Die Republik ist nur so stark wie ihre Community. Werden Sie ein Teil davon und lassen Sie uns miteinander reden. Kommen Sie jetzt an Bord!

DatenschutzFAQErste-Hilfe-Team: kontakt@republik.ch.



neu laden

Auf die „Gefahr, dass besonders schützenswerte Personendaten schnell, einfach und unbemerkt abgegriffen werden können“, hätte die Republik explizit und mit Frist zur Stellungnahme und Lösungskonzeption hinweisen können. Und hätte dafür mindestens ebenso viel öffentliche Anerkennung erhalten.

Aber nein, man wollte die Wirksamkeit des ach so hochgelobten Tech-Investigativjournalismus natürlich sofort testen und dafür Anerkennung ernten. Also musste von Debakel die Rede sein und sofort jemand an den Pranger. Salopp nach dem Motto: gib den andern keine Chance, Reputationsschaden egal. Und ein weiteres Problem und verstärkter Vertrauensverlust während der Impfkampagne sowieso.

Schade, lechzt die Republik nach Aufmerksamkeit, wie viele andere Medien auch. Und hebt sich wohl deshalb punkto Schlagzeilen und Rücksichtslosigkeit oft nicht wirklich ab. Wirtschaftlicher Druck und persönlicher Profilierungsdrang der Autoren sind sicher starke Treiber dafür. Trotzdem knabbert dies stets auch an der Glaubwürdigkeit von Titel und Personal.

5
/
12
Adrienne Fichter
Redakteurin @ Republik
·
· editiert

Guten Tag. Ich wiederhole was ich weiter unten schrieb:
meineimpfungen.ch wurde auf Tausenden von Impfanmeldezetteln/onlineformularen für die Covid19-Impfung täglich promotet in allen Kantonen, auf den kantonalen Webseiten bei der Anmeldung ebenso. (teilweise bis heute noch, die Institutionen haben es versäumt das Kästchen zu entfernen, ich habe soeben wieder einen Zettel zugeschickt bekommen.) Überall hiess es dass dies eine Möglichkeit sei, seine Impfung offiziell einzutragen und damit auch als Beweis zu dokumentieren.

Das BAG fördert die Plattform, auch in den Medien, es wurde als das offizielle Impfzertifikat in Betracht gezogen (auch wenn die jetzige Rhetorik der Bundesbehörden sei unserer Publikmachung eine ganz andere ist) ...Bitte vergegenwärtigen Sie sich nochmals: Es geht um eine Plattform/App mit besonders schützenswerten Daten (Gesundheit und Impfung), jeder Tag länger online mit derart gravierenden Schwachstellen (und derart veralteter Software) ist eine Hypothek und eine Gefahr für Hunderttausende von NutzerInnen.

Ursprünglich wollten wir 30 Tage einräumen für die Behebung der Schwachstellen. Doch als wir bei der Recherche herausfanden wie offen wir ohne Weiteres reinkamen z.Bsp mit XSS-Angriffen und Zugriff auf Benutzerkonten hatten usw, war es klar, dass wir schnell handeln mussten und dass die Plattform vom Netz genommen werden muss. Jeder Tag mehr, bei dem ahnungslose Einwohnerinnen und Einwohnerin ihre Gesundheitsdaten auf dieser ungeschützten Plattform eintragen, ist einer zu viel.

5
/
0
(durch User zurückgezogen)
T. A. Z.
Sucht nach Vernunft
·

Als langjähriger IT Berater und Experte halte ich das öffentliche Anprangern und einer Hexenjagd nahe kommenden Verurteilung eines Dienstes, dessen primäres Ziel es ist Prozesse zu verbessern, für kontraproduktiv. Ich möchte hier gar nicht erläutern wie viele Schwachstellen es in anderen Sicherheitsrelevanten IT Anwendungen gibt, die wesentlich sensibler sind als die Impfdaten von irgendwelchen Politikern, oder auch meine persönlichen: kann gerne jeder haben ! Im Gegenteil - was hier mal wieder passiert, ist eine masslose Übertreibung von halben Fakten die nur eins wieder spiegelt: Furcht, Angst, Phobien, Beklemmung, Verzeiflung, Fremdverantwortungszweisung.... statt viel notwendigerer Zuversicht, Lösungsorientiertheit, mitdenken und Kooperation.

Vor 20 Jahren hätte so ein "Sicherheitsexperte" erst mal dem Anbieter die Chance gegeben diese Lücken zu schliessen ohne gleich öffentlich mit dem Finger drauf zu zeigen... der Masse kann man nicht erklären das man - wenn man will - alles hintergehen kann, es ist nur eine Frage des Aufwands / Kreativität - das "Eure Leute" da illegal unterwegs waren interessiert auch niemanden, ganz nebenbei gesagt. Den Image Schaden für die Plattform ist nun nicht mehr zu reparieren und jede andere Plattform wird es erheblich schwieriger haben sich zu etablieren in dem Bereich als vorher: genau das brauchen wir jetzt - Gratulation !

4
/
11

Aber, aber, Herr Z., es ist doch win-win: Unsere Republik ist in aller Munde, der sogenannte Sicherheitsfachmann hat seine Gratiswerbung, und die restlichen Medien dürfen den angeschlagenen Beteiligten den Rest geben (für die von Ihnen erwähnten massiven Kollateralschäden kann doch niemand verantwortlich gemacht werden).
Spannend wird sein, ob Frau Fiechters Team eine Nachfolgerecherche liefern wird, welche Firmen von dem destruktiven Vorgehen profitieren und offenbar sehr gute Lobbyarbeit geleistet haben.

0
/
3
T. A. Z.
Sucht nach Vernunft
·

Interessante Vorstellung von Win Win die Sie da haben Herr Bocklet. Meine Vorstellung von Win Win wäre ( Headline ): Weltretter aus der Schweiz ! : Republik erzeugt durch hervorragenden Tech-Journalismus das sicherste und beste Impfportal possible. - Endlich dem Virus immer einen Schritt voraus !

3
/
1
Adrienne Fichter
Redakteurin @ Republik
·
· editiert

Das sehe ich völlig anders. meineimpfungen.ch wurde auf Tausenden von Impfanmeldezetteln/onlineformularen für die Covid19-Impfung täglich promotet in allen Kantonen, auf den Webseiten bei der Anmeldung ebenso. (teilweise bis heute noch, die Institutionen haben es versäumt das Kästchen zu entfernen) Überall hiess es dass dies eine Möglichkeit sei, seine Impfung offiziell einzutragen und damit auch als Beweis zu dokumentieren. Das BAG fördert die Plattform, auch in den Medien, es wurde als das offizielle Impfzertifikat in Betracht gezogen (auch wenn die jetzige Rhetorik der Bundesbehörden sei unserer Publikmachung eine ganz andere ist) ...Bitte vergegenwärtigen Sie sich nochmals: Es geht um eine Plattform/App mit besonders schützenswerten Daten (Gesundheit und Impfung), jeder Tag länger online mit derart gravierenden Schwachstellen (und derart veralteter Software) ist eine Hypothek und eine Gefahr für Hunderttausende von NutzerInnen. Ursprünglich wollten wir 30 Tage einräumen für die Behebung der Schwachstellen. Doch als wir bei der Recherche herausfanden wie offen wir ohne Weiteres reinkamen z.Bsp mit XSS-Angriffen und Zugriff auf Benutzerkonten hatten usw, war es klar, dass wir schnell handeln mussten und dass die Plattform vom Netz genommen werden muss.

