Corona: Unzählige Sicherheitslücken im Schweizer Impfnachweis

Mit den digitalen Impfausweisen soll die Reisefreiheit in der EU und der Schweiz wiederhergestellt werden, teilte die EU-Kommission vergangene Woche mit. Auch Besuche in Restaurants und Kulturveranstaltungen sollen damit möglich sein.

Im Unterschied zur EU hat die Schweiz bereits die Infrastruktur für den digitalen Impfausweis aufgebaut. Doch auf der Webseite prangt seit kurzem nur noch eine Fehlermeldung: "Entschuldigung, eine dringende Wartung ist erforderlich." Zuvor hatten die Sicherheitsforscher Sven Fassbender, Martin Tschirsich und Dr. André Zilch eklatante Sicherheitslücken in der Infrastruktur entdeckt.

Gleich mehrere Sicherheitslücken erlaubten es den Sicherheitsforschern, sich als Arzt am System anzumelden. Auf diese Weise konnten sie beispielsweise Impfnachweise für beliebige Personen erstellen - die gar nicht geimpft waren. Dabei konnten sie Impfdatum, Vakzin und alle weiteren Angaben selbst eintragen. Auch war es möglich, weitreichende Informationen und Impfnachweise aller angemeldeter Personen zu erlangen. Ein Sicherheitsdesaster.

Viele Sicherheitslücken führen zum Arzt-Konto

Ein besonders wunder Punkt war die Passwort-zurücksetzen-Funktion. Wird diese ausgelöst, muss eine URL mit einem Token aufgerufen werden, um das Passwort zu ändern. Dieses Token war jedoch so kurz, das die Sicherheitsforscher es mittels simplem Durchprobieren der verschiedenen Möglichkeiten (Brute Force) knacken und damit die Konten von Fachpersonen oder Patienten übernehmen konnten.

Die Plattform erlaubt zudem das Registrieren von neuen Konten für Fachpersonen. Diese müssen allerdings manuell überprüft werden, bevor sich die Ärzte oder Apotheker einloggen können. Durch einen Klick auf "Passwort zurücksetzen" konnten die Sicherheitsforscher jedoch ein Passwort setzen, auf das Konto zugreifen und die manuelle Überprüfung überspringen.

Doch auch die manuelle Überprüfung war nicht sicher. So habe Meineimpfungen.ch "per E-Mail das Foto einer Health Professional Card (HPC), eines Diploms oder Fachausweises" verlangt. Doch ob die Person, die die Kopie einreicht, auch wirklich die Person auf dem Dokument ist, werde nicht überprüft.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Auch über eine Cross-Site-Request-Forgery-Lücke (CSRF) war es möglich, bereits existierende Konten zu übernehmen. Dazu musste eine eingeloggte Fachperson dazu gebracht werden, auf einen präparierten Link zu klicken. Wurde ein Arzt-Konto übernommen oder angelegt, konnten die Forscher durch weitere Sicherheitslücken nahezu unbeschränkt auf die Gesundheitsdaten der Patienten zugreifen.