Im Januar deckte die ZTF Company- ein Team rund um Informationssicherheitsspezialist Sven Fassbender- gemeinsam mit SRF Investigativ gravierende technische und konzeptionelle Sicherheitslücken beim Organspenderegister der Stiftung Swisstransplant auf. Das Spenderegister wurde in der Folge offline genommen, der Eidgenössische Datenschutzbeauftragte EDÖB hat eine Untersuchung eingeleitet.
Wir haben in der Zwischenzeit weiter recherchiert.
- Rund 250-300 Personen wollten seit Januar 2022 wissen ob es Fake-Einträge gibt bei Swisstransplant.
- Die Datenbank der Stiftung bleibt trotz der Sicherheitslücken der Vergangenheit bestehen. Die Überprüfung und Validierung der Einträge erfolgt quasi”on demand”: durch die Spitäler und durch die Familie, die quasi die Authentizität des Eintrags bezeugen soll – im Fall einer konkreten Organspende.
- Die Stiftung setzt Google Analytics ein auf der Login-Site von Swisstransplant.
- Es ist ausserdem unklar ob der EDÖB-Bericht zu Versäumnissen der Stiftung bezüglich IT Sicherheit noch vor dem 15. Mai #abst2021 erscheinen wird (Transplantationsgesetz).
Datenauskunft: Nur ID-Bild und paar persönliche Angaben
Eines muss man der Stiftung Swisstransplant lassen: Im Gegensatz zu meineimpfungen.ch reagieren die SpezialistInnen zu Organspende sehr schnell auf “normale” Auskünfte. Die Email von interessierten Personen, die eine Datenauskunft verlangt haben, wurde innert weniger Stunden bearbeitet und ausgefüllt.
Wir erinnern uns: Die Firma ZTF und das SRF Investigativ Team haben im Januar 2022 schwerwiegende Sicherheitsmängel beim digitalen Registrierungsprozess ausfindig machen können. Zum einen liessen sich Einträge leicht fälschen im Namen einer anderen Person (mittels eines einfachen Fotos, persönlichen Angaben und Fake-Emailadresse). Zum Anderen konnten Hacker aufgrund ungenügender serverseitigen Validierung von Pfadangaben direkt auf Anwendungsserver von Swisstransplant zugreifen und damit sensible Dateien wie Logdateien zu personenbezogenen Daten von Spendewilligen abrufen.
Die von uns befragten Personen, die eine Anfrage gemacht haben, konnten aufatmen. Kein böswilliger Akteur hat sie als Organspenderinnen verdeckt eingetragen: Obwohl es theoretisch machbar gewesen wäre, wie das Team rund um Sven Fassbender herausgefunden hat.
Da die Abklärungen zur Validität der Datenbank (missbräuchliche Einträge von Drittpersonen) noch laufen durch den EDÖB, gibt es für Neugierige einen anderen Weg herauszufinden ob man fälschlicherweise als Organspenderin registriert ist: durch eine simple Datenauskunft. (Falls ihr das selber auch rausfinden wollt: frontdesk@swisstransplant.org )
DNIP hat mit einer Reihe von Testpersonen dieses Vorhaben gestartet. Interessant dabei: Für eine Auskunft reichte offenbar eine Ausweiskopie (Smartphone-Foto von Ausweis) und die Angabe von Namen, Vornamen, Geburtsdatum und Heimatort.
Doch ist das sicher genug?
Fassbender, der den Datensicherheitsskandal aufdeckte, verweist auf die Stiftung meineimpfungen.ch, die nach der Enthüllung um ähnliche Sicherheitlücken von allen Betroffenen notariell beglaubigte Dokumente für Auskunfts- und Löschbegehren verlangte. Aus IT Security-Sicht also ein klares: Nein, das ist nicht sicher genug.
Für den EDÖB hingegen ist die Frage des Identitätsnachweises eine Abwägung zwischen Benutzerfreundlichkeit und Verhinderung von Identitätsfälschung. Hierzu sagt Daniel Dzamko folgendes:
“Die Überprüfung der Identität dient dem Zweck, keine Auskunft an die falsche Person zu erteilen, soll aber gleichzeitig auch keine zu hohen Hürden für die Ausübung des Rechts schaffen.
Im Laufe der aktuellen Untersuchung werden wir sämtliche Aspekte, auch jene betreffend den Nachweis der Identität, prüfen. Dabei werden wir uns auch an den geltenden Anforderungen zur Identifikation bei vergleichbar sensiblen Daten orientieren.
In der Zwischenzeit erachten wir eine Lösung mittels Ausweiskopie als vertretbar, zumal für uns keine Umstände ersichtlich sind, die auf ein besonderes Missbrauchspotential hinweisen.”