Zum illegalen Handeln: Die Recherche und Applizierung der dokumentierten Schwachstellen des IT-Security-Teams haben wir alleine durchgeführt. Das ist investigativer Tech-Journalismus. Wir haben die gefundenen Accounts der BundesrätInnen nicht angerührt.

16
/
1
T. A. Z.
Sucht nach Vernunft
·

Sehr offensichtlich das wir beide das völlig anders sehen. Ich wiederhole deutlicher: Impfdaten sind - zumindest für mich - KEINE sensiblen Gesundheitsdaten ! Es wird hier als Sensation dargestellt, als ob unser aller Leben davon abhängen würde wenn man solche Informationen einsehen könnte. Jeder kann letztlich schon selbst entscheiden, ob die dort gehalten werden oder nicht. Es ist wichtig und notwendig das das BAG solche Plattformen fördert und damit zusammenarbeitet, denn es ist die Idee und Aufgabe einer solchen Plattform Prozesse zu verbessern. Die Funktion und den Mehrwert derselben untergraben Sie mit einem direkten geplanten Angriff darauf. Sie haben den Angriff gezielt darauf gestartet - und das ist keine Recherche - in dem Sie professionell nach Schwachstellen gesucht haben. Das ist - für mich - keine Sensation, wenn Sie das professionell machen, denn Sicherheitslücken findet man überall, wie man es auch und wieder sehr deutlich bei der gerade laufenden Pwn2Own sehen kann. D.h. es müsste Ihnen schon vor Ihrer "Recherche" klar gewesen sein das sie das so schaffen. Die "Sensation" steckt in Ihrer Headline, das Konzept habe ich zu genüge in der übrigen Presselandschaft, so was brauche ich hier nicht und damit werden andere Artikel der Republik nur noch scheinheilig. Ihr Kommentar zum illegalen Handeln spiegelt auch einen mysteriösen Mindset wieder. (Il-)Legalität macht keinen Unterschied durch wen er durchgeführt wird und auch nicht wen es Angreift - ob es eine besondere Etnische Herkunft, politische Zugehörigkeit oder Gender angeht. Allein schon die Nennung einer politischen Persönlichkeit in dieser Headline in diesem Zusammenhang ist Sensationsjournalismus und das brauche ich hier wirklich nicht.

2
/
0
T. S.
sucht seinen Impfausweis
·

Als Nutzer der Plattform hätte ich mir eigentlich ein "responsible disclosure" (Voranzeige gegenüber Betreiber mit Möglichkeit zur Behebung von Schwachstellen, allfällig kurzzeitige Unterbrechung von Teilen des Services) statt eines "full disclosure" mit unverzüglicher Publikation gewünscht. Damit hätte der jetzt zu erwartende Reputations-Totalschaden möglicherweise vermieden werden können. Alternativen gibt es ja bis jetzt keine und der Aufbau solcher dürfte sich in die Länge ziehen.

2
/
2

Wir hatten ursprünglich die Absicht, den Betreibern die üblichen 30 Tage einzuräumen da sich die zuerst gefundenen XSS/CSRF-Lücken nur mit einem gewissen Aufwand ausnützen lassen und nur den Zugriff auf die Daten jeweils einer kleine Gruppe von Personen erlaubten.

In der weiteren Analyse wurde dann klar, dass aufgrund der Schwächen in der Validierung der Fachpersonen, dem für alle Fachpersonen uneingeschränkt möglichen Zugriff auf Personen-, Gesundheits- und Impfdaten im MyCovidVac-Bereich und der Möglichkeit, auch mit einem noch nicht validierten Fachpersonen-Account sämtliche Impfausweise abzurufen, die Gefahr besteht, dass besonders schützenswerte Personendaten schnell, einfach und unbemerkt abgegriffen werden können. Angesichts der anlaufenden Impfkampagne und dem täglich wachsenden Risiko war aus unserer Sicht ein Weiterbetrieb in dieser Form nicht mehr anzeigt, eine Ansicht die der EDÖB letzten Montag dann teilte.

7
/
1
T. S.
sucht seinen Impfausweis
·
· editiert

Danke für die Ausführungen. Mein Eindruck war, dass die Plattform ohne die nachträglich eingeführte MyCovidVac-Funktionalität und Memorandum von Fachperson-Validierung durchaus temporär betrieben werden hätte können. Eine Abwägung gegenüber langfristigem Erfolg wäre es wert gewesen, v.a. da Reputation ein zentraler Pfeiler für öffentliche Gesundheits-Systeme ist.

Einen unglücklichen Beigeschmack hinterlässt zudem die offensichtlich klare Meinung der Sicherheitsreport-Autoren (siehe Blogpost) bezüglich zentraler Datenhaltung, welche einer Suche nach Kompromiss - sprich responsible disclosure - wohl auch im Wege stand.

Seien wir gespannt, ob diese Plattform (mit professionellerem Umgang betreffend IT Security (XSS z.B. sollte wirklich der Vergangenheit angehören!)) sich je wieder vom Reputations-Schaden erholt oder wir nun einfach einige Zeit auf einen digitalen Ersatz des Impfbüchleins warten.

0
/
0

Wurde ja gegeben, die eine Domain war "offline" bei der Publikation. Daher "full responsible" von Seiten der Republik ;)

Das immer noch, auch jetzt, Subdomains mit alten Inhalten, Webserver mit potenziellen Sicherheitslücken etc. offen rumliegen, zeigt wie "responsible" sich die Betreiber verhalten.

5
/
1
T. A. Z.
Sucht nach Vernunft
·

Falsch Adressiert: diese Information/en sollten Sie dem zuständigen Betreiber melden, dort erhalten Sie für Ihren Beitrag auch die entsprechend positive Aufmerksamkeit.

1
/
4

Und gerade eben verschickt "Stiftung Meineimpfungen" eine E-Mail und erklärt:

"Als Nutzerin oder Nutzer der Plattform meineimpfungen informieren wir Sie vorsorglich, dass der Betrieb zur Wahrung der Datensicherheit temporär unterbrochen wird."

Vorsorglich mit 4 Tagen Verspätung.

5
/
0
Adrienne Fichter
Redakteurin @ Republik
·

Die Sprecherin meinte am Montag zu mir: "Die Accountbesitzer werden das sowieso aus Ihrer Zeitung erfahren..."

2
/
0

Da sehen wir, für was das ganze Geld ausgegeben wurde: PR....

2
/
0

Habe auch grad geschmunzelt.

2
/
0

Jetzt weiss ich endlich, was den Ärzten ermöglicht, die Impfungen frei zu verteilen, ohne Rücksicht auf die Priorisierungen nach Impfgruppe! Danke Republik

2
/
10

Dieser Schlussfolgerung kann ich nicht folgen. Wie kommen Sie darauf?

8
/
1
B. S.
· editiert

Fehler können passieren und nicht jedes Programmierende ist ein Sicherheitsexpertendes. Was hier zu fehlen scheint ist ein Minimum an Governance und operativen Prozessen die vermeiden, dass ein amtlich unterstütztes und abgesegnetes System zur Verwaltung hochsensibler Daten in so einem Zustand ans Netzt geht.

