Knapp ein Monat ist vergangen, seit das Online-Magazin «Republik» gravierende Sicherheitsmängel bei der Plattform «meineimpfungen.ch» aufgedeckt hat. Rund 450'000 Leute haben dort freiwillig ihre Impfdaten registriert. Diese waren für Hacker in einem Test einfach zugänglich.
Wegen des Verdachts auf Datenschutzverletzungen forderte der eidgenössische Datenschützer die Stiftung, welche die Plattform betreibt, auf, diese vorübergehend vom Netz zu nehmen. Seither kommen die Nutzerinnen und Nutzer nicht mehr in ihr elektronisches Impfbüchlein rein.
Sämtliche identifizierten, kritischen Sicherheitslücken wurden behoben
Das SRF-Konsumentenmagazin «Espresso» hakte bei den Verantwortlichen nach. Diese melden, man habe die Plattform unterdessen einer «umfassenden, detaillierten Sicherheitsanalyse unterzogen». Und: «Sämtliche identifizierten, kritischen Sicherheitslücken wurden behoben», sagt Mediensprecherin Nicole Bürki.
Es folge nun ein erneuter Test durch Externe. Dazu habe man auch einen der Experten, welche die Schwachstellen entdeckt hätten, eingeladen. Man sei zuversichtlich, in diesem Test beweisen zu können, dass die Plattform wieder hinreichend sicher sei, so die Mediensprecherin. Ziel sei es, die Plattform Anfang Mai wieder online zu schalten. Sie räumt aber ein, das sei ein «Best-Case-Szenario».
Und bevor die Nutzerinnen und Nutzer wieder an ihr elektronisches Impfbüchlein kommen, müssen sie einen Passwort-Reset vornehmen. Damit wolle man erreichen, dass die Passwörter sicherer gemacht und sicher abgespeichert werden können. Überdies überprüfe man auch die Identität aller Fachpersonen, also beispielsweise von Ärztinnen und Ärzten, bevor deren Konten freigegeben würden. Fachleute haben ebenfalls Zugriff auf die elektronischen Impfdossiers und können sie ergänzen und kontrollieren.
BAG gibt sich bedeckt
Die Plattform-Betreibenden ergänzen, man eröffne erst wieder, wenn auch «unsere Partner» einverstanden sind. Der wohl wichtigste Partner ist der Bund, beziehungsweise das Bundesamt für Gesundheit. Dieses hatte nicht zuletzt im Hinblick auf einen Covid-19-Impfnachweis stark auf «meineimpfungen.ch» gesetzt und die Stiftung auch mit einer Viertelmillion Franken jährlich unterstützt.
Seit dem Datenschutz-Debakel gibt sich das Bundesamt für Gesundheit allerdings zurückhaltend, was dieses Thema angeht. Man sei weiterhin mit den Verantwortlichen im Gespräch und prüfe die Fortschritte, schreibt das BAG auf Anfrage. Ob man weiter mit der Plattform zusammenspannt, lässt das BAG noch offen.
Rund 1000 Nutzerinnen und Nutzer abgesprungen
Das Vertrauen in die Plattform ist seit dem Datenschutz-Debakel jedenfalls angeschlagen. Rund 1000 Nutzerinnen und Nutzer haben laut den Verantwortlichen in den letzten Wochen die Löschung ihres Kontos beantragt. Für die Betreiber aber eine relativ geringe Zahl. Sie entspreche weniger als einem Prozent der Nutzerinnen und Nutzer. Man habe zudem auch viele Anfragen und Bitten erhalten, die Plattform wieder in Betrieb zu nehmen.
Trotzdem ist die Stiftung spürbar darum bemüht, neues Vertrauen aufzubauen. Man habe Lehren gezogen aus der Krise, sagt Mediensprecherin Nicole Bürki: «Wir werden sicher nicht einfach so weitermachen wie bisher.» Es brauche mehr IT-Kompetenz, auch im Stiftungsrat. Und eine Weiterentwicklung des Angebots – auch wenn sie unter Zeitdruck erfolge – dürfe nicht auf Kosten der Datensicherheit gehen.
