Im Teil I des Beitrags habe ich die VIAVAC App an der Oberfläche durchleuchtet und das seltsame Geflecht zwischen Stiftungen, Verwaltungsräten, Firmen und staatlichen Institutionen versucht nachzuvollziehen. Auch wenn es für mich sehr interessant wäre, mehr über dieses Schweizer Impfdaten-Konglomerat zu erfahren (ich nenne das jetzt mal so 🙂 ) interessiert mich noch mehr die Frage, wie sicher denn meine Daten in den Händen von privaten Firmen und Stiftungen sein würden und ob all die Kosten und Bemühungen, die Impfdaten der Schweizer Bürgerinnen und Bürger zu sammeln nicht einem höheren Zweck dienen soll. Aus Selbstlosigkeit wurde der Aufwand sicher nicht betrieben, es existiert ein Sponsoring für den digitalen Impfpass.
Dennoch ist es für die Bürgerinnen und Bürger der Schweiz nicht einfach, auf Anhieb zu verstehen, wer ihre Daten bekommen wird, ob das Programm ein staatliches oder privates ist, welche Zusicherungen für den Schutz ihrer Daten existieren etc.. Fakt ist, die Daten liegen auf den Speichermedien einer privaten Gesellschaft.
Ich möchte mehr über dieses Programm erfahren. Und zwar aus fachlicher Sicht. Das erfordert jedoch, dass ich entweder entsprechende Kontakte innerhalb des Impfdaten-Konglomerats habe, oder mehr technische Einsicht mithilfe von entsprechenden Qualifikationen bekomme. Letzteres erscheint mir einfacher.
Kann ich die in Teil I des Beitrags erwähnte Datenbasis als Fachperson einsehen, wenn ich den Zugang als solche auf das Portal von Meineimpfungen habe? Es ist für mich als “normaler” Bürger nicht möglich den Einblick aus der Sicht einer Fachperson zu bekommen, es sei denn…..
Ich will als Bürger wissen, wie sicher meine Daten bei Meineimpfungen sind. Die Unsicherheit in unserem Leben wird nicht durch das Vorhandensein von Risiken gemessen. Ebenso ist Absolute Sicherheit auch nur dann gegeben, wenn es absolut möglich wäre, jegliche Risiken zu eliminieren. Da dies nicht möglich ist, betrachte ich die Verursachung eines Vorfalls durch die Kausalität, worin das Rütteln der Bindeglieder einer Sicherheitskette als Zerreisprobe sich für den Lückensucher als Positiv entpuppt. Letztlich ist die Kausalität ja die Beziehung zwischen Ursache und Wirkung.
Wenn ich den legitimen Zugang als Fachperson für mich herbeiführen will, muss ich die optimale Ursache hierfür generieren. Das bedeutet einfacher ausgedrückt. Ich muss das Personal von Meineimpfungen überzeugen, dass ich berechtigt bin, den Zugang als Fachperson zu erlangen.
Alles beginnt und Endet entlang des Standardprozesses zu Registrierung
Meineimpfungen bietet hierfür eine Registrierungsseite auf dem gleichnamigen Portal für Fachpersonen an. Dort kann man sich erst einmal bequem als Arzt etc. registrieren.
Dafür benötigt man neben den üblichen Angaben auch die eigene GLN Nummer. Das ist eine eindeutige Nummer für jede zugelassene Fachperson, welche unter dem Register einer weiteren Stiftungsseite, der “REFDATA” einsehbar ist.
Zitat von REFDATA:
“Als unabhängige Stiftung übernimmt die Refdata die kostengünstige, sozialverträgliche und
volkswirtschaftlich relevante Referenzierung von Produkten, Dienstleistungen, Personen und
Institutionen. “
Wichtig für den Versuch, sich bei Meineimpfungen als Fachperson registrieren zu lassen ist es, eine GLN Nummer einer Fachperson zu finden, die keine ärztliche Zulassung hat oder zumindest die Nutzung von Meineimpfungen von dieser Fachperson oder Fachstelle als unwahrscheinlich erscheint, damit eine Registrierung nicht mit einer bereits registrierten oder zukünftig zu registrierenden Fachperson kollidiert.
Abgesehen von der GLN Nummer, bildet ein weiteres Suchkriterium die Zugänglichkeit von Informationen über eine Fachperson, damit die Angaben möglichst genau sind. Dazu zählen Angaben wie Praxisname, Anschrift, Angaben zur Person, ein Logo und am besten noch ein Bild. Viele Fachpersonen sind im Internet samt ihrem Foto zu finden, da interessanter Weise Praxen auf ihren Webseiten oftmals das Team samt ihren Namen und Titel abbilden. Da später weitere Nachweise über eine gültige Zulassung notwendig sein würde, sind gerade Namen, dazugehörige Bilder und Logos sehr wichtig.
Nach der Auswahl der für eine Registrierung geeigneten Fachperson oder Fachstelle aus REFDATA, kann die “Fachperson”, welche sich auf Meineimpfungen registrieren und zukünftig die Plattform nutzen will, das entsprechende Anmeldeformular mit dessen GLN und Angaben zur Praxis/Adresse ausfüllen und das Anmeldeformular abschicken. Wichtig war es an dieser Stelle, dass ich keine Email angeben durfte, welches über einen direkten Weg auf mich zurückführbar sein würde. Also eine oft eingesetzte Email mit z.B. nachname@meinedomain.com ist eine schlechte Idee.
Innerhalb von 24 Stunden nach Registrierung bekommt man dann auch eine Antwort von Meineimpfungen.