6
/
5

Niemand erwartet von allen Entwickler:innen, dass sie IT-Security-Experten sind. Ich denke aber, dass man unabhängig vom Auftraggeber und einer allfälligen amtlichen Unterstützung erwarten kann, dass Anbieter/Betreiber einer Internet-Plattform mit gemäss altem wie neuem DSG besonders schützenswerten Personendaten alles dran setzen, durch den Einsatz zeitgemässer Technologien und Pentests die ihren Namen wert sind dafür zu sorgen, dass es keine offensichtlichen Lücken im System hat.

5
/
0

Herzlichen Dank für diese erneute exzellent recherchierte Publikation. Das ist Presse und Journalismus. Ihr geht mit dem guten Beispiel voran. Damit gehe ich für diese Zeitung werben, nicht mit Rabatbons, sondern mit echtem Mehrwert für uns alle.

BAG und co werden ggf. versuchen, den Ball flach zu halten. Aber Ihr habt 100000fachen grobfahrlässigen Verstoss gegen Datenschutz und Belügung von Nutzern (auch ohne x können Ärzte auf meine Daten zugreifen und manipulieren) aufgedeckt. Betreiber ist das BAG und nicht eine externe Stelle. Da können sie sich hoffentlich nicht herausstehlen.

Meine Hoffnung stirbt zuletzt, dasd das BAG Management endlich qualifizierte Leute ans Werk lässt. Denn die gibt es, und die wären bereit.

22
/
2
Adrienne Fichter
Redakteurin @ Republik
·

Vielen Dank! Der Bund hat viele qualifizierte Leute, man muss sie einfach machen lassen. Offenbar ist das BIT dran.

7
/
1

Dank der Recherchen des Republik-Teams zum Meinimpfausweis wird uns demonstriert, in welches Schlamassel wir geraten wären, falls die an private Firmen delegierte E-ID per Volksabstimmung angenommen worden wäre! Herzlichen dank Euch, macht weiter so!

38
/
3
Adrienne Fichter
Redakteurin @ Republik
·

Merci!

1
/
0

Republik for the win!

13
/
0
Adrienne Fichter
Redakteurin @ Republik
·

Merci!:)

1
/
0

Danke für den Artikel. Mich würde zudem eine Recherche zum Geldfluss brennend interessieren. Entweder hat man die über 2 Millionen Franken massiv falsch eingesetzt oder sie kamen nie beim eigentlichen Projekt an - oder Firmen, die mit der Stifung verbunden sind, haben sich eine goldene Nase verdient. Das sind wilde Spekulationen, aber ich kann mir nicht erklären, wie eine Webseite mit einer solchen Struktur und Design soviel Geld verschlungen habe kann.

17
/
0

Personell ist/war die Stiftung sehr eng mit BAG und den Firmen verbandelt. Daher sollte man da sicher einige Fragen stellen. Und bekommt möglicherweise Antworten, die den Beteiligten nicht passen. https://twitter.com/IKostenas/statu…3513626638

3
/
0
M. D.
Verfechter offener Systeme
·
· editiert

Warum haben Stiftung und Datenschutzbeauftragter so schnell reagiert?

Das kommt jetzt einigen grad wohl sehr ungünstig. Hat das Volk doch an der Urne eben grad beim Gesetz zur E-ID grösstes Vertrauen an Politik und Wirtschaft ausgesprochen.

IRONY MODE OFF

Wir brauchen so was wie eine E-ID, einen Impfpass, ein Elektronisches Patientendossier, etc.. Aber bitte so, dass ich vertrauen kann.

Meine persönlichen Anforderungen

  1. mit selbstbestimmter Freigabe durch den OWNER der Daten/Informationen

  2. Also sicher NICHT in Händen der Wirtschaft - ein gewinnorientiertes Unternehmen dahinter wird NICHT die beste und sicherste Lösung liefern. Die Einträglichste.

  3. Ohne Beamtenschimmel - intrinsisch motoviert

  4. Dezentral organisiert - ich will meine Daten selber verwalten

  5. Software und Schnittstellen sind FLOSS (Free/Open Source Software)

WIR - Das Volk darf sich nicht mehr länger auf die Politik oder Wirtschaft verlassen. Da gibt es zu viel "Häfeli - Deckeli". Das ist weder nachhaltig, noch sicher oder wirtschaftlich.

WIR - Die Individuen mit Fachwissen müssen der Politik helfen, die eigenen Gesetze einzuhalten. Lest mal die Bundesverfassung. Bund und Kantone verstossen wohl regelmässig selber dagegen. Aus Hilflosigkeit.

Oder das neue BöB (Bundesgesetz über das öffentliche Beschaffungswesen), in Kraft getreten am 01.01.2021.

Ich bin kein Jurist. Aber lest mal nach. Oder fragt mal Fachleute. Z.B. einen Bundesverfassungsrichter. Da gibt es klare Meinungen zur Öffentlichen "Beschaffung".

"Beschaffung" wie "Drogen beschaffen". Um bis zum nächsten "Schuss" (Update) entspannt zu sein. Und die beschaffenden Unternehmen sind wie Drogendealer.

Organisatorischer Entwurf - im Wissen, dass es nicht zu Ende gedacht ist

  1. Alle Stakeholder tun sich in einem Verein zusammen

  2. Der Verein ist nicht gewinnorientiert, gemeinnützig

  3. Ziel des Vereins ist die Schaffung einer sicheren, nachhaltig wirtschaftlichen und vertrauenswürdigen Lösungen (z.B. eine E-ID)

  4. Die Stakeholder mit Geld und Anforderungen (Bund, Kantone, ...), aber ohne Fachwissen bringen die Rahmenbedingungen und die Finanzen ein

  5. Praxisorientierte Fachleute (Firmen, Privatpersonen, Entwickler, Wissenschaftler, ...) entwickeln die Lösung

  6. Die Lösung ist Gemeinwohl, FLOSS.

  7. Sie wird durch die Community getestet

  8. Und durch Profis weiterentwickelt

Vorteile

  1. Keine "Security by Obscurity" wie z.B. bei der Crypto AG.

  2. Viel Vertrauen - hohe Akzeptanz

  3. Einen Verein gründen mit dem Zweck, sich selber zu helfen und helfen zu lassen, dafür braucht es kein Gesetz, keine Ausschreibung - nichts

  4. Der Output durch intrinsisch motivierte Menschen ist schnell und zielorientiert

  5. Schafft das richtige Umfeld - und die RICHTIG MOTIVIERTEN Menschen und Organisationen werden sich finden.

  6. Weil es NICHT um ein Business-Modell geht, werden die FALSCH MOTIVIERTEN Menschen und Organisationen werde sich dafür nicht interessieren - ein natürlicher Filter.

Crowd - denkt das doch mal weiter zu Ende ...

20
/
1

Für mich das Tragische ist, dass ich bisher davon ausging, dass in der Schweiz solche Sachen von kompetenten Personen der staatlichen Verwaltung beaufsichtigt und kontrolliert werden, dass man also als Bürger Vertrauen haben kann. Leider hat dieses Vertrauen arge Kratzer bekommen. Woran liegt das? Warum kann das der Staat nicht? Hier ist es eine private Organisation, ergo können es Private auch nicht. Was müsste man ändern, dass man wieder vertrauen kann?

33
/
0

Dies liegt nach einem Jahr Covid langsam auf der Hand: weder die Verwaltung noch die Wirtschaft haben die Kompetenz grundlegende Probleme zu lösen. In der Informatik zeigt sich diese Verquickung beider Seiten besonders gut: Die einen werden für ihre Inkompetenz, durch die Inkompetenz der anderen beauftragt und bezahlt.

