Corona: Unzählige Sicherheitslücken im Schweizer Impfnachweis
Mit den digitalen Impfausweisen soll die Reisefreiheit in der EU und der Schweiz wiederhergestellt werden, teilte die EU-Kommission vergangene Woche mit. Auch Besuche in Restaurants und Kulturveranstaltungen sollen damit möglich sein.
Im Unterschied zur EU hat die Schweiz bereits die Infrastruktur für den digitalen Impfausweis aufgebaut. Doch auf der Webseite(öffnet im neuen Fenster) prangt seit kurzem nur noch eine Fehlermeldung: "Entschuldigung, eine dringende Wartung ist erforderlich." Zuvor hatten die Sicherheitsforscher Sven Fassbender, Martin Tschirsich und Dr. André Zilch(öffnet im neuen Fenster) eklatante Sicherheitslücken in der Infrastruktur entdeckt.
Gleich mehrere Sicherheitslücken erlaubten es den Sicherheitsforschern, sich als Arzt am System anzumelden. Auf diese Weise konnten sie beispielsweise Impfnachweise für beliebige Personen erstellen – die gar nicht geimpft waren. Dabei konnten sie Impfdatum, Vakzin und alle weiteren Angaben selbst eintragen. Auch war es möglich, weitreichende Informationen und Impfnachweise aller angemeldeter Personen zu erlangen. Ein Sicherheitsdesaster.
Viele Sicherheitslücken führen zum Arzt-Konto
Ein besonders wunder Punkt war die Passwort-zurücksetzen-Funktion. Wird diese ausgelöst, muss eine URL mit einem Token aufgerufen werden, um das Passwort zu ändern. Dieses Token war jedoch so kurz, das die Sicherheitsforscher es mittels simplem Durchprobieren der verschiedenen Möglichkeiten (Brute Force) knacken und damit die Konten von Fachpersonen oder Patienten übernehmen konnten.
Die Plattform erlaubt zudem das Registrieren von neuen Konten für Fachpersonen. Diese müssen allerdings manuell überprüft werden, bevor sich die Ärzte oder Apotheker einloggen können. Durch einen Klick auf "Passwort zurücksetzen" konnten die Sicherheitsforscher jedoch ein Passwort setzen, auf das Konto zugreifen und die manuelle Überprüfung überspringen.
Doch auch die manuelle Überprüfung war nicht sicher. So habe Meineimpfungen.ch "per E-Mail das Foto einer Health Professional Card (HPC), eines Diploms oder Fachausweises" verlangt. Doch ob die Person, die die Kopie einreicht, auch wirklich die Person auf dem Dokument ist, werde nicht überprüft.
Auch über eine Cross-Site-Request-Forgery-Lücke (CSRF) war es möglich, bereits existierende Konten zu übernehmen. Dazu musste eine eingeloggte Fachperson dazu gebracht werden, auf einen präparierten Link zu klicken. Wurde ein Arzt-Konto übernommen oder angelegt, konnten die Forscher durch weitere Sicherheitslücken nahezu unbeschränkt auf die Gesundheitsdaten der Patienten zugreifen.
Umfangreicher Zugriff auf sensible Patientendaten und Impfnachweise
"Anschließend kann die API dieses Dienstes genutzt werden, um beispielsweise vorhandene COVID-19-Impfnachweise abzurufen," schreiben Fassbender, Tschirsich und Zilch. Dazu sei eine Patienten-ID nötig, die jedoch nichts anderes als ein 16-stelliger Unix-Zeitstempel ist – und sich entsprechend leicht durchprobieren lässt. Bei tausend Anfragen pro Sekunde könne durchschnittlich alle 15 Minuten ein Impfnachweis abgerufen werden.
Doch auch mit einem reinen Patientenkonto waren Angriffe möglich. So habe die Webanwendung zwar überprüft, ob HTTP-Anfragen von authentifizierten Nutzern stammen, nicht jedoch, ob diese die entsprechende Anfrage auch durchführen dürfen. Daher sei es möglich gewesen, Impfungen als ungewollt bei anderen Patienten zu hinterlegen. Dies könne dazu führen, dass ein Patient eine aus medizinischer Sicht notwendige Mitteilung über eine Impfung nicht erhält, schreiben die Sicherheitsforscher.
Damit nicht genug: Über eine Suchfunktion unter services.mycovidvac.ch konnten die Fachpersonen auf die personenbezogenen Daten aller registrierten Nutzer zugreifen: Vorname, Nachname, Geburtsdatum, Geschlecht, Adresse, Versichertennummer, Versicherungskasse, Ausweisdetails, E-Mail-Adresse und Telefonnummer. Zudem konnten Informationen zu chronischen Krankheiten abgefragt werden.
Wurde die betroffene Person schon gegen Covid-19 geimpft, könne zudem der Impfnachweis geladen werden. Die Sicherheitsforscher kritisieren zudem, dass keine Zwei-Faktor-Authentifizierung (2FA) eingesetzt wird.
Nicht alle Sicherheitslücken dokumentiert
Aus Zeitgründen habe man nicht alle der oberflächlich beobachteten Sicherheitsmängel dokumentieren können, schreiben die Sicherheitsforscher. So gebe es weitere Cross-Site-Scripting-Angriffsmöglichkeiten (XSS), unverschlüsselte Kommunikation und unsichere Kanäle wie SMS für den Passwort-Reset.
"In Anbetracht des hohen Schutzbedarfs der verarbeiteten Gesundheitsdaten müssen die betroffenen Dienste unverzüglich außer Betrieb genommen werden. Es ist von einer vollständigen Kompromittierung der Webanwendung auszugehen," fassen die Sicherheitsforscher die Situation zusammen. Betreiber, BAG und Datenschutzbeauftragter seien informiert worden. Letzterer leitet bereits Ermittlungen ein(öffnet im neuen Fenster) .
Allgemein kritisieren die Sicherheitsforscher im Handelsblatt (Paywall)(öffnet im neuen Fenster) den zentralen Ansatz, der in der Schweiz verfolgt werde. Bei Sicherheitsproblemen seien so automatisch alle Patienten betroffen. Auch hierzulande würden vergleichbare Risiken drohen, da der geplante deutsche Impfnachweis, der derzeit im Auftrag der Bundesregierung entwickelt werde, ähnlich aufgebaut sei.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.