Daniel Dzamko, Leiter Direktionsbereich Datenschutz EDÖB
Für den eidgenössischen Datenschutzbeauftragten genügt es also.
Ohnehin hat nur eine Minderheit von ihrem Auskunftsrecht Gebrauch gemacht: Nur rund 250-300 Personen wollten von der Stiftung wissen, welche Daten über sie gespeichert worden sind und ob allenfalls eine Betrügerin mit krimineller Energie in ihrem Namen einen Fake-Eintrag gemacht hatte, gemäss Swisstransplant-Direktor Franz Immer.
31 % der rund 132’170 Einträge beim Organspenderegister seien digital erstellt worden. Das bedeutet: 41’449 Einträge bei Swisstransplant wurden digital über den unsicheren Registrierungsprozess erstellt. Ob sie von der jeweiligen Person kreiert worden sind, ist also unbekannt.
Werden nun alle 41449 Einträge auf Authentizität und Echtheit überprüft? Nein.
BAG geht auf Distanz zur Stiftung
Das Swisstransplant-Register bleibt bestehen, wie Recherchen von DNIP zeigen. Statt der Überprüfung der gesamten Datenbank werden die Einträge quasi “on demand” also im Fall einer potenziellen Organentnahme durch die Spitäler plausibilisiert. Eine umfassende Verifikation aller Einträge durch die Stiftung soll nicht geschehen.
Die SGK des Ständerats (Kommission für soziale Sicherheit und Gesundheit) hatte sich im Nachgang der SRF-Enthüllung mit der Causa Swisstransplant beschäftigt. Dabei habe sich die Kommission vom BAG versichern lassen “dass die Gesundheitsbehörden von Bund und Kantonen die nötigen Massnahmen getroffen haben, damit es aufgrund von fehlerhaften Einträgen im Spendenregister nicht zu ungewollten Organentnahmen kommen kann“, wie Adrian Lobsiger vom EDÖB bestätigte. Der EDÖB und auch die Stiftung wurden in der Kommission ebenfalls angehört.
Das BAG betont auf Anfrage von DNIP trotz der Zusammenarbeit wie schon bei meineimpfungen.ch grösstmögliche Distanz zur Stiftung. BAG-Sprecher Grégoire Gogniat sagt dass es sich bei Swisstransplant um ein privat geführtes Spenderregister handle. Das Organzuteilungssystem SOAS – indem alle medizinischen Daten zu SpenderInnen und EmpfängerInnen sowie die Zuteilung der Spenden festgehalten werden – habe nix damit zu tun. Es gebe keine Verknüpfungen und damit auch keinen Datenaustausch.
“Beim privat von Swisstransplant geführten Organspenderegister handelt es sich um ein Register, in welches Personen freiwillig ihre Spendebereitschaft im Falle des Todes eintragen können. Dieses Register hat nichts mit SOAS zu tun, welches der Zuteilung der Organe dient und vom Bund geführt wird. Auch besteht keine Schnittstelle/Verknüpfung der Daten der beiden Register; sie dienen einem anderen Zweck.”
BAG-Sprecher Grégoire Gogniat
Das stimmt: Im Organspenderegister ist lediglich der Spendewillen oder “Consent zur Spende” festgehalten. Bei einem/r potenziellen Spender, Spenderin müssen drei Kriterien erfüllt sein: 1.) hirntot, 2.) keine Kontraindikationen, 3.) Consent zur Spende. Genau diese Willensbekundung lässt sich über das Organspenderegister von Swisstransplant eruieren (oder über das analoge Pendant, die Organspendekarte oder über die Angehörigen). In der SOAS-Datenbank werden alle medizinischen Daten eingetragen zur Spenderin, was am Schluss massgebend ist für die Entscheidung zur Organentnahme.
Die Stiftung wird also nicht vom EDÖB gezwungen, profund über die Bücher zu gehen. Daher werden alle Registereinträge als gültig gehandhabt, sofern nicht das Gegenteil bewiesen werden kann.
Die Verantwortung über Organentnahmen liegt am Schluss bei den Spitälern. “Die Abfrage des Registers erfolgt durch das behandelnde Team auf der Intensivstation, wenn feststeht, dass der Hirntod eintreten wird, bzw. eine Therapieumstellung erfolgt aufgrund aussichtsloser Prognose.” sagt Franz Immer. Die Spitäler müssen sich im Endeffekt mit den umstrittenen Datenbankeinträgen von Swisstransplant beschäftigten und diese Willensbekundungen auf Wahrheitsgehalt überprüfen. So soll verhindert werden dass es zu ungewollten Organentnahmen kommt.
“Das BAG hat zusammen mit den Kantonen die Entnahmespitäler darauf hingewiesen, dass die Prüfung des Spendewillens weiterhin mit grösster Sorgfalt geschehen muss und ein allfälliger Auszug aus dem Spenderegister genau überprüft werden muss.”