15
/
0
J. S.
· editiert

Die Anleitung für Ärzte ist weiter zu finden:

https://webcache.googleusercontent.…clnk&gl=ch

Die Behauptung der Verantwortlichen: "Auf der technischen Seite wurden die Schwachstellen sofort behoben." scheint nicht korrekt, die unter der Domain eingesetzte Apache Tomcat/8.5.51 Version ist veraltet und weist seit knapp 4 Jahren bekannte Sicherheitslücken auf.

23
/
1
T. A. Z.
Sucht nach Vernunft
·

Falsch Adressiert: das sollten Sie dem zuständigen Betreiber melden, dort erhalten Sie für Ihren Beitrag auch die entsprechend positive Aufmerksamkeit.

0
/
3

Eine direkte Meldung ist hierzu sicherlich angebracht. Allerdings steht schon alleine die Tatsache, dass ein deutlich veralteter und angreifbarer Webserver eingesetzt wird, in einem gewissen Widerspruch zu Aussagen wie "Die Sicherheit der Plattform meineimpfungen.ch hat für uns oberste Priorität".

3
/
0

Als die Domain meineimpfungen.ch 2010 angemeldet wurde (und wahrscheinlich das Projekt begann), waren diese Lücken aber noch nicht bekannt. Keine unnötige Eile! (Ironie Off)

6
/
0
Michel Romanens
Präsident www.vems.ch
·

Aufgrund der Manipulierbarkeit der Impfeinträge ist die Impfplattform "meineimpfungen.ch" ein Medizinprodukt Klasse I mit potentieller Falschangabe von Daten, es geht nicht nur um den Datenschutz. Dieses Medizinprodukt untersteht den Strafbestimmungen des Heilmittelgesetzes Art. 86 und Art. 87 HMG. Es wird generell im Rahmen von Äusserungen zur Gesundheit übersehen, dass diese dem HMG unterstehen. Zahlreiche Medizinprodukte wie Risikorechner, Wirtschaftlichkeitsverfahren, gesundheitsökonomische Berechnungen (QALY), werden viel zu leichtfertig in die Welt gesetzt und entsprechen qualitativ nicht wissenschaftlichen Standards. Sie verletzen aufgrund von Qualitätsmängeln beim Medizinprodukt - mitunter mit ungemütlichen Folgen für die Patientinnen und Patienten - die Vorgaben des Heilmittelgesetzes. Leider wird behördlich (SwissMedic) auch auf Anzeigen hin der strafrechtliche Aspekt unwissenschaftlicher Medizinprodukte der Klasse I wohl kaum je verfolgt. Sehr zum Schaden für die Medizin, die Patientinnen und Patienten und dem Ansehen des Gesundheitswesens. Während andere Produkte viel besser reguliert sind ("dieses Huhn stammt aus Polen") können Sie auf den Medikamentenpackungen noch nicht einmal den Herkunftsort finden. Hier fehlt also die Kontrollierbarkeit betreffend Good Manufacturing Practice, welche ebenfalls durch SwissMedic wahrgenommen werden müsste. Sicher: das hier skizzierte Problem ist komplex. Die Nichtbeachtung rechtlicher Rahmenbedingungen schafft jedoch Raum für Produkte mit schlechter oder gar negativer Kosteneffektivität. Diesen Wildwuchs aufzuarbeiten würde sicherlich manche Wissenschaftler über Jahre beschäftigen müssen.

34
/
0

Irgendwie ist mir spontan der Begriff "SwissID" in den Sinn gekommen. Weshalb bloss? Da sollte doch auch die Privatwirtschaft für Geschwindigkeit und Sicherheit besorgt sein.

29
/
1

Falls jemand auf dieser Plattform registriert ist und seine Daten löschen möchte, kann dazu folgende E-Mail-Adresse verwenden: support@meineimpfungen.ch

13
/
0

Kann man vertrauen das die Daten dann auch wirklich gelöscht sind? Habe da so meine Bedenken.....

3
/
0

Je nach Datenbank ist es auch gar nicht so einfach, Daten zu löschen (so dass es sie nachher nicht mehr gibt). Und vielleicht wird auch einfach nur der Zugang dazu erschwert, oder die Daten werden als gelöscht gekennzeichnet. Dafür kann es gute Gründe geben, ist aber ziemlich sicher nicht das, was von den Nutzern erwartet wird. Zwei Twitter-Threads von Lea Kissner hierzu: Thread 1, Thread 2.

0
/
0

Den objektiven Beweis der Löschung eines digitalen Dokuments kann es nicht geben. (Genau gleich, wie in der analogen Fotografie die Herausgabe des Negativs kein Beweis war, dass der Erpresser nicht doch noch Kopien hatte.) Das kann nur mit Vertrauen bzw. Kontrolle einhergehen. Und wenn man nicht weiss, ob Kopien der Daten ohne Wissen der Verantwortlichen abgeflossen sind, wird es nochmals schwieriger. Deshalb gibt es ja entsprechende Gesetze.

(Quantencomputer ausgenommen. Aber darum geht es hier ja nicht.)

1
/
1

Man sollte folgendes verlangen: Löschung der aktiven und archivierten Daten; Aushändigung (z.B. PDF-Datei) der zu löschenden Daten; Bestätigung der Löschung durch zwei zeichnungsberechtigte Personen; Erwähnung des Vorbehaltes, dass man allfällige Kosten in Rechnung stellen werde. Mein Auftrag wurde mit Ticket 768456 bestätigt. Bin zuversichtlich, dass ich mein Anliegen durchsetzen kann.

4
/
1

Naja, ein weiterer Punkt auf der langen Liste von Versagern unserer Bundesbeamten (sicher gut für die Zustimmung zum Patientemdossier).
Die haben ja auch keine Zeit, die müssen ja an ihren Biografien schreiben.
Zum BAG kommen mir wirklich nur noch sarkastische Gedanken in den Sinn.
Ich finde, das BAG müsste endlich weg von Bern; meinetwegen nach Chur oder Romanshorn, egal wo, nur weg von diesem Sumpf.
Sorry.

5
/
22

Habe gegoogelt wer hinter dieser Stiftung steckt: laut Moneyhouse ist da mit dabei Virginie Masserey, die Dame vom BAG ;-)

10
/
15

Ich finde es nicht korrekt, hier im Zusammenhang mit Datensicherheit eine Person besonders hervorzuheben, die gemäss presseportal-schweiz.ch A) als Privatperson Einsitz im Stiftungsrat genommen hat, und B) dies wohl eher als Spezialärztin denn als Datensicherheitsspezialistin tut - und das auch erst seit Ende Januar 2021 (Meldung vom 28.1.21, https://www.presseportal-schweiz.ch…und-carlos).
Natürlich gehören Verbindungen zum BAG und Verantwortlichkeiten untersucht, und offensichtlich ist IT-Kompetenz weder sie Stärke des BAG noch der Stiftung. Ebenso stellt sich die Frage, wie sich bei solchen Mandaten Dienstliches und Privates trennen lässt - doch das ist ein generelles Problem in der Schweiz.

56
/
4

Trotzdem sind sehr viele Verknüpfungen zum Geldgeber (BAG), der eigentlich unabhängig sein sollte und auch zu den beauftragten Firmen (aus meiner Sicht ein No-Go) da. Wenn ich eine Stiftung als Schutzmäntelchen konstruieren würde, wäre das wahrscheinlich meine erste Wahl.

