Corona: Unzählige Sicherheitslücken im Schweizer Impfnachweis

Arzt-Konten ließen sich auf verschiedene Weisen übernehmen und beliebige Daten auslesen. Das wirft kein gutes Licht auf digitale Impfnachweise.

Artikel veröffentlicht am ,
Impfnachweis mit Sicherheitsproblemen
Impfnachweis mit Sicherheitsproblemen (Bild: Wilfried Pohnke/Pixabay)

Mit den digitalen Impfausweisen soll die Reisefreiheit in der EU und der Schweiz wiederhergestellt werden, teilte die EU-Kommission vergangene Woche mit. Auch Besuche in Restaurants und Kulturveranstaltungen sollen damit möglich sein.

Inhalt:
  1. Corona: Unzählige Sicherheitslücken im Schweizer Impfnachweis
  2. Umfangreicher Zugriff auf sensible Patientendaten und Impfnachweise

Im Unterschied zur EU hat die Schweiz bereits die Infrastruktur für den digitalen Impfausweis aufgebaut. Doch auf der Webseite prangt seit kurzem nur noch eine Fehlermeldung: "Entschuldigung, eine dringende Wartung ist erforderlich." Zuvor hatten die Sicherheitsforscher Sven Fassbender, Martin Tschirsich und Dr. André Zilch eklatante Sicherheitslücken in der Infrastruktur entdeckt.

Gleich mehrere Sicherheitslücken erlaubten es den Sicherheitsforschern, sich als Arzt am System anzumelden. Auf diese Weise konnten sie beispielsweise Impfnachweise für beliebige Personen erstellen - die gar nicht geimpft waren. Dabei konnten sie Impfdatum, Vakzin und alle weiteren Angaben selbst eintragen. Auch war es möglich, weitreichende Informationen und Impfnachweise aller angemeldeter Personen zu erlangen. Ein Sicherheitsdesaster.

Viele Sicherheitslücken führen zum Arzt-Konto

Ein besonders wunder Punkt war die Passwort-zurücksetzen-Funktion. Wird diese ausgelöst, muss eine URL mit einem Token aufgerufen werden, um das Passwort zu ändern. Dieses Token war jedoch so kurz, das die Sicherheitsforscher es mittels simplem Durchprobieren der verschiedenen Möglichkeiten (Brute Force) knacken und damit die Konten von Fachpersonen oder Patienten übernehmen konnten.

Stellenmarkt
  1. Senior-IT-Architekt Mobile-App Entwicklung (m/w/d)
    BARMER, Schwäbisch Gmünd, Wuppertal
  2. SAP Inhouse Consultant (m/w/d) mit Schwerpunkt Logistik Module
    Covivio Immobilien GmbH, Oberhausen
Detailsuche

Die Plattform erlaubt zudem das Registrieren von neuen Konten für Fachpersonen. Diese müssen allerdings manuell überprüft werden, bevor sich die Ärzte oder Apotheker einloggen können. Durch einen Klick auf "Passwort zurücksetzen" konnten die Sicherheitsforscher jedoch ein Passwort setzen, auf das Konto zugreifen und die manuelle Überprüfung überspringen.

Doch auch die manuelle Überprüfung war nicht sicher. So habe Meineimpfungen.ch "per E-Mail das Foto einer Health Professional Card (HPC), eines Diploms oder Fachausweises" verlangt. Doch ob die Person, die die Kopie einreicht, auch wirklich die Person auf dem Dokument ist, werde nicht überprüft.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Auch über eine Cross-Site-Request-Forgery-Lücke (CSRF) war es möglich, bereits existierende Konten zu übernehmen. Dazu musste eine eingeloggte Fachperson dazu gebracht werden, auf einen präparierten Link zu klicken. Wurde ein Arzt-Konto übernommen oder angelegt, konnten die Forscher durch weitere Sicherheitslücken nahezu unbeschränkt auf die Gesundheitsdaten der Patienten zugreifen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Umfangreicher Zugriff auf sensible Patientendaten und Impfnachweise 
  1. 1
  2. 2
  3.  


beta 26. Mär 2021

Das sind berechtigte Einwände, aber es war freiwillig. Die Überschrift suggeriert, wir...

Sandeeh 25. Mär 2021

Ja, der QR-Hash soll einfach nur dem einfachen Abgleich (Patienten-QR => DB Record...

Nimrod123 23. Mär 2021

Ich stelle mal die Vermutung an, dass die Aufträge für solche Online-Platformen gerne an...

Sharra 23. Mär 2021

Selbst GB ist uns weit voraus. Das Land, das in den letzten 10 Jahren absolut nichts...

Sharra 23. Mär 2021

Abschalten, löschen, bei 0 anfangen.



Aktuell auf der Startseite von Golem.de
Giga Factory Berlin
Warum Tesla auf über eine Milliarde Euro verzichten musste

Tesla kann die Milliarde Euro Förderung für die Akkufabrik Grünheide nicht beantragen - weil es sonst zu Verzögerungen beim Einsatz neuer Technik käme.

Giga Factory Berlin: Warum Tesla auf über eine Milliarde Euro verzichten musste
Artikel
  1. Nachhaltigkeit: Kawasaki plant E-Motorräder und Wasserstoff-Verbrenner
    Nachhaltigkeit
    Kawasaki plant E-Motorräder und Wasserstoff-Verbrenner

    Kawasaki will elektrische Antriebe für seine Fahrzeuge entwickeln, 2022 sollen drei Elektromotorräder erscheinen.

  2. Black Friday 2021 - Deals am Cyber Monday bei Amazon & Co.
     
    Black Friday 2021 - Deals am Cyber Monday bei Amazon & Co.

    Nach gut drei Wochen voller Rabatte und Schnäppchen endet heute Abend mit dem Cyber Monday die Black Friday Woche.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Doppelbildschirm: Kickstarterprojekt Slide brauchte 6 Jahre bis zum Erfolg
    Doppelbildschirm
    Kickstarterprojekt Slide brauchte 6 Jahre bis zum Erfolg

    Das Kickstarter-Projekt Slidenjoy kann nach 6 Jahren seinen Doppelbildschirm Slide für Notebooks ausliefern.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday Wochenende • WD Blue SN550 2 TB ab 149€ • LG UltraGear 34GP950G-B 999€ • SanDisk Ultra 3D 500 GB M.2 44€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops • Cooler Master V850 Platinum 189,90€ • Astro Gaming Headsets [Werbung]
    •  /