In Fortsetzung unserer Sicherheitsbetrachtung gesellschaftsrelevanter digitaler Infrastrukturen haben Sven Faßbender, Martin Tschirsich sowie Dr. André Zilch das Schweizer Organspenderegister «Swisstransplant» auf die Erreichung wichtiger Sicherheitsziele überprüft. Hierbei sind kritische prozessuale sowie ein schwerwiegender technischer Mangel zutage getreten. Mit vielen Parallelen zu unserer vorausgegangenen Untersuchung des schweizerischen digitalen Impfbüechli «meineimpfungen.ch» reiht sich das Organspenderegister ein in eine Reihe vermeidbaren Sicherheitsversagens.
Über «Swisstransplant»
Das aus dem Internet zugängliche nationale Organspenderegister der Stiftung «Schweizerische Nationale Stiftung für Organspende und Transplantation» dient der Erfassung von persönlichen Entscheiden für oder gegen die Organspende.
Damit in der Schweiz Organe sowie Gewebe zur Spende oder zu Forschungszwecken entnommen werden dürfen, muss ein positiver Entscheid (Opt-In) des Betroffenen vorliegen.
Neben der Patientenverfügung oder dem physischen Organspendeausweis soll das Organspenderegister eine digitale Möglichkeit darstellen, einen solchen Entscheid zu dokumentieren.
Die Herausforderung
Eine der grossen Herausforderungen bei der Gestaltung digitaler Prozesse ist die Identifizierung von Beteiligten.
Häufig ist deren Identität von untergeordneter Bedeutung: Eine Überprüfung der von den Beteiligten selbst behaupteten Identitätsattribute wie Name und Alter ist nicht notwendig, da die möglichen Schadensauswirkungen marginal sind
Ist bei einfachen Kundenprozessen mit niedrigem Schutzbedarf eine Überprüfung der Identitätsattribute wie Name, Alter und Adresse nicht notwendig, da die möglichen Schadensauswirkungen klein sind, so gelten demgegenüber für das nationale Organspenderegster viel strengere Anforderungen.
Hier muss sich das Entnahmespital auf die Echtheit der im Organspendeentscheid behaupteten Identität des potenziellen Spenders verlassen können.
Ebenso hohe Herausforderungen sind mit dem Thema Willenserklärung verbunden. Der Entscheid im Organspenderegister stellt eine solche Erklärung dar.
Gerade für die Übertragung in die elektronische Welt einer auf Papier bekundeten und unterschriebenen Willenserklärung sind sowohl an den Ablauf als auch an die technische Durchführung hohe Anforderungen geknüpft.
Nur bei deren vollständiger Erfüllung ist die rechtliche Wirksamkeit der Willenserklärung gegeben und damit die zweifelsfreie Umsetzung des Organspendewillens möglich.
Das häufig vernachlässigte Schutzziel der Authentizität von Daten ist demnach beim Organspenderegister gegenüber der sonst bei Anwendungen im Gesundheitswesen vornehmlich betrachteten Vertraulichkeit von überragender Bedeutung.
Was ist passiert
Bereits eine kursorische Untersuchung des Registers hat kritische Sicherheitsmängel aufgedeckt. In unserem Report wird nur auf Mängel mit hohem Risiko eingegangen, darunter insbesondere
- der mangelhafte Registrierungs- und Einwilligungsprozess,
- der ungenügende Authentisierungsmechanismus sowie,
- eine unzureichende Prüfung der Eingabeparameter.
Die Auswirkungen der identifizierten Mängel sind ein vollständiger Verlust der Vertraulichkeit, Authentizität und Integrität der im Organspenderegister erfassten Daten. Insbesondere ist nicht nachweisbar, wer welche Entscheide im Organspenderegister verfasst hat. Entscheide konnten mühelos und ohne Entdeckungsrisiko im Namen Dritter abgegeben werden.
Der vollständige Mängelbericht kann hier heruntergeladen werden: Download Report_Swisstransplant_v1.1.pdf
Coordinated Disclosure
Im Umgang mit den identifizierten Mängeln galt es zuvorderst, Betroffene keinen zusätzlichen Risiken auszusetzen. Betroffene sind insbesondere Patienten auf der Warteliste. Diese sind besonders darauf angewiesen, dass den Spitälern wirksame Entscheide potenzieller Spender vorliegen.
Diese Patienten sind durch eine von «Swisstransplant» verursachte Unwirksamkeit der im Organspenderegister hinterlegten Entscheide aufgrund der oben beschriebenen Mängel am stärksten betroffen.
Daher war es uns wichtig, vertraulich medizinische, ethische und rechtliche Expertise hinzuzuziehen und unsere Befunde unabhängig bestätigen zu lassen. In diesem Prozess war «SRF Investigativ» beteiligt.
Anschliessend haben wir die Befunde mit «Swisstransplant» koordiniert veröffentlicht.
Das gemeinsame Ziel der hiesigen und vorausgegangener Veröffentlichungen zu «Swisstransplant» sowie «meineimpfungen.ch» ist es, die zugrunde liegenden systematischen Fehler aufzudecken und Betreiber gesellschaftsrelevanter digitaler Infrastrukturen für einen angemessenen Umgang mit den Anforderungen der Informationssicherheit zu sensibilisieren.
Die identifizierten Mängel wurden am 11.01.2022 der Stiftung, dem Bundesamt für Gesundheit (BAG), dem Eidgenössischen Datenschutzbeauftragten (EDÖB) sowie dem Nationalen Zentrum für Cybersicherheit (NCSC) in einem Coordinated-Disclosure-Verfahren mitgeteilt. Eine Veröffentlichung unsererseits erfolgte in Abstimmung mit dem Betreiber.
Der vorliegende Report diente als Basis für Veröffentlichungen in der SRF-Fernsehsendung «Kassensturz» vom 18.01.2022.
Ausblick
Wir empfehlen, die im Report gelisteten Massnahmen umzusetzen, die betroffenen Personen zu informieren sowie ein belastbares Sicherheitskonzept für das Organspenderegister zu erstellen und anzuwenden.
Insbesondere muss die Abgabe eines Entscheides auf dem für eine wirksame Willenserklärung für oder gegen die Organspende notwendigen hohen Vertrauensniveau der eintragungswilligen Person zuordenbar sein. Deren Identität muss zudem dauerhaft überprüfbar an den Eintrag gebunden sein.
Referenzen
Disclosure Timeline
| Datum | Beschreibung |
|---|---|
| 11.01.2022 | Mitteilung an Swisstransplant, EDÖB, BAG und NCSC |
| 13.01.2022 | Das Register wurde laut Swisstransplant geschlossen |
| 13.01.2022 | Stellungnahme der Swisstransplant |
| 18.01.2022 | Wiederinbetriebnahme des Registers durch Swisstransplant |
| 18.01.2022 | Abschliessende Stellungnahme und Veröffentlichung durch Swisstransplant |
| 18.01.2022 | Veröffentlichung unseres Berichts |