4
/
0
D. M.
Verlegerin, bald 73, Journalistin BR
·
· editiert

Ein hoch auf die Republik! wieder einmal und heute erst recht! Aber: nicht nur hier für die gute Recherchearbeit! Eben das (oder noch mehr), was ich unter Recherche verstehe. Jetzt bin ich zufrieden, dass ich mit meiner langen Leitung und mit Widerständen, mich zu registrieren, vorerst eben beim guten alten gelben Impfbüchlein geblieben bin. Aber: zurück zur Republik: mir fehlt schmerzlich der covid-19-Abendbrief! Bin ich die einzige? Gibt es irgendwo eine Möglichkeit für ein neues Projekt? kann ich das gegebenenfalls sponsern: gerade in der letzten Zeit waren dies hervorragenden Briefe: Portraits, Blogähnliche Beobachtungen, Selbst-Ironie und Hinweis auf das Wichtigste vom Tag. Jedenfalls: weiter alles Gute und gutes Gelingen!

34
/
0

Dem TA hat die Republik einmal mehr gratis eine gute Schlagzeile geliefert. Ist dies ein Nachteil der guten Recherchearbeit?

18
/
1

Vielleicht zahlen die Damen und Herren vom Tagi der Republik einmal das Znüni?

1
/
0

Uuh. So fängt es doch in Bundesbern auch an. Zuerst den Znüni und dann das Galadinner....

3
/
0

Immerhin musste der TA schreiben, dass die Republik das recherchiert und an den Tag gebracht hat!

26
/
1
Adrienne Fichter
Redakteurin @ Republik
·

Das stimmt, die KollegInnen des Tagi hätten dies aber etwas expliziter ausdrücken können:-)

3
/
0
Simon Schlauri
Verleger und Autor bei der Republik
·

Ich bin sprachlos. Was für Anfänger waren denn da am Werk...?

31
/
1

Die Programmierer? Der Projektleiter, der Datenschutz nicht in den Specs hatte oder die Ausführung nicht prüfte? Die Behörde, die einen Projektleiter einsetzte, der keinen Sinn für Datenschutz hat (über die Gründe lässt sich nur spekulieren)? Der Gesetzgeber, der Verfahrensgrundsätze für Ausschreibungen festlegt, aber seinen Kollegen in den Behörden den Gefallen tut, unabhängige Kontrolle zu vermeiden? Oder wir, die diese Pflöcke gewählt haben?

16
/
0

Die Programmierer waren sicherlich unfähig. Was ich als bedenklick empfinde ist das System dahinter: Niemand kam auf die Idee, eine Plattform die sensible Daten speichert einer ordentlichen QS zu unterziehen?

Wenn ein Lehrling etwas programmiert, sollte jemand auch mal drüber schauen ^^.

25
/
2

Sie würden staunen, wo in der Informatik überall Anfänger werkeln. Leider darf ich aus rechtlichen Gründen hier schriftlich kein Beispiel nennen.

15
/
2

Ich registriere mich oft und gerne und viel zu schmerzfrei. Berufskrankheit. Ich habe den Text im Januar verpasst und wollte mich vor ein paar Wochen registrieren. Ich hab’s sein lassen. Schlechte oder wie in diesem Fall kritische Software lässt sich auch an ihrem User Interface Design erkennen. https://share.icloud.com/photos/01x…x_fXY8qOSw

12
/
0

Meinen Sie konkret jetzt das Banner "Version 2021" das sonst bei schlechten Apps mit viel Werbung zum Einsatz kommt, das völlig unpassende Hintergrundbild oder die Passwort-Richtlinien aus der letzten Dekade?

3
/
0

All das zusammen und mehr. Für die meisten Menschen ist das Anmelden an einem Benutzerkonto im Web und der damit verbundenen Abgabe von persönlichen Daten ein schwieriger Vorgang, welcher einen entsprechenden Nutzen mit sich bringen muss. Eine Plattform wie diese muss Vertrauen schaffen, Transparenz herstellen und ihren "Kunden" aufzeigen was passiert. Dazu gehört das visuelle Design (schwer überhaupt ein solches zu erkennen, das Problem fängt schon beim Logo an, wer liebt schon Spritzen), das völlig fehlende inhaltliche "Onboarding" (warum und wie registriere ich mich hier und was passiert mit meinen Daten) und ein barrierefreies, logisch und verständlich bedienbares und vorhersehbares Anmeldeprozedere welches mich nicht zum Nachdenken bringt. All das war hier auch nicht gegeben. Es ist ein bisschen wie mit Phishing-Mails. Wenn wir sie ein paar Sekunden lang einfach nur anschauen, können wir ihre wahre Qualität erahnen.

3
/
0

Bravo Republik !

21
/
1

Und zum Thema Datensicherheit und Datenschutz: Wer sich in unserer Gesellschaft künftig mehr oder weniger frei bewegen will, wird mit grosser Wahrscheinlichkeit einen Impfpass in irgend einer Form brauchen. Wer halt keinen Impfpass will, muss halt auch die Folgen tragen. Fünfer und Brötchen funktioniert halt meistens nicht.
Jeder Online - Shop weiss, wo ich zu Hause bin und was ich aktuell gerade kaufen möchte!

5
/
28

Da bin ich völlig auf der Seite von N. L.. Ein Nachweis ist nötig, mehr nicht. Nichts davon muss Personenbezogen und zentral sein. Die Lösung, die Deutschland vorschlägt, macht auf mich - zumindest auf dem Papier - einen sehr, sehr guten Eindruck.

https://www.spiegel.de/netzwelt/gad…8844946c69

7
/
1

Wenn eine Blockchain bei solchen Vorhaben schon ein Alarmsignal ist, sind es 5 erst recht. Details finden sich in der Kurzanalyse hier https://dnip.ch/2021/03/12/elektron…a-heureka/

4
/
0
L. N.
· editiert

Ich weiss nicht. Wenn schon in der Schlagzeile völlig unkritisch und unreflektiert Begriffe wie Blockchain (Ooooh!) und QR-Code (Aaaah!) auftauchen, taugt dann der Artikel was? Oder das Produkt? ...
Aber ja, auf PAPIER wäre das sicher in Ordnung ;)

3
/
0
N. L.
Informatiker
·

Das mit dem Impfpass stimmt nicht ganz. Es braucht technisch eigentlich nur einen Impfnachweis.
Dieser Impfnachweis braucht theoretisch keinerlei Personen bezogene Daten zentral zu speichern. Es muss nur sichergestellt werden, dass die Person gegen Covid-19 geimpft ist.
Ein solches Konstrukt wurde z.B. von der EU vor kurzem beschlossen.
https://www.srf.ch/news/internation…abei-haben

11
/
0

Also eigentlich muss der EU-"Impfnachweis" ja nicht einmal die Impfung nachweisen, sondern nur, "von dieser Person geht ein deutlich verringertes Ansteckungsrisiko aus". Deshalb können auch Tests oder durchgemachte Erkrankungen darauf stehen. Aber auch dort stehen noch viel zu viele Details drin: Wann ich wo womit geimpft wurde oder ich die Krankheit durchgemacht habe. Das geht keinen Türsteher etwas an. Und auch dort sind zu viele personenbezogene Daten drauf: Unnötig und ein Fehler bzw. damit ein Verstoss gegen die Datenschutzgesetze.

