichen.

Ziel der Veröffentlichung ist es, den Verantwortlichen Sicherheitsmängel aufzuzeigen, so dass diese abgestellt werden können sowie die Betreiber als auch andere Dienstleister für das Thema Informationssicherheit zu sensibilisieren. Die Stiftung, das Bundesamt für Gesundheit (BAG), der Eidgenössische Datenschutzbeauftragte sowie das Nationale Zentrum für Cybersicherheit (NCSC) wurden am 21.03.2021 über die Sicherheitsmängel informiert. Der vorliegende Report diente als Basis für Veröffentlichungen in der Republik sowie im deutschen Handelsblatt.

Aus Sicht der Autoren des Reports stellt ein dezentraler Ansatz die beste Möglichkeit dar, die zahlreichen Informationssicherheitsrisiken des COVID-19-Impfnachweises zu minimieren. Nur so können die wichtigen Ziele der Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Informationen bestmöglich erreicht werden.

Eine zentrale, vielseitig verwundbare Infrastruktur für die Verarbeitung vertraulicher Impfdaten weist erhebliche Sicherheitsrisiken auf, so dass dieser Ansatz nicht verfolgt werden sollte. Der Report soll dazu beitragen, dass gerade in der aktuellen Covid-19-Pandemie das notwendige Vertrauen der Schweizer Bürger in sinnvolle und nutzbringende digitale Gesundheitsanwendungen erhalten bleibt.

Update 14. Mai 2021

Die Stiftung hat in einer Pressemitteilung festgehalten, dass der Dienst in der bisherigen Form nicht mehr betrieben werden kann, da er den aktuellen Anforderungen an Informationssicherheit nicht genügt.

Pressemitteilung:

Auf ein „Danke“ der Betreiber warten wir bis heute.