BAG-Sprecher Grégoire Gogniat
Doch was genau wird unternommen um die Authentizität und Validität des Eintrags einer vermeintlichen Spendewilligen sicherzustellen?
Bei einer Person, die sich beim Organspenderegister mutmasslich eingetragen hat, werden den Angehörigen Angaben zum Registereintrag, Emailadresse angezeigt und den Eintrag mit weiteren Informationen plausibilisiert.
Der Ablauf funktioniert folgendermassen:
Kommt es bei einer Abfrage zu einem «Treffer» im Register, so wird das Dokument passwortgeschützt dem behandelnden Team auf der Intensivstation zugestellt. Parallel dazu wird ein um 48 Stunden verzögertes Mail ausgelöst, welches an die angegeben e-Mailadresse verschickt wird mit der Information, dass der Registereintrag abgerufen wurde, wann und durch wen. Der Entscheid wird im Spital ausgedruckt und der Familie ausgehändigt. Diese überprüft das Dokument auf Korrektheit (Angaben, Mailadresse, Photo, Unterschrift, eventuell Kommentarfeld). Neu wird in diesem Prozess ein offizielles Ausweisdokument des Verstorbenen beigezogen, geprüft durch Angehörige und behandelndes Team und in der Krankengeschichte abgelegt.
Swisstransplant-Direktor Franz Immer
Bei Zweifeln zur “Echtheit” eines Organspendeeintrags liegt also ziemlich viel Verantwortung bei den Angehörigen (und auch bei den Spitälern). Diese bestimmen also gemäss ihrer Kenntnissen der verstorbenen Person über ein höchst sensibles Thema. Sie müssen auch wissen oder erkennen, ob jene Person tatsächlich über eine solche Email verfügte… was relativ anspruchsvoll ist.
Die Stiftung habe ausserdem weitere Massnahmen zur Überprüfung der Datenwahrheit unternommen, doch hier will sich der EDÖB nicht in die Karten schauen lassen.
“Die Stiftung hat während unseres hängigen Aufsichtsverfahrens diverse Vorkehrungen getroffen, die Wahrheit der im Register vorhandenen Daten zu verbessern. Wir werden die Ergebnisse in unserem Bericht aufzeigen.”
EDÖB-Beauftragte Adrian Lobsiger
Allfällige Versäumnisse der Stiftung und eingeleitete Massnahmen arbeitet derzeit der EDÖB auf. Es ist unklar wann der Report des EDÖB, der eine Sachverhaltsabklärung gemäss Artikel 29 DSG durchgeführt hat, veröffentlicht wird. Fakt ist: wir stimmen bald über das Thema Transplantation (Widerspruchslösung) ab und zwar am 15 Mai. Der Bericht des EDÖB hätte sicherlich Relevanz für den Meinungsbildungsprozess, da hier das wichtige Thema “Willensbekundung” angesprochen wird. (und ein aktiver Widerspruch zumindest für echte und authentische Einträge sorgen würde)
Der Bericht wird auf jeden Fall bestimmt einige interessante Insights enthalten. Denn die Stiftung muss ja noch beweisen dass eine Hackerin zu keinem Zeitpunkt Personendaten einsehen oder bearbeiten konnte, wie sie auf ihrer Website schreibt. Ausserdem dauert die Gestaltung eines sicheren UND benutzerfreundlichen Registrierungsprozesses länger als gedacht, denn es ist seit der SRF-Medienenthüllung nicht mehr möglich, seine Spendebereitschaft mittels eines neuen Eintrags digital kundzutun.
Neben dem mulmigen Gefühl (über mutmassliche Fake-Einträge für Organspenden) bleibt noch ein weiterer fahler Nebengeschmack: Die Stiftung setzt “Google Analytics“-Tracker bei der Eingabemaske zum Organspenderegister ein. Personen, die sich nun auf einloggen möchten, verraten ungewollt dem Tech-Konzern ihren Spendewillen oder dass sie als Spenderin eingetragen sind. Auch das nicht gerade sehr vertrauensfördernd.
Immerhin: Wer sich in Zukunft digital im Organspenderegister- wenn es denn wieder aufgeschaltet wird- seinen Spendewillen festhalten möchte, sollte künftig einen sichereren Registrierungsprozess vorfinden.
“Das Register wird aktuell überarbeitet. Geplant ist die Integration eines FINMA-konformen Identifikationsprozess, welches die Aufnahmen vom Gesicht (frontal und zwei Mal seitlich) mit der ID abgleicht und validiert. Dieser Prozess wird aktuell durch das EDÖB überprüft, ob diese Anpassung dem geforderten Datenschutzstandard entspricht.”
Swisstransplant-Direktor Franz Immer