3
/
0

Die SBB kann es. Banken können es. Israel kann es und auch bald die EU. Nur Bund und Kantone können es nicht: Eine vernünftige, brauchbare IT - Lösung zu irgend einem Problem auf die Beine stellen. Das Debakel bei den Impfausweisen ist ja nur eines in einer beinahe schon unendlichen Reihe von IT - Desastern. Und es ist ein weiteres Debakel in der Covid - Politik.
Für den Impfpass muss wohl eine proprietäre, mit möglichst keinem Ort auf der Welt kompatible Lösung gefunden werden. Die ist dann so absolut sicher, dass wahrscheinlich auch die Entwickler nicht mehr damit arbeiten wollen. Bis dann noch alle Politiker, Ämter, Kantone, Experten, etc. ihre absolut vordringlichen und zwingenden Abänderungen eingebracht haben, kann das beste Programm nicht mehr funktionieren.
Bin ich froh, dass das alles so langwierig und mühsam geht. Dann kann ich mich so lange freuen darauf, bis ... Und Vorfreude ist ja die schönste Freude. Und auch alle, die so kompetent und fleissig daran arbeiten sind wohl froh, denn ihrer ist ein fürstlich Gehalt sicher.

4
/
18

Die SBB kann es? SwissPass? SBBApp?

15
/
4

Die hier aufgedeckte Fehlersoftware stammt aber nicht vom Staat! Somit greift Ihr Argument nicht.

22
/
1

Wow. Musste kurz das Datum checken: kein 1. Aprilscherz.
Hat das das 14 Jährige Kind der Stiftungsrätin programmiert? Das kann doch nicht ein Profi gewesen sein? Menüpunkte ausblenden um den Zugriff zu verwehren: Das ist ist ja herzig gutgläubig. Internet im Auenland. So komisch, dass es mich gerade ungemein zum Lachen brachte. OMG.

24
/
4

Kein Grund 14-jährige Kinder zu unterschätzen ;-)

15
/
0

Ich habe dabei mich selber mit 14 und meinen Programmierprojekten vor Augen gehabt. Auf die naheliegende und simple Idee Menüpunkte auszublenden hätte ich jedenfalls damals auch kommen können. Ist ja auch eine gute Idee, wenn es sich nicht um eine Impfplattform handelt.

12
/
0

Und unser aller Bund investiert da auch noch zweieinhalb Millionen... Ja, wär's nicht so traurig, dann wär's zum sich totlachen...

17
/
0
L. N.
· editiert

Muss man sich vor Augen halten. 2.5 Mio CHF entsprechen 10 Frau/Mannjahren Entwicklung!!

8
/
0

die Pandemie zeigt die Grenzen eines föderalistischen Staates sehr deutlich auf. auch zentralistische Systeme haben auch gewaltige Nachteile, aber was hindert denn uns daran, in der Schweiz, vorwärts zu gehen und den alten Mist/Rezepte zurück zulassen ?

12
/
1

Die Domain ist seit 2010 registriert und der Dienst glaube ich seit 2014 aktiv. Hat also nichts mit der aktuellen Situation zu tun. Aber natürlich verstärkt dadurch, dass man dort jetzt auch die Covid-Impfdaten ablegt.

1
/
0

Ich finde das einfach UN FASS BAR!

Das klingt nicht nur nach einem, sondern einer Anreihung von absoluten Programmier-Anfängerfehlern, die jedeR Softwareentwickler*in mit auch nur einem Hauch Erfahrung einfach nicht machen darf.

Nicht vollständig validierte Eingabedaten in Datenbankabfragen? Umgehung einer Authentifizierung-Validierung wenn man sich das Token rausfischt? Einfach erratbare IDs? Zugriff auf sensible Daten nur anhand der ID des Datensatzes, ohne Prüfung der Berechtigung des anfragenden Users für diese ID?

Das liest sich wie die Hitparade der Fehler, die man als blutiger Amateur ca. anno 1995 bei den allerersten Gehversuchen mit dynamischen Webseiten machen konnte, und bei der ersten ernsthaften Beschäftigung mit dem Thema 2 Wochen später lernte, zu vermeiden.

Wie solche Fehler 25 Jahre später in einer inhaltlich sensitiven, offenbar für viel Geld entwickelten Webapplikation passieren können, sprengt echt mein Vorstellungsvermögen - und zwar bezüglich der nicht-technischen Vorgänge darum herum, der Verantwortungskette, die zu sowas führen kann.

Ich halte es üblicherweise mit Hanlon's Razor in abgeschwächter Form: vermute nie Bösartigkeit, wenn Nachlässigkeit eine ausreichende Erklärung bietet (im Original heisst es Dummheit statt Nachlässigkeit). Aber wie Strukturen eines Projekts dermassen disfunktional sein können, so dass sich so viel Nachlässigkeit oder unschuldige Inkompetenz verknüpfen kann zu so einem Resultat, lässt mich schlicht ratlos.

43
/
1

Wie solche Fehler 25 Jahre später in einer inhaltlich sensitiven, offenbar für viel Geld entwickelten Webapplikation passieren können, sprengt echt mein Vorstellungsvermögen - und zwar bezüglich der nicht-technischen Vorgänge darum herum, der Verantwortungskette, die zu sowas führen kann.

Unfassbar ist es, aber gleichzeitig wundert es mich nicht. Weil:

  1. In diesen 25 Jahren wurden die Technologien, auf die solche Anwendungen gebaut werden, mehrmals von Grund auf neu aufgebaut. Diese Technologien bzw. deren Ökosysteme haben oft nur wenig voneinander gelernt, weshalb es immer noch relativ einfach ist, sich damit in den Fuss zu schiessen.

  2. Die IT-Industrie ist nach wie vor stark von der Technologie, und weniger vom konkreten, fassbaren Nutzen getrieben. Das heisst: Technologie wird eingesetzt, weil sie neu ist, und nicht, weil sie einen messbaren Nutzen erzeugt (z.B. Sicherheit, Benutzerfreundlichkeit, Produktivität)

14
/
0

Wenn man eine Pistole hat, ist es leicht, sich in den Fuss zu schiessen, einverstanden.

Aber mir fällt schwer zu glauben, dass es irgendein ernstzunehmendes Framework, eine Programmiersprache, eine Library gibt, die nach 1995 ins Web kam und die nicht diese grundsätzlichsten Fehlerquellen irgendwie so addressiert, so dass ein*e professionelle*r Entwickler*in nicht solche Katastrophen produziert.

So einen Fall wie diesen möchte ich wirklich bis auf die letzte Codezeile verstehen können, inkl. der Entscheidungen für die Technologien, sollte behauptet werden, die Probleme seien in verwendeten Modulen Dritter.

Was für mich einmal mehr vehement die Forderung public money, public code unterstreichen lässt, sprich Opensource-Zwang für von der Öffentlichkeit finanzierte IT-Lösungen. Nicht dass OpenSource fehlerfrei wäre, aber in so einem Fall könnte man wenigstens die Fehlerkette offenlegen und vielleicht die Prozesse verbessern, die solche Scherbenhaufen produzieren. Ohne schonungslose Blossstellung von schlechter Arbeit scheint es in der IT offenbar wirklich nicht zu gehen.

29
/
0
L. R.
Geschäftsführer/Partner RTP GmbH
·

Danke für die vertiefte Recherche und das Dranbleiben! Dass eine IT-Firma mit diesem Budget den Job dermassen an die Wand fährt, ist schon sehr bedenklich. Und wer hier alles kommentiert, dass der Staat IT nicht kann: Da steht eine private Firma dahinter. Das ist eben genau NICHT der Staat.

