• IT-Karriere:
  • Services:

Corona: Unzählige Sicherheitslücken im Schweizer Impfnachweis

Arzt-Konten ließen sich auf verschiedene Weisen übernehmen und beliebige Daten auslesen. Das wirft kein gutes Licht auf digitale Impfnachweise.

Artikel veröffentlicht am ,
Impfnachweis mit Sicherheitsproblemen
Impfnachweis mit Sicherheitsproblemen (Bild: Wilfried Pohnke/Pixabay)

Mit den digitalen Impfausweisen soll die Reisefreiheit in der EU und der Schweiz wiederhergestellt werden, teilte die EU-Kommission vergangene Woche mit. Auch Besuche in Restaurants und Kulturveranstaltungen sollen damit möglich sein.

Inhalt:
  1. Corona: Unzählige Sicherheitslücken im Schweizer Impfnachweis
  2. Umfangreicher Zugriff auf sensible Patientendaten und Impfnachweise

Im Unterschied zur EU hat die Schweiz bereits die Infrastruktur für den digitalen Impfausweis aufgebaut. Doch auf der Webseite prangt seit kurzem nur noch eine Fehlermeldung: "Entschuldigung, eine dringende Wartung ist erforderlich." Zuvor hatten die Sicherheitsforscher Sven Fassbender, Martin Tschirsich und Dr. André Zilch eklatante Sicherheitslücken in der Infrastruktur entdeckt.

Gleich mehrere Sicherheitslücken erlaubten es den Sicherheitsforschern, sich als Arzt am System anzumelden. Auf diese Weise konnten sie beispielsweise Impfnachweise für beliebige Personen erstellen - die gar nicht geimpft waren. Dabei konnten sie Impfdatum, Vakzin und alle weiteren Angaben selbst eintragen. Auch war es möglich, weitreichende Informationen und Impfnachweise aller angemeldeter Personen zu erlangen. Ein Sicherheitsdesaster.

Viele Sicherheitslücken führen zum Arzt-Konto

Ein besonders wunder Punkt war die Passwort-zurücksetzen-Funktion. Wird diese ausgelöst, muss eine URL mit einem Token aufgerufen werden, um das Passwort zu ändern. Dieses Token war jedoch so kurz, das die Sicherheitsforscher es mittels simplem Durchprobieren der verschiedenen Möglichkeiten (Brute Force) knacken und damit die Konten von Fachpersonen oder Patienten übernehmen konnten.

Stellenmarkt
  1. ABS Team GmbH, Bovenden
  2. THD - Technische Hochschule Deggendorf, Deggendorf

Die Plattform erlaubt zudem das Registrieren von neuen Konten für Fachpersonen. Diese müssen allerdings manuell überprüft werden, bevor sich die Ärzte oder Apotheker einloggen können. Durch einen Klick auf "Passwort zurücksetzen" konnten die Sicherheitsforscher jedoch ein Passwort setzen, auf das Konto zugreifen und die manuelle Überprüfung überspringen.

Doch auch die manuelle Überprüfung war nicht sicher. So habe Meineimpfungen.ch "per E-Mail das Foto einer Health Professional Card (HPC), eines Diploms oder Fachausweises" verlangt. Doch ob die Person, die die Kopie einreicht, auch wirklich die Person auf dem Dokument ist, werde nicht überprüft.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Auch über eine Cross-Site-Request-Forgery-Lücke (CSRF) war es möglich, bereits existierende Konten zu übernehmen. Dazu musste eine eingeloggte Fachperson dazu gebracht werden, auf einen präparierten Link zu klicken. Wurde ein Arzt-Konto übernommen oder angelegt, konnten die Forscher durch weitere Sicherheitslücken nahezu unbeschränkt auf die Gesundheitsdaten der Patienten zugreifen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Umfangreicher Zugriff auf sensible Patientendaten und Impfnachweise 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 34,49€
  2. gratis (bis 22.04.)
  3. 4,25
  4. 8,99€

beta 26. Mär 2021 / Themenstart

Das sind berechtigte Einwände, aber es war freiwillig. Die Überschrift suggeriert, wir...

Sandeeh 25. Mär 2021 / Themenstart

Ja, der QR-Hash soll einfach nur dem einfachen Abgleich (Patienten-QR => DB Record...

Nimrod123 23. Mär 2021 / Themenstart

Ich stelle mal die Vermutung an, dass die Aufträge für solche Online-Platformen gerne an...

Sharra 23. Mär 2021 / Themenstart

Selbst GB ist uns weit voraus. Das Land, das in den letzten 10 Jahren absolut nichts...

Sharra 23. Mär 2021 / Themenstart

Abschalten, löschen, bei 0 anfangen.

Kommentieren


Folgen Sie uns
       


Zoom Escaper ausprobiert

Der Zoom Escaper ist eine Möglichkeit, sich aus Videokonferenzen zu schummeln. Wir haben ihn ausprobiert.

Zoom Escaper ausprobiert Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /