«meineimpfungen.ch»«Es zeigt sich einmal mehr, dass der Bund offenbar überfordert ist»
Das Debakel um «meineimpfungen.ch» gibt zu reden. Franz Grüter (SVP) warnt: Das Vertrauen in IT-Lösungen des Bundes könnte weiter sinken. Auch Martin Bäumle (GLP) äussert sich kritisch.
Sogar persönliche Gesundheitsdaten von Aussenminister Ignazio Cassis und Verteidigungsministerin Viola Amherd waren auf «meineimpfungen.ch» einsehbar.
Scrrenshot «meineimpfungen.ch»Darum gehts
Die Plattform «meineimpfungen.ch» ist für den elektronischen Impfausweis nicht sicher.
Martin Bäumle (GLP) und Franz Grüter (SVP) werfen dem Bund nun mangelnde IT-Kompetenz vor.
Der eidgenössische Datenschutzbeauftragte Adrian Lobsiger hat derweil ein Verfahren eröffnet.
Die Schweiz setzt für die Umsetzung des elektronischen Impfausweises auf «meineimpfungen.ch». Doch diese ist nicht sicher: Laut der «Republik» waren 450'000 Datensätze mit besonders schützenswerten Gesundheitsdaten öffentlich zugänglich – inklusive Konten von Aussenminister Ignazio Cassis und Verteidigungsministerin Viola Amherd. Die Betreiber haben die Plattform nun vorläufig vom Netz genommen.
«Das BAG ist bei der Digitalisierung noch in der Steinzeit»
Wie reagieren Schweizer Politiker auf das Datenleck? Martin Bäumle zeigt sich verblüfft, dass eine so grosse Sicherheitslücke einfach unentdeckt blieb. «Es zeigt sich einmal mehr, dass der Bund offenbar überfordert ist», sagt der Nationalrat der GLP im Kanton Zürich auf Anfrage der Redaktion. «Das BAG scheint in Sachen Digitalisierung immer noch in der Steinzeit – und das nicht zum ersten Mal in dieser Pandemie.»
Bäumle sagt aber auch, dass er die Vorgänge bei «meineimpfungen.ch» nicht überdramatisieren will. «Wichtig ist nun, dass man überprüft, wo die Software fehlerhaft ist und ob man sie nachbessern kann.» Genau das sollte nun auch passieren: Der eidgenössische Datenschutzbeauftragte Adrian Lobsiger hat ein Verfahren gegen die Betreiber der Plattform eingeleitet. Er warnt in einer Mitteilung davor, dass es auf der Impfplattform möglich sei, die Persönlichkeits- und Datenschutzrechte einer grossen Zahl von Personen zu verletzen.
Nicole Bürki, die Kommunikationsbeauftragte von «meineimpfungen.ch», sagt auf Anfrage von 20 Minuten, dass man eng mit dem Datenschutzbeauftragten kooperieren werde. Er verlange eine Stellungnahme bis am Freitag, und diese werde man liefern. Bäumle zeigt sich trotzdem enttäuscht. Der Nationalrat habe alles unternommen, um eine funktionierende Lösung bereitzustellen. «Den Vollzug kann aber nicht auch noch das Parlament übernehmen. Jetzt sind Bundesrat und BAG in der Pflicht.»
Eine unabhängige Prüfung ist geplant
Auch Franz Grüter, SVP-Nationalrat aus dem Kanton Luzern und selbst IT-Unternehmer, findet die Datenschutzlecks bei «meineimpfungen.ch» besorgniserregend. «Das Vertrauen der Öffentlichkeit in IT-Lösungen, die vom Bund eingesetzt werden, schwindet so immer mehr.» Auch die Ablehnung der E-ID am letzten Abstimmungssonntag ist für Grüter Ausdruck dieser Skepsis.
Grüter bettet die Probleme auf der Impfplattform in einen grösseren Kontext ein. Schon beim E-Voting habe es geheissen, dass die Software absolut sicher sei – und dann wurden massive Sicherheitslecks bekannt. Grüter fordert nun dasselbe, was er auch als Präsident des Initiativ-Komitees zum E-Voting-Moratorium fordert: «Es braucht unabhängige Zertifizierungsstellen, die IT-Lösungen auf Herz und Nieren prüfen. Also eine Art Cyber EMPA!»
Bürki von «meineimpfungen.ch» nimmt Stellung: Man entwickle und warte die Software im Einklang mit der ISO-Norm 62304 für Lebenszyklus-Prozesse von Medizingeräte-Software. Das Informationssicherheitsmanagementsystem richte sich zudem nach ISO 27001. «Die entsprechenden Zertifizierungen durch SQS sind allerdings erst in Planung.» Bürki betont, dass «meineimpfungen.ch» eine unabhängige Stiftung sei. Die Plattform sei eine private Initiative, die vom Bund allerdings finanziell unterstützt werde.
Nationalrat Grüter bedauert indes, dass das Daten-Debakel nun die Umsetzung des elektronischen Impfausweises verzögert. «Ich kann mir gut vorstellen, dass sich nun auch in der Schweiz die von der EU propagierte Lösung durchsetzen wird», so Grüter.
Konsumentenschutz läuft Sturm
Die Stiftung für Konsumentenschutz hat mittlerweile sogar gefordert, dass die Impfplattform dauerhaft vom Netz geht. «Die Tätigkeit von «meineimpfungen.ch» muss sofort und auf Dauer gestoppt werden», sagt die Konsumentenschützerin Sara Stalder in einer Mitteilung. Das BAG müsse nun dafür sorgen, «dass der Bevölkerung ein sicherer und verlässlicher Impfausweis ausgestellt werden kann.»
«Unser oberstes Ziel ist, die bekannt gewordenen Schwachstellen zu beseitigen und die Sicherheit der Plattform ‹meineimpfungen.ch› wieder vollumfänglich zu gewährleisten, kontert Bürki. Die Betreiber hätten im Moment keine Hinweise darauf, dass Unbefugte an Daten gelangt seien. Sie geht davon aus, dass die Impfplattform wieder online gehen kann, wenn die Sicherheitslücken behoben und die Prüfung durch einen externen Dienstleister abgeschlossen ist. Bürki weist zudem darauf hin, dass die Nutzung der Plattform freiwillig sei.
