Sicherheitslücken - Neue Dokumente zeigen: Kantone wehrten sich von Anfang an gegen MeineImpfungen.ch

Der Skandal ist eigentlich fast schon vergessen: Es geht um das krachende Scheitern der privaten Webseite «MeineImpfungen.ch» zu Beginn des Jahres 2021. Sie wollte ursprünglich eine Art digitales «Impfbüechli» anbieten, ja sogar bei der Planung der Covid-Impfkampagne zum Zug kommen. Die Idee dahinter war: Wer sich impfen lässt, kriegt dort einen Eintrag im «myCOVIDvac»-System, aus dem später ein QR-Code hätte generiert werden können.

Es hätte also ein Vorreiter des Covid-Zertifikats werden sollen. Doch wie wir mittlerweile alle wissen, war «MeineImpfungen» alles andere als technisch gut geschützt: Recherchen von IT-Experten, die von der «Republik» im April 2021 publik gemacht wurden, zeigten gravierende Sicherheitslücken auf. Das Projekt um das digitale «Impfbüechli» ist seither Geschichte, die Stiftung dahinter pleite. Und die Öffentlichkeit? Die fragt sich bis heute: Wie konnte es dazu kommen?

watson verlangte relativ früh, als sich der Skandal langsam abzeichnete, Einsicht in die komplette Konversation zwischen dem Bundesamt für Gesundheit (BAG) und der Stiftung «MeineImpfungen.ch». Nach mehreren Monaten Wartezeit gab das BAG nun diese Dokumente in Form eines über 450 Seiten langen Archivs frei. watson veröffentlichte diesen Datenschatz vergangenen Freitag.

Die Seiten waren zum Teil massiv geschwärzt und anonymisiert. Einige Stellen in den Dokumenten ermöglichen trotzdem wichtige neue Erkenntnisse, die für die Aufarbeitung der Skandals wichtig sind.

Erste Warnung sechs Tage nach Vertragsabschluss

Eines der wichtigsten Mails wurde am 28. Dezember 2020 um 18:48 Uhr verschickt. Der Absender war Recherchen zufolge ein IT-Experte, der als «Kantonsvertreter» im ganzen Aufbauprojekt fungiert hatte, der Adressat: Kaderleute beim BAG. Darin schreibt der IT-Experte:

«Als Kantonsvertreter fühle ich mich mit dem Einsatz der vom BAG vorgeschlagenen Lösungen etwas unwohl!»

Das Mail wurde sechs Tage nach dem offiziellen Vertragsabschluss zwischen dem BAG und «MeineImpfungen.ch» verschickt. Der Vertreter äussert darin einerseits Kritik am Beschaffungsverfahren – sprich: an der Art und Weise, wieso sich der Bund überhaupt für das Projekt der Stiftung entschieden hatte, andererseits nennt er auch Datenschutzbedenken:

«Bis heute haben wir keine Antwort auf die Forderung erhalten, was Evaluationskriterien für die Lösungen ███ und meineImpfungen waren. Auf die Stellungnahme unseres Datenschutzbeauftragten haben wir keine Antworten erhalten.»

Er kritisiert, dass die Kantone einen «unzureichenden Vertrag» erhalten hätten. Und schimpft dann über das, was früh die öffentliche Kritik gegen «MeineImpfungen.ch» war: «Meine Impfungen ist auf Stand 2011 stehen geblieben.» Und: «Bereits werden Fragen an uns gestellt, weshalb Impfdaten an eine Stiftung ausgelagert werden sollen, welche von Pharmafirmen unterstützt wird.»

«Bereits werden Fragen an uns gestellt, weshalb Impfdaten an eine Stiftung ausgelagert werden sollen, welche von Pharmafirmen unterstützt wird.»

Er kündigt an, dass sich sein Kanton gegen das Projekt verwehren wird, solange die Fragen nicht beantwortet werden und bewertet die Intransparenz diplomatisch als «höchst bemerkenswert». Wer das Mail verschickt hatte, ist unklar. Was für weitere Punkte kritisiert wurden, wurde durch das BAG ebenfalls geschwärzt.

Warnungen kamen nicht nur von den Kantonen. Am 10. Januar 2020, es war ein Sonntagabend um 22:15 Uhr, schrieb BAG-Kader S. eine Mail an die Stiftung, in der er sich einleitend für seine Worte entschuldigt.

