Ohne Identitätsprüfung, ohne ihr Wissen und somit auch ohne ihre Zustimmung konnten beliebige Personen im nationalen Organspende-Register der „Schweizerischen Nationalen Stiftung für Organspende und Transplantation“ online eingetragen werden, wie Experten des IT-Sicherheitsunternehmens ZFT.Company entdeckten. Somit wurden die Betroffenen gegebenenfalls unfreiwillig zum Organspender. Hierfür verantwortlich waren signifikante Sicherheitsmängel, wie zum Beispiel ein mangelhafter Registrierungs- und Einwilligungsprozess, ein ungenügender Authentisierungsmechanismus wie auch eine unzureichende Prüfung der Eingabeparameter. So konnten problemlos auch angebliche Einwilligungen im Namen Dritter abgegeben werden. Nach der Sicherheitsmeldung nahm Swisstransplant das Register vorübergehend offline, die Sicherheitslücken wurden zumindest teilweise geschlossen. Aktuell ist die Datenbank zwar wieder online erreichbar, eine Registrierung über die Website oder per Post ist derzeit allerdings nicht möglich. In Zukunft soll bei Online-Registrierungen eine Identifizierung mit einem zusätzlichen Ausweisdokument erfolgen. Der Vorfall wird von der Datenschutzbehörde geprüft.
Den vollständigen Artikel finden Sie hier: