Der elektronische Impfpass wird statt vom Bund, von einer privaten Stiftung namens «meineimpfungen.ch» herausgegeben, bzw. wurde. Denn die Betreiberin nahm die offenbar unsichere Seite inzwischen vom Netz. Die Stiftung wird vom Bundesamt für Gesundheit mit jährlich 250‘000 Franken und damit mit Steuergeldern finanziert.
Im Stiftungsrat sitzten gemäss aktuellem Handelsregisterauszug nebst dem Softwareentwickler Johannes Boesch auch Claire-Anne Siegrist-Julliard, Mitglied in der Swiss-Covid-19-Taskeforce, sowie Jürg Schlupp, ehemaliger Präsident der Ärztevereinigung FMH und Fabian Vaucher, Präsident des Apothekerverbandes Pharmasuisse sowie Christian Greuter, Direktor der Ärztekasse Schweiz.
Sven Fassbender, ein Spezialist für Informatiksicherheit, hat sich zusammen mit seinem Kollegen Martin Tschirsich die Webseite des elektronischen Impfausweises «meineimpfungen.ch» genauer angeschaut. Dabei seien sie ohne grossen Aufwand auf über 450‘000 hochsensible Daten von registrierten Patienten gestossen. Selbst für IT-Laien sei es sehr einfach, einen falschen Zugang für medizinische Fachpersonen zu kreieren und so an die Patientendaten heranzukommen, schreibt die Onlineausgabe des Tagesanzeigers.
Die aussergewöhnliche Sicherheitslücke lädiert das ohnehin schon angekratzte Vertrauen in die Pläne des BAG für Corona-Impfpass-Pläne zusätzlich. Schon bei der Covid-19-App gab es massive Sicherheitslücken (wir berichteten). Kurz nach Bekanntwerden des Datenskandals beim Impfpass habe die Stiftung für Konsumentenschutz die sofortige Abschaltung der Webseite gefordert. Adrian Lobsiger, eidgenössischer Datenschutzbeauftragter, hat ein Verfahren eingeleitet, nachdem Journalisten des Newsportals «Republik» die Stiftung angezeigt hätten. Lobsiger halte die geltend gemachten Datenschutzverletzungen für plausibel.
Die ominöse Stiftung hat am Dienstag mitgeteilt, man plane, die Seite wieder in Betrieb nehmen zu wollen, nachdem alle Sicherheitsmängel geprüft worden seien. Die privaten Nutzer über den Datenskandal informieren wolle man allerdings nicht. Ein Hinweis auf der Webseite soll genügen. Gemäss zahlreicher Politiker sei das Vertrauen in diese Stiftung endgültig zerstört worden.
Viele Kantone, darunter auch Bern und Zürich, hätten die Patientendaten gar nie elektronisch übermittelt – es fehle die nötige Infrastruktur, heisst es. Wie in der förderalistischen Schweiz üblich, geht jetzt das Wettrennen um die beste Lösung für den Impfpass los. Ausgerechnet vor den Sommerferien und der grossen Impfkampagne für alle, wo man vielleicht ohne Impfpass gar nicht mehr reisen kann.