Dank dem Tages-Anzeiger kennen wir auch das Geld, was da verbraten wurde und wird. Und als Branchenkenner muss ich sagen: Das sind ansehnliche Summen, mit denen man ein bisschen Sicherheit problemlos hätte einbauen können.

Ganz abgesehen davon ist das Portal auch inhaltlich absolut unvertrauenswürdig. Ich habe meinen Impfpass zur Validierung hochgeladen und bekam eine sehr seltsame Rückmeldung, auf welche ich eine Frage einreichte. Ein paar Tage später war meine Impfempfehlung eine andere und ich bekam eine kurze Mitteilung, dass man etwas geändert habe. Auf erneute Anfrage wurde diese ein zweites Mal verändert ohne eine nachvollziehbare Begründung. Nach der dritten Anfrage mit dem Hinweis, dass ich das Vorgehen problematisch fände, wurde die Impfempfehlung erneut verändert, ich wurde darüber allerdings nicht mehr informiert.

Das Vertrauen ist dahin, das Geld zum Fenster hinausgeworfen und ich werde meinen Impfstatus woanders validieren lassen.

32
/
0

Gut, es war eine private Firma, die es verbockt hat, ok. Aber ein Minimum an Aufsichtspflicht hat ein Auftraggeber schon. Und auch wenn man nicht vom Fach ist, solche grundlegenden Fehler können nur passieren wenn über längere Zeit Warnungen und Hinweise von internen und externen Expertinnen einfach ignoriert werden. Oder es ist dann tatsächlich Absicht dahinter und Veruntreuung von Öffentlichen Geldern.

2
/
0

Oder man macht sich nicht die Mühe, Expertinnen einzubeziehen. Die meckern ja sowieso nur und kosten auch noch…

2
/
0
Anonym 5
Softwareentwickler
·

Wow... Da reicht es nicht mal mehr, wenn die Verantwortlichen entlassen werden. Das Vertrauen der Bevölkerung wurde da so krass hintergangen, dass ich persönlich hoffe, dass dazu ein Strafverfahren eröffnet wird.

15
/
3
Beat Koch
Informatiker
·

Da kann ich nur sagen: Ein grosses Merci an die Republik für diese Recherche!

57
/
1

Ich verstehe irgendwie nicht warum man nicht das gelbe UN Impfbüchlein verwenden kann. Muss es digital sein weil es muss?

7
/
1

Die Papier-Impfbüchlein sind weder fälschungssicher noch klar einer Person zuzuordnen (hat ja keinen ID-Charakter). Was in der Diskussion leider oft vermischt wird, ist der Unterschied zwischen Impfbüchlein/Krankengeschichte-Eintrag und Impfnachweis. Im aktuellen Fall reicht für die öffentliche Nutzung zweiteres (zB wenn es um Veranstaltungen geht bei denen nur Geimpfte/Immune Zutritt haben), dazu braucht es die ganzen Details wie Impfdatum, Impfstoff, Chargennummer etc gar nicht erst. Ein reiner Impfnachweis wäre deutlich einfacher zu realisieren.

13
/
0

Aber dann ist ja alles in Ordnung, mycovidvac.ch ist tatsächlich die digitale Form des Impfbüchleins: weder fälschungssicher noch klar einer Person zuzuordnen.

3
/
1

Ich gehöre zu den Betroffenen die die Plattform leider aus naivem Vertrauen heraus genutzt haben. Ich frage mich, wie man jetzt am schnellsten sicherstellen kann das unsere Daten unwiederbringlich gelöscht werden. Eine zukünftige Nutzung ist für mich nach dem Bericht ausgeschossen. Einschreiben an die Stiftung.?

18
/
1
Adrienne Fichter
Redakteurin @ Republik
·

zu Ihrer Verteidigung: Ich habe nun einige Formulare vorgelegt bekommen. In einigen Spitälern und Kantonen wird ja Onedoc.ch (Impfanmeldungsoftware) und meineimpfungen.ch gleich bei der Anmeldung angepriesen für die Speicherung und Ameldung des Covid19-Impfnachweises. Quasi als drittes Kästchen. Da kreuzt man noch schnell JA an, wenn dies vom Spital als vertrauenswürdige und sichere Plattform angepriesen wird (auf Papier).

9
/
0
Anonym 6
MeineImpfungen Nutzer
·

Ich bin dort auch Registriert und habe erst vor kurzem meinen Impfausweis hochgeladen für die Erfassung. 10 CHF hat mich das gekostet.
Ich habe jetzt eine Löschung aller Daten über den support angefragt: support@meineimpfungen.ch
Mal sehen ob das etwas bringt...

8
/
0

Ein Müsterchen zur Qualität des elektronischen Impfpasses. Ich habe einen Account gelöst und dabei den Button "Vorhandene Impfdaten nachtragen" angeklickt. Das geschah denn auch, mit dem Resultat, dass ich gem. aktuellem Impfpass sechsmal gegen Diphtherie und Tetanus, und je fünfmal gegen Pertussis (Keuchusten) und Poliomyelitis geimpft wurde. Spannen dabei: alle Impfungen erfolgten an demselben Datum, nämlich am 1.9.1941, 1.11.1941, 1.1.1942!!, 1.1.1943, 1.7.1946 und 1.6.2018.
Jedermann mag sich selber ausrechnen, wie gross mein Vertrauen in diesen Impfpass-Bockmist noch ist.

15
/
0

Da es sich um eine Kombinationsimpfung handelt, muss es wahrscheinlich so eingetragen werden (ist bei mir auch so ...)

4
/
0
Stefan Zweifel
Full Stack Developer
·

Wow! Vielen Dank für die Recherche Adrienne Fichter und auch an die erwähnten Sicherheitsexperten.

Ich bin zwar nicht überrascht aber schon etwas sprachlos. Als ich die Plattform im Dezember das erste Mal angeschaut habe, dachte ich bereits: Hm, das sieht mir sehr altbacken und unsicher aus.
Schade, dass sich meine Vermutungen bewahrheiten haben.

Frage mich, ob ein HIPAA ähnliches Gesetz auch in der Schweiz bereits diskutiert oder bereits in Kraft ist. (Aber so, wie ich unsere Parlamentarier kenne, gibt es sowas sehr wahrscheinlich nicht.)

10
/
0

Das Patientendossier ist noch nicht da. Die welchen, welche damit kassieren können pushen natürlich. Schwierigkeiten werden weggeredet, Kosten werden unterschlagen, eine Haftung verschwindet.
Wie A. Z. in seinem Beitrag zeigte ist so eine Implementation nicht trivial. Nicht von der Technologie her, sondern von den Verfahren.

2
/
0

Altbacken muss nicht unsicher bedeuten.

5
/
0
Stefan Zweifel
Full Stack Developer
·

Klar. Altbacken ist vielleicht nicht das beste Wort dazu. ;)
"unvertrauenswürdig" trifft es wohl besser.

6
/
0

Danke für diese Recherche - mit fehlen die (anständigen) Worte.
Dafür erlaube ich mir eine Verständnisfrage: Sie haben geschrieben:
"Auch die sogenannten Indikatoren für eine Covid-19-Impfung sind für die Mediziner ... veränderbar: Damit ist ... möglich, eine kerngesunde 25-Jährige in die Risiko­gruppe zu verschieben (und ihr so eine frühe Impfung zu sichern) oder ... die Vorerkrankungen zu streichen, um den Impf­termin hinauszuzögern."
Ich bin bisher davon ausgegangen, dass die Impfwarteschlange von einer anderen Software kantonal gemanaged wird. meineimpfungen.ch dürfte eigentlich nicht wissen, dass ich mich in Luzern angemeldet habe...