Es ist also nach der ersten Registrierung auf Meineimpfungen völlig ausreichend, wenn man als Fachperson im Nachgang per Email noch einen Nachweis an Meineimpfungen sendet, welcher irgendwie beglaubigen soll, dass es sich bei der Person tatsächlich um eine medizinisch zugelassene Fachperson handelt. Das kann ein Arzt / eine Ärztin sein, oder jemand, der/die im Besitz einer HPC (Health Professional Card) ist. Da ich kein Diplom herzaubern kann, muss ich im Besitz einer HPC sein. Denn im Netz gibt es sicherlich entsprechende Beispiele, die man mit ein bisschen Geschickt in Photoshop oder Gimp auch entsprechend personalisieren kann. In der Schweiz ist ein HPC z.B. die FMH Karte Swiss Medical Association. (FMH = Foederatio Medicorum Helveticorum (lateinisch)). FMH führt das Verzeichnis verbundener Ärzte in der Schweiz und vergibt entsprechende FMH Ausweise an Fachpersonen. Als Berufsverband vertritt die FMH über 40’000 Mitglieder.
Es sollte also möglich sein, im Internet entsprechende Musterkarten als Bild- oder PDF-Datei ausfindig zu machen. Gesucht/gefunden, kann ich mich an die Arbeit machen und mir mit den bereits ermittelten Angaben zur Hauptperson einer ausgewählten Praxis, dessen Bild und GLN Nummer eine Karte präparieren. Schriftarten, Bildinformationen und übrige Angaben müssen so echt wie möglich aussehen. Die Angaben auf der Karte müssen mit den Angaben der Fachperson im Internet bzw. dessen Webseite im Einklang sein. Auch die GLN Nummer muss in diesem Dreieck (Karte-Webseite-Refdata) schlüssig sein, da bei einer Gegenprüfung diese Merkmale eineindeutig sein würden. Natürlich kann ich die im Anschluss präparierte Bilddatei der HPC nicht einfach an Meineimpfungen senden. Hierzu muss ich erst die Bilddatei (Die Karte) ausdrucken und mit etwas Handgeschick zurecht schneiden. Schliesslich soll ich ja die Karte einscannen und an Meineimpfungen schicken. Damit das ganze noch authentischer und “glaubwürdiger” aussieht, präpariere ich dann noch einen leeren Geschäftsbrief, in dem ich das Logo, die Anschrift usw. aus der Webseite der von mir ausgesuchten Fachperson nutze.
Ich drucke also meine mit einem Fotoprogramm präparierte Karte aus, schneide diese zurecht, drucke den präparierten Geschäftsbrief aus, füge beide zusammen und scanne das neue Dokument ein (in Schwarz/Weis! Farbig kann bei einer Person mit sehr gutem Kenntnis über diese Karten Verdacht generieren). Auch das bilderbuchmässige Einscannen von Dokumenten können Fragezeichen in den Köpfen auslösen. Es muss alles so aussehen, als ob man das täglich macht. Daher kann die eingescannte Karte auf dem Brief ruhig mal schief liegen oder nicht ganz zentriert. Eine freihändig ausgedachte Signatur auf dem Papier neben oder unterhalb der Karte rundet das ganze dann perfekt ab.
Wichtig ist, dass man beim Absenden der Email als Versender-Namen den Namen der Praxis nimmt. Die wenigsten Anwender überprüfen die Email bzw. die Domain und vergleichen diese mit dem Namen der Institution. Es ist üblich, gewerbliche genutzte Adressen mit einem allgemeinen Absendernamen zu versehen, falls die Adresse von mehreren Personen genutzt wird. Das erhöht zudem die Glaubwürdigkeit, dass es sich beim Absender tatsächlich um die Person oder die Stelle handelt, von der man nach der Registrierung eine Antwort/Nachweis erwartet.
Nach der Zustellung des Dokuments per Email, kommt dann auch bald die Antwort, und zwar wie erhofft, eine positive, so dass mir die Zugangsdaten für den Zugang als Fachperson auf Meineimpfungen.ch auch gleich mitgesendet wurden. Abgesehen davon, dass es sicherheitstechnisch ziemlich schwach ist, den Benutzernamen und das Passwort in einer einzigen Email zu versenden, ist es anhand der Email ersichtlich, dass diese maschinell bzw. automatisch versendet wurde, da die Absender-Email eine sogenannte No-Reply Adresse ist und in der Email weder ein Absendername noch eine Firmensignatur hinterlegt wurde.
In der Email ist es noch interessant zu lesen, dass die Daten nun doch für Auswertungszwecke genutzt werden sollen. Es heisst zwar “anonym”, doch das ist ein dehnbarer Begriff. Anonym in der Auswertung oder von einer anonymen Person ausgewertet? Wann sind denn persönliche Daten anonym und in welcher Güte? Wem sollen diese Auswertungen dienen? Der Pharma-Industrie etwa?
Fazit:
Um es kurz zu halten: Meineimpfungen.ch hat eine enorme Schwäche in ihren Validierungsprozessen hinsichtlich der Echtheitsüberprüfung bei der Zulassung von Fachpersonen auf meineimpfungen.ch. Abgesehen davon haben sie aufgrund des Versands der Zugangsdaten in einer einzigen Email technische und prozesstechnische Schwächen. Ebenso ist es unklar, wie die Prüfung von Antragstellern durchgeführt werden. Ich gehe davon aus, dass Meineimpfungen die angegebene Praxis nicht angerufen hat, um die Echtheit des Antrags zu überprüfen.
Es ist sehr einfach, das Personal von Meineimpfungen.ch mit etwas “Texten”, mit öffentlich zugänglichen Daten und nachgebauten Dokumenten zu täuschen. Dennoch könnte ein Angreifer mit diesem Zugang beispielsweise über Automatisierungstools die Datenbank von Meineimpfungen abfüllen um so die Statistiken zu fälschen oder versuchen an Patientendaten ranzukommen.