Zum Inhalt springen

Swisstransplant Enorme Sicherheitsmängel im Organspende-Register

Im Nationalen Organspende-Register ist es möglich, jede Person ohne ihr Wissen zur Organspenderin zu machen. Das zeigen Recherchen von SRF Investigativ.

Seit gut drei Jahren gibt es eine Alternative zum Organspende-Ausweis aus Papier: Das Nationale Organspende-Register. Jede Person ab 16 Jahren kann sich online eintragen. Die Registrierung daure fünf Minuten und sei mit dem Smartphone möglich, so das Erklärvideo von Swisstransplant. Zeitgemäss und praktisch, jedoch mehr als problematisch.

Denn die Datenbank hat ernsthafte Sicherheitslücken. Dies zeigen ein Bericht der Firma «ZFT.COMPANY» und Recherchen von «SRF Investigativ».

Das Organspende-Register weist signifikante Sicherheitsmängel auf, die es einem erlauben, beliebige Personen zum Organspender zu machen
Autor: Sven Fassbender Berater für Informationssicherheit der Firma «ZFT.COMPANY»

Es ist offensichtlich möglich, jede Person ohne ihr Wissen und ihre Zustimmung im Register einzutragen.

Selbstversuch bestätigt Verdacht

«SRF Investigativ» hat das getestet: Sven Fassbender meldete per Tablet den SRF-Investigativ-Reporter mit seinen Personalien an, inklusive eines Fotos. Adresse, Geburtsdatum und Bild des Reporters hatte er zuvor im Internet gefunden.

Die Anmeldeseite von Swisstransplant.
Legende: Die Anmeldeseite von Swisstransplant. SRF

Bereits nach wenigen Minuten erhielt der Sicherheitsberater auf eine E-Mail-Adresse, die zwar auf den Namen des Reporters lautet, aber von Fassbender erstellt wurde, die Bestätigung: «Besten Dank für Ihren Eintrag im Nationalen Organspende-Register. Wir haben ihn geprüft und aktiviert.»

Der Reporter ist nun also als möglicher Organspender registriert – ohne mitgewirkt zu haben. Im Todesfall würde sein Datenblatt aus dem Register den Hinterbliebenen vorgelegt. In der Bestätigungs-E-Mail schreibt Swisstransplant unter anderem: «Durch Ihre Willensäusserung in Bezug auf die Organ- und Gewebespende haben Sie für Sicherheit und Klarheit gesorgt. Im Ernstfall wird Ihr Entscheid den Angehörigen vorgelegt und zweifelsfrei umgesetzt.»

Ein Foto für den Registrierungsprozess wird vor die Laptopkamera gehalten.
Legende: Ein Foto genügt. Die Website merkt nicht, dass keine echte Person vor der Kamera sitzt. SRF

Die Stiftung Swisstransplant betont in einer Stellungnahme, sie habe den Registrierungsprozess bewusst benutzerfreundlich ausgestaltet. Ein Entscheid zur Organspende würde im Ernstfall den Angehörigen vorgelegt und könne demnach abgeändert werden, wenn er nicht dem mutmasslichen Willen des Verstorbenen entspreche.

Unsichere Datenbank

Der Berater für Informationssicherheit Sven Fassbender kritisiert den Registrierungsprozess. «Es findet zu keinem Zeitpunkt eine echte Überprüfung der wahren Identität der Person statt.» Dass also zum Beispiel der Spendewillige noch per Briefpost kontaktiert würde. Swisstransplant habe den Entscheid für eine Organspende so einfach wie möglich gestalten wollen, was grundsätzlich eine gute Sache sei, aber «das öffnet auch Tür und Tor für Missbrauch», sagt Sven Fassbender, der beruflich im Auftrag von Firmen IT-Systeme auf Sicherheitsmängel und Schwachstellen überprüft.

Zudem hat der IT-Experte bei Swisstransplant noch weitere Schwachstellen entdeckt: «Es ist möglich, alle Dateien auf dem Anwendungs-Server auszulesen und runterzuladen.» Swisstransplant hat nach eigenen Angaben diese Sicherheitslücke inzwischen geschlossen.

Verstoss gegen das Datenschutzgesetz

Es handle sich hier um die Bearbeitung von Personendaten und einen sehr relevanten Entscheid, sagt Florent Thouvenin, Professor für Informations- und Kommunikationsrecht an der Universität Zürich. Das Datenschutzrecht sehe vor, dass eine angemessene Sicherheit gewährleistet und die Daten richtig sein müssen. «Dies sicherzustellen, ist die Pflicht von dem, der diese Daten bearbeitet.» Beide Aspekte seien hier nicht genügend gewährleistet.

Deshalb verstosse das Nationale Organspende-Register von Swisstransplant eindeutig gegen das Datenschutzgesetz, sagt Professor Florent Thouvenin. Er fordert: «In erster Linie müsste man möglichst schnell den Prozess anpassen.»

Register vorübergehend geschlossen

SRF Investigativ meldete das unsichere Organspende-Register dem Eidgenössischen Datenschutzbeauftragten EDÖB. Adrian Lobsiger reagierte sofort und leitete ein Verfahren ein.

Bis heute sind rund 130'000 spendewillige Personen im Organspende-Register eingetragen. Müssen nun all diese Einträge überprüft werden? Wegen des laufenden Verfahrens wollte EDÖB Adrian Lobsiger dazu keine Stellung beziehen. Er betont aber, dass er mit dieser Untersuchung einen Beitrag leisten wolle, das Vertrauen ins System der Organentnahme aufrechtzuerhalten.

Das sagt Swisstransplant

Die Stiftung Swisstransplant weist darauf hin, dass sie stets bemüht sei, die grösstmögliche datenschutzrechtIiche Sicherheit zu gewährleisten. «Aufgrund der vorgetragenen Vorwürfe wurden bereits Massnahmen ergriffen.» Das Organspende-Register wurde vorübergehend geschlossen, ist jetzt aber wieder online zugänglich. Die Stiftung schreibt auf ihrer Website: «Es konnten keine Sicherheitslücken im System identifiziert werden. Es konnten zu keinem Zeitpunkt Personendaten eingesehen oder bearbeitet werden. Die bestehenden Registereinträge sind absolut sicher.»

Stellungnahme Swisstransplant

Ihre Meinung ist uns wichtig

Box aufklappen Box zuklappen

Echo der Zeit, 18.01.2022, 18:00 Uhr

Meistgelesene Artikel