8
/
0

Grundsätzlich einverstanden. Wir haben nur beobachten können welche Daten im Covid-Teil vorhanden und durch alle Fachpersonen einsehbar bzw. veränderbar sein. Ob kantonale Plattformen auf diesen Daten aufbauen oder ob sie eigene Datenquellen haben haben wir nicht untersucht.

2
/
0

Danke für diesen Artikel!

Eine Kleinigkeit allerdings: Auch die Republik "setzt auf Infra­struktur von amerikanischen Big-Tech-Unternehmen" (gehostet bei Amazon). Das ist nicht schlimm, aber Glashaus und Steine und so...

10
/
2

Daten auf der google cloud wären nicht so schlimm, wären sie verschlüsselt. Google könnte damit die Daten nicht auslesen.

Daten auf einer Big-Tech Cloud sind immer als "public" zu betrachten. Sollten sie das nicht sein - verschlüsseln.

7
/
0

Ich sehe freilich nicht ein, warum auf Amerikanische- und andere Clouds ausgewichen werden muss, wenn doch die Schweiz das Land mit den fast meisten Rechenzentren ist! Warum hostet die Eidgenossenschaft nicht ein eigenes RZ, nur für staatliche Daten?

Wenn wir so einem Dilettanten-Verein, wie den Meineimpfungen.ch, resp. deren Software-Entwicklern (das Wort passt in dem Kontext irgendwie grad nicht...) 2.5 Millionen hinterher werfen können, dann sollte eine wirklich 'lokale' Infrastruktur doch wohl auch möglich sein, nicht?

11
/
0

Wäre für diese Sache nicht eine Blockchain ideal geeignet? Ich verstehe noch zu wenig davon, aber hier zeigt sich die Schwachstelle einer Zentralisierung von Daten klar. Und das gibt einem wirklich zu denken.

0
/
7

Schauen Sie nach Deutschland - da haben sie eine komplette Bullshit-Lösung mit 5 Blockchains ;-) Den Sachverständigen dort tut die Stirn vom Draufklatschen so weh wie mir gerade heute angesichts dieser CH-Katastrophe.

Aber ernsthaft: Blockchains können dann eine sinnvolle Lösung sein, wenn es um das dezentrale fälschunssichere Feststellen einer Reihenfolge von Ereignissen geht. Was z.B. bei Zahlungsvorgängen der Fall ist.

Hingegen bei den Impfausweisen ist die Reihenfolge irrelevant - es zählt nur, dass fäschungssicher nachweisbar ist, dass jemand geimpft ist. Dafür gibt es die erprobte und für jede abgesichterte Web-Verbindung (etwa zu Ihrer Bank) verwendete Technik der PKI (Public Key Infrastructure). Diese Technik reicht vollkommen für einen digitalen Impfausweis.

7
/
0

ich verstehe immer noch nicht, warum die Schweiz nicht einfach beim Europäischen Impfausweis mit machen will.

31
/
3

Ich bin mir nicht sicher, ob die besser sind. Es ist dieselbe Sorte Leute.
Mit der EU zusammen .. konnten wir schon bei der App beobachten, ohne Rahmenvertrag gibt's keine Zusammenarbeit. Man kann das jetzt gut finden oder nicht.

1
/
1

meinen Sie, unser Föderalismus hat so die "Regionen" spezifischer im Griff, D. B.? Das dachte ich bisher auch. Doch wie lange doktern wir nun an unserer Pandemie herum? Jeder meint , man habe es gerade gut im Griff.
Ich bezweifle es immer mehr. Es wird so auch viel kostspieliger. Dabei will man ständig sparen.
Eigentlich hätten kurze harte Massnahmen vielleicht besser gewirkt, wie man am Beispiel unter anderem Israel sieht.
Hier bei uns hat man immer wieder neue Strategien, fast wirr, stets unter dem Aspekt "Rentabilität", wie zuerst durchseuchen, dann regionale Massnahmen... die Praxis widerlegt dieses Prinzip leider..... auch beim Impfen. Nun fehlen genügend Seren für alle und ausserdem helfen sie inzwischen gar nichts mehr, weil das Virus mutierte.
So mit zu viel Abwarten, Rechnen und Zögern , werden wir noch bis zur 5. Welle kommen...

4
/
4
M. A.
Software-Entwickler
·

Selberer! Wir wollen uns doch von der EU nicht alles vorkauen lassen! Stampf, stampf

17
/
1
R. A.
· editiert

wenn 47 Länder (extern und intern) damit gut auskommen, M. A., verstehe ich nicht warum diese "Alleingang" Bestrebungen so gut sein sollen, vor allem weil sie ja offenbar viel mehr "vom Irrtum" befallen sind, als eben die Strategien in der EU...
Zur Zeit ist sie wieder mal in dieser Krise leider allzu sichtbar, unsere Igelposition.. traurig aber wahr, egal wenn es keine Likes gibt, es ist nun mal so...

2
/
0
T. G.
· editiert

Vielen Dank dafür. Überrascht bin ich keineswegs. Genau deshalb muss obligatorische staatliche Infrastruktur ja Quelltextoffen und möglichst dezentralisiert sein. [1]

Bei der Registrierung erhält man als medizinische Fachperson das Passwort erst nach Validierung des Medizin­diploms zugestellt.

Zugestellt. (Neben den im Beitrag diskutierten bestätigten Sicherheitsproblemen könnte das auch bedeuten, dass sie alle Passwörter im Klartext abspeichern.)

«Die beschriebenen Sicherheits­mängel waren uns bis gestern Sonntag nicht bekannt.»

Das glaube ich nicht, denn es kann nicht überall sein. Vielleicht war ihnen bei manchen Dingen einfach nicht bekannt, dass das Sicherheitsmängel sind.

[1] Alles was es dazu wirklich braucht sind digitale Signaturen: Der Staat unterschreibt, dass ein bestimmter Schlüssel jemandem gehört wer Impfbescheinigungen ausstellen kann und diese Personen unterschreiben dann, dass bestimmte andere Personen die Impfung erhalten haben. Es ist dann komplett unnötig, Gesundheits- oder Identitätsdaten auf einem Gerät zu speichern, das nicht der betroffenen Person gehört und das ist erst noch alles komplett kompatibel mit bequemen Lösungen für Leute, denen Datenschutz egal ist. (User könnten ja ihren Impfausweis sogar auch selbst in die Google Cloud speichern, es braucht dazu eigentlich keine Intermediäre.)

20
/
0

Der technische Teil ist der Triviale. Der funktioniert. Es sind immer die Prozess drum herum. Wie kommt man zu Identitätsdaten. Karte verloren. Umgezogen. Bevollmaechigungen... wie A. Z. in seinem Beitrag zeigte.

0
/
0
T. G.
· editiert

Vielleicht ist das eine Definitionsfrage, aber für mich so nicht trennbar. Die Prozesse sind der technische Teil, und einige davon werden maschinell automatisiert.

0
/
0
Kontakt
Republik AG
Sihlhallenstrasse 1
8004 Zürich
Schweiz
kontakt@republik.ch
Medieninformationen

seit 2018