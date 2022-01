Schutz von Gesundheitsdaten – Politischer Super-GAU beim Register für Organspenden Eine Woche nach Entdeckung einer gravierenden Sicherheitslücke ist das nationale Organspenderegister bereits wieder online. Der eidgenössische Datenschützer kritisiert. Markus Häfliger Alan Cassidy

Transport einer gespendeten Niere im Universitätsspital in Lausanne. In der Schweiz warten rund 1500 Menschen auf eine Organspende. Foto: Keystone

Die Schweiz, ein Eldorado für Gesundheitsdaten-Hacker.

Zum zweiten Mal innert zehn Monaten treten bei einer Datenbank gravierende Sicherheitslücken zutage. Im März 2021 war das elektronische Impfbüchlein Meineimpfungen.ch betroffen (lesen Sie hier mehr darüber), jetzt das Organspenderegister der Stiftung Swisstransplant.

Auf der Website von Swisstransplant ist es möglich, eine x-beliebige Drittperson als Organspender zu registrieren. Das heisst: Falls diese Person im Spital stürbe, würde ihre Ärztin im Register eine gefälschte Zustimmung zur Organspende vorfinden. Zudem konnten Hacker auf gewisse Daten zugreifen. Entdeckt hat dies Sven Fassbender von der IT-Sicherheitsfirma ZFT – derselbe Fachmann, der schon das Problem bei Meineimpfungen.ch aufgedeckt hatte. Publik gemacht wurde das neue Problem von der SRF-Sendung «Kassensturz».

Register wieder online – ohne Änderung

Nachdem SRF Swisstransplant am 11. Januar mit diesen Erkenntnissen konfrontierte, nahm die Stiftung das Register innert weniger Stunden vom Netz. Doch seit dem 18. Januar ist es wieder online – vorerst ohne Anpassungen, wie Direktor Franz Immer bestätigt. Nur wenn das Register operativ sei, könnten die Spitäler Organspender überhaupt als solche erkennen. Derzeit sind über 130’000 Entscheide registriert – 1457 Personen warten auf eine Organspende.

Das Ziel sei jedoch, den Registrierungsprozess möglichst rasch sicherer zu machen, sagt Immer. Voraussichtlich müssen Registrierwillige künftig einen amtlichen Ausweis hochladen. «Wir hätten eine solche Manipulation nie erwartet, werden unser System nun aber anpassen», sagt Immer.

Trotzdem: Mit dem Entscheid, das Spendenregister ohne Änderungen wieder aufzuschalten, setzte sich Swisstransplant über die Bedenken des Eidgenössischen Datenschutzbeauftragten (Edöb) hinweg. Amtsleiter Adrian Lobsiger bestätigt, dass er Swisstransplant noch vor der erneuten Aufschaltung darauf hingewiesen habe, dass die im Register erfassten Angaben «als besonders schützenswerte Personendaten» gelten.

Die Registrierung geht leicht – zu leicht: IT-Fachleute haben auf der Website der Stiftung Swisstransplant Lücken bei der Registrierung dokumentiert. Foto: Markus Häfliger

Man habe der Stiftung deshalb «nahegelegt, den Online-Anmeldeprozess anzupassen und in jedem Fall eine Ausweiskopie zu verlangen», schreibt Lobsiger. Und er kritisiert: «Angesichts der unveränderten Wiederaufschaltung der Online-Registrierung sind unsere Bedenken nicht ausgeräumt. Der Edöb wirkt darauf hin, dass Neuregistrierungen blockiert oder zumindest im System markiert werden.»

Direktor Immer sagt: Seit der SRF-Sendung hab Swisstransplant über 400 neue Anmeldungen erhalten, darunter auch offensichtlich gefälschte. Bis die Situation technisch und durch den Edöb geklärt sei, würden keine Einträge mehr validiert. Die neu angemeldeten Personen müssten ihre Anmeldung per Unterschrift und Vorlage eines Ausweises bestätigen. Zudem hat Immer die Spitäler angewiesen, Willenserklärungen von registrierten Organspendern im Ernstfall mit einem Ausweisdokument und mithilfe ihrer Angehörigen zusätzlich zu überprüfen.

Können Hacker Daten einsehen?

Der Registrierungsprozess ist nicht das einzige Problem. Im Raum steht auch der Vorwurf, dass Unberechtigte auf gespeicherte Daten zugreifen könnten. Franz Immer dementiert dies. «Der Name, die Willensäusserung oder andere Personendaten von Spenderinnen und Spendern waren zu keinem Zeitpunkt einsehbar.» Das habe die Firma Begasoft bestätigt, die das Spenderregister im Auftrag von Swisstransplant betreibt. Einzig gewisse Systemdateien und anonymisierte Daten seien zugänglich gewesen. «Diese Sicherheitslücke wurde umgehend geschlossen.»

IT-Experte Fassbender widerspricht. «Durch die Ausnutzung der Schwachstelle in der Swisstransplant-Website war ein Angreifer in der Lage, sensible Dateien des Anwendungsservers wie Logdateien mit personenbezogenen Daten der eintragungswilligen Personen einzusehen.» Ob und wie weit auch die Fichen der Spendewilligen einsehbar waren, sagt Fassbender nicht. «Damit man Daten nicht verlieren kann, ist die beste Vorsorge, diese erst gar nicht zu haben.»

Swisstransplant ist der Ansicht, dass die gefälschte Registrierung durch Fassbender strafbar sein könnte. «Rechtliche Schritte wurden diskutiert, sind aber im Moment für die Stiftung kein Thema», sagt Immer.

Ein Vorfall zum heikelsten Zeitpunkt

Der Vorfall kommt zu einem politisch heiklen Zeitpunkt. Vor wenigen Tagen kam das Referendum gegen die sogenannte Widerspruchslösung zustande, die vom Parlament beschlossen wurde. Sie sieht vor, dass sich künftig in ein Register eintragen muss, wer seine Organe nicht spenden will. Dagegen wehrt sich ein Komitee von Fachleuten aus Medizin und Wissenschaft.

Alex Frei, Sprecher des Komitees, sieht sich durch die Vorgänge bestätigt: «Transparenz und Persönlichkeitsschutz werden von Swisstransplant vernachlässigt.» Frei stört sich schon lange daran, dass die Stiftung unzureichend darüber informiere, was eine Organspende konkret bedeute. Der leichtfertige Umgang mit dem Register passe in dieses Bild: «Es drängt sich der Eindruck auf, dass der Zweck die Mittel heiligt. Und der Zweck heisst: möglichst viele Organspenden.»

Der Bund hat mit dem Spenderregister nichts zu tun. Anders sieht es aus, wenn das Volk im Mai 2022 der Widerspruchslösung zustimmt. In diesem Fall würde Swisstransplant im Auftrag des Bundes eine neue Datenbank führen, in welchem Menschen ihren Widerspruch zur Organspende dokumentieren könnten.

Markus Häfliger ist Bundeshausredaktor und Reporter bei der Seite Drei. Er beobachtet die Bundespolitik und ihre Akteurinnen und Akteure seit rund zwanzig Jahren. Mehr Infos @M_Haefliger Alan Cassidy ist Autor im Inlandressort. Während der Trump-Präsidentschaft berichtete er als Korrespondent aus den USA. Er ist Co-Autor eines Buchs über die FDP und deren Rolle in der Schweizer Parteienlandschaft. Mehr Infos @A_Cassidy