Er bittet darin die Stiftung, doch bitte auf der Webseite «MeineImpfungen.ch» dahingehend zu überarbeiten, dass Detailinformationen zu Datenschutz, Pharmafinanzierung oder der veralteten Technik hinzugefügt werden. Der BAG-Kader erwähnt dabei auch folgendes:

Unwahrheiten bezüglich Projektstart

Die offizielle Erzählung besagte bislang, dass das BAG erst am 22. Dezember 2020 der Stiftung «MeineImpfungen.ch» den definitiven Auftrag in der Höhe von 450'000 Franken erteilt hatte, um ein System für den digitalen Impfnachweis aufzubauen. Davor habe die Stiftung auf «eigenes Risiko» gewirtschaftet.

Der Zuschlag kam für den Auftrag am 22.12.2020, die Stiftung scheint aber bereits Ende September gewusst zu haben, dass man das Modul myCOVIDvac erstellen wird. Welche Absprachen gab es zwischen dem BAG und der Stiftung in der Zeit vor dem Zuschlag?

Der Zuschlag wurde am 22. Dezember auf SIMAP veröffentlicht. Für die finale Vergabe waren jedoch die Impfstrategie und Impfempfehlungen massgebend. Diese lagen erst Mitte Dezember vor. Tatsächlich haben die entsprechenden Firmen auf eigenes Risiko bereits viel früher mit der Implementierung der Tools begonnen.

Auf «eigenes Risiko» bedeutet: Das BAG plante bereits mehrere Wochen zuvor, die Impfkampagne des Bundes dereinst mit «MeineImpfungen.ch» und einem weiteren Dienstleister zwecks Impftermin-Planung durchzuführen. Wann der genaue Startschuss fiel, bleibt bis heute zwar unklar. Anhand der Dokumente lässt sich nun aber aufzeigen, dass Vorarbeiten zwischen BAG, «MeineImpfungen.ch» und «oneDoc» bereits vor Dezember 2020 stattfanden – lange bevor Ende 2020 definitiv die Auftragssumme von 450'000 Franken gesprochen wurden.

Das wussten auch die Kantone, die den Dokumenten zufolge Mitte Dezember die ersten Offerten für «MeineImpfungen.ch» und «OneDoc» erhielten.

Die Kantone waren damit früh im Bild, einige von ihnen zeigten sich früh skeptisch. Einige wenige blieben – rückblickend gesehen – zurecht stur und lehnten eine Zusammenarbeit mit der Stiftung ab.

Impfnachweise hätten 2024 staatlich werden sollen

Das BAG zeigte eine widersprüchliche Haltung in der Frage, wie nahe man mit der Stiftung zusammenarbeitete. So war etwa Virginie Masserey, Leiterin Sektion Infektionskontrolle, im Frühjahr 2021 Mitglied des Stiftungsrates von «MeineImpfungen.ch». Ihrer Aussage nach sei ihre Rolle dort nur jene einer «Expertin» gewesen. Später distanzierte sich das BAG zunehmend von der Stiftung und tat so, als ob es dem Bund egal sein darf, was eine private Stiftung so treibt.

Diese Hin-und-Her-Haltung zeigte sich auch beim Streit um das offizielle BAG-Logo, das mehrere Tage lang andauerte. Im Januar 2021 gab ein hochrangiger Bundesamts-Kadermitglied der Stiftung das grüne Licht, dass das offizielle BAG-Logo auf der Webseite «MeineImpfungen.ch» erscheint.

Mit aufkommender öffentlicher Kritik erlosch das grüne Licht: Der Bund drängte nach Prüfung der BAG-Juristinnen und -Juristen zunehmend daraufhin, dass nirgendwo mehr das amtliche Logo erscheint. Was dem verantwortlichen Kadermann offensichtlich missfiel: Ende Januar mailte er an die Stiftung: «(…) die Sache mit dem BAG-Logo könnte ev. bald von uns nicht mehr erlaubt sein, die Diskussion kennst du ja inzwischen.»

Auf praktischer Ebene blieb der Ton kollegial, auch nachdem die Juristinnen und Juristen des Bundes die Reissleine zogen. Dieses Klima änderte sich lange nicht, auch nicht, als weitere Medien kritisch über «MeineImpfungen» berichtet hatten und erste Datenschutzprobleme publik wurden. Das Selbstbewusstsein bei der Stiftung war dermassen gross, dass man in einem Mail Anfang März schon weiterdachte: Sobald das Epidemiengesetz im Jahr 2024 revidiert wird, wolle die Stiftung «MeineImpfungen.ch» die elektronischen Impfbüechli an das BAG überreichen.

Eine Vision, die weniger als drei Wochen mit der Publikation der gravierenden Sicherheitslücken obsolet wurde.

Mehr zum Thema

Datenleck

Meineimpfungen: Datenschützer ortet «schwerwiegende Mängel»

10.09.2021

Datenleck

Digitales Impfbüchlein wird geschlossen: meineimpfungen.ch in Liquidation

Michael Graber 24.08.2021