Corona: Unzählige Sicherheitslücken im Schweizer Impfnachweis

Arzt-Konten ließen sich auf verschiedene Weisen übernehmen und beliebige Daten auslesen. Das wirft kein gutes Licht auf digitale Impfnachweise.

Artikel veröffentlicht am ,
Impfnachweis mit Sicherheitsproblemen
Impfnachweis mit Sicherheitsproblemen (Bild: Wilfried Pohnke/Pixabay)

Mit den digitalen Impfausweisen soll die Reisefreiheit in der EU und der Schweiz wiederhergestellt werden, teilte die EU-Kommission vergangene Woche mit. Auch Besuche in Restaurants und Kulturveranstaltungen sollen damit möglich sein.

Inhalt:
  1. Corona: Unzählige Sicherheitslücken im Schweizer Impfnachweis
  2. Umfangreicher Zugriff auf sensible Patientendaten und Impfnachweise

Im Unterschied zur EU hat die Schweiz bereits die Infrastruktur für den digitalen Impfausweis aufgebaut. Doch auf der Webseite prangt seit kurzem nur noch eine Fehlermeldung: "Entschuldigung, eine dringende Wartung ist erforderlich." Zuvor hatten die Sicherheitsforscher Sven Fassbender, Martin Tschirsich und Dr. André Zilch eklatante Sicherheitslücken in der Infrastruktur entdeckt.

Gleich mehrere Sicherheitslücken erlaubten es den Sicherheitsforschern, sich als Arzt am System anzumelden. Auf diese Weise konnten sie beispielsweise Impfnachweise für beliebige Personen erstellen - die gar nicht geimpft waren. Dabei konnten sie Impfdatum, Vakzin und alle weiteren Angaben selbst eintragen. Auch war es möglich, weitreichende Informationen und Impfnachweise aller angemeldeter Personen zu erlangen. Ein Sicherheitsdesaster.

Viele Sicherheitslücken führen zum Arzt-Konto

Ein besonders wunder Punkt war die Passwort-zurücksetzen-Funktion. Wird diese ausgelöst, muss eine URL mit einem Token aufgerufen werden, um das Passwort zu ändern. Dieses Token war jedoch so kurz, das die Sicherheitsforscher es mittels simplem Durchprobieren der verschiedenen Möglichkeiten (Brute Force) knacken und damit die Konten von Fachpersonen oder Patienten übernehmen konnten.

Stellenmarkt
  1. Projekt- / Produktmanager*in (m/w/d) ETKA
    LexCom Informationssysteme GmbH, München
  2. Wirtschaftsinformatiker / Informatiker als IT-Manager (stellv. IT-Leiter) (m/w/d)
    BFT GmbH, Aachen
Detailsuche

Die Plattform erlaubt zudem das Registrieren von neuen Konten für Fachpersonen. Diese müssen allerdings manuell überprüft werden, bevor sich die Ärzte oder Apotheker einloggen können. Durch einen Klick auf "Passwort zurücksetzen" konnten die Sicherheitsforscher jedoch ein Passwort setzen, auf das Konto zugreifen und die manuelle Überprüfung überspringen.

Doch auch die manuelle Überprüfung war nicht sicher. So habe Meineimpfungen.ch "per E-Mail das Foto einer Health Professional Card (HPC), eines Diploms oder Fachausweises" verlangt. Doch ob die Person, die die Kopie einreicht, auch wirklich die Person auf dem Dokument ist, werde nicht überprüft.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Auch über eine Cross-Site-Request-Forgery-Lücke (CSRF) war es möglich, bereits existierende Konten zu übernehmen. Dazu musste eine eingeloggte Fachperson dazu gebracht werden, auf einen präparierten Link zu klicken. Wurde ein Arzt-Konto übernommen oder angelegt, konnten die Forscher durch weitere Sicherheitslücken nahezu unbeschränkt auf die Gesundheitsdaten der Patienten zugreifen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Umfangreicher Zugriff auf sensible Patientendaten und Impfnachweise 
  1. 1
  2. 2
  3.  


beta 26. Mär 2021

Das sind berechtigte Einwände, aber es war freiwillig. Die Überschrift suggeriert, wir...

Sandeeh 25. Mär 2021

Ja, der QR-Hash soll einfach nur dem einfachen Abgleich (Patienten-QR => DB Record...

Nimrod123 23. Mär 2021

Ich stelle mal die Vermutung an, dass die Aufträge für solche Online-Platformen gerne an...

Sharra 23. Mär 2021

Selbst GB ist uns weit voraus. Das Land, das in den letzten 10 Jahren absolut nichts...



Aktuell auf der Startseite von Golem.de
Ada Lovelace
Nvidia senkt Preise für Geforce RTX 4080 und RTX 4090

Kurz vor dem Launch der AMD-Konkurrenz passt Nvidia die Preise der eigenen Grafikkarten an. Das liegt auch an einem stärkeren Euro.

Ada Lovelace: Nvidia senkt Preise für Geforce RTX 4080 und RTX 4090
Artikel
  1. Apollon-Plattform: DE-CIX wagt umfassendstes Netzwerkupgrade seiner Geschichte
    Apollon-Plattform
    DE-CIX wagt umfassendstes Netzwerkupgrade seiner Geschichte

    Das Upgrade zum Ausfiltern von Netzwerkrauschen erfolgte innerhalb nächtlicher Wartungsfenster bei laufendem Betrieb.

  2. Autonomes Fahren: VW-Chef Blume streicht offenbar Audi-Projekt Artemis
    Autonomes Fahren
    VW-Chef Blume streicht offenbar Audi-Projekt Artemis

    Nicht nur das VW-Projekt Trinity, auch das geplante Audi-Vorzeigemodell Artemis fällt den Softwareproblemen des VW-Konzerns zum Opfer.

  3. Kids für Alexa im Test: Alexa, wer hat den Kindermodus verbockt?
    Kids für Alexa im Test
    Alexa, wer hat den Kindermodus verbockt?

    Amazon bietet neuerdings einen speziellen Kindermodus für Alexa an. Das soll Eltern in Sicherheit wiegen, die sollten sich aber besser nicht darauf verlassen.
    Ein Test von Ingo Pakalski

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Amazon Last Minute Angebote: Games & Zubehör, AVM-Router • Saturn-Weihnachts-Hits: Rabatt-Angebote aus allen Kategorien • Laptops bis zu 41% günstiger bei Saturn • PS5 Disc Edition inkl. GoW Ragnarök wieder vorbestellbar bei Amazon 619€ • ViewSonic 32" WQHD/144 Hz 229,90€ [Werbung]
    •  /