Datenschutz und Informationssicherheit

Topologie & Kommunikationsmatrix:

Management Summary

Allgemeines

«Hygeia» ist eine Contact-Tracing-Applikation für Schweizer Kantone. Sie unterstützt die Behörden in der Bekämpfung der COVID-19 Pandemie und wurde von den Kantonen St. Gallen, Appenzell Innerrhoden sowie Appenzell Ausserrhoden in Auftrag gegeben, um die vom BIT betriebene Plattform IES abzulösen.

Die Applikation sowie die dazugehörige Datenbank ist voll mandantenfähig und wird durch ein ausgeklügeltes Sicherheitssystem vor unbefugtem Zugriff geschützt. So können u.a. die Daten der einzelnen Mandanten bzw. Kantone nur durch passende Zugriffs-Token bearbeitet werden. Betrieben wird «Hygeia» unter der Domäne https://covid19-tracing.ch/. Da im System besonders schützenswerte Personendaten bearbeitet werden, wurde der Informationssicherheit und dem Datenschutz höchste Priorität beigemessen (Data Protection by Design). Dies gilt sowohl für die Entwicklung der Applikation als auch für den Betrieb der Applikation und die Speicherung der Daten.

Die Funktionalität der Applikation wie auch die gespeicherten (Personen-)Daten stützen sich auf die «Weisung des BAG an die Kantone vom 11. Dezember 2020» inkl. des Anhangs («Minimal essential data»).

Zusammenfassung der verbleibenden Risiken

Bad Actor / Missbrauch

Nach wie vor verbleibt das Risiko eines Missbrauchs der Daten durch involvierte Personen die berechtigten Zugriff auf die Daten haben.

Massnahmen
Jeder Fall wird von mehreren Personen bearbeitet. Namentlich wird jeder Fall neben einem/r Tracer*in auch von einem/r Teamleiter*in kontrolliert. Zusätzlich wird jede Bearbeitung der Daten protokolliert. Dieses Protokoll kann durch die Benutzer*innen eingesehen werden, solange der Fall existiert. Das Löschen von Fällen ist mit einer separaten Berechtigung verknüpft, welche nur an Kader vergeben wird. Sämtliche Änderungen (inkl. Löschen von Fällen) werden zusätzlich direkt in der Datenbank protokolliert. Diese Einträge sind somit auch noch nach dem Löschen von Fällen vorhanden.

Angriffe auf das System

Unter Umständen könnte es auf einen direkten Angriff (z.B. DDOS) auf das System kommen.

Massnahmen
Das System ist kryptographisch mit einem IAM geschützt. Sämtliche aktuellen Massnahmen gemäss «Stand der Technik» im Bereich der ­Sicherheit auf der Web-Plattform wurden umgesetzt (SSL, Firewalls, Rate Limits etc.). Zusätzlich wird ein unabhängiges Security-Audit im Bezug auf direkte Angriffe auf das System durchgeführt werden, um dieses Risiko zu minimieren.

Zugriff zwischen Kantonen

Unter Umständen könnte es bei fehlerhafter Konfiguration zum Zugriff auf Daten zwischen den beteiligten Kantonen kommen.

Massnahmen
Das System bzw. die Applikation verwendet ein «Mandanten»-Konzept. Sämtliche Berechtigungen (z.B. um Personendaten einzusehen) sind auf Stufe der einzelnen Mandanten bzw. Kantone abgesichert. So muss jede Daten-bearbeitende Person via IAM explizit zum Zugriff auf die Daten des Mandanten berechtigt sein.

Abschliessende Bemerkungen

Im Bezug auf die verschiedenen Risiken wurden jeweils angemessene und dem Stand der Technik entsprechende Massnahmen getroffen. Durch die Einführung eines IAM’s sowie eines detaillierten Berechtigungskonzeptes kann der Zugriff auf Daten sehr genau konfiguriert, eingeschränkt und nachvollzogen werden. Die gesamte Datenhaltung wird durch Anbieter aus der Schweiz auf Schweizer Boden sowie unter anwendbarem Schweizer Recht sichergestellt. Die Betreiber der Infrastruktur sind ausserdem mit den relevanten ISO-Zertifikaten (namentlich ISO 27017, ISO 27018, ISO 27001, ISO 27002) ausgestattet.

«Ich kann sagen, dass die grundsätzlichen IT-Sicherheitsprinzipien Vertraulichkeit, Verfügbarkeit und Integrität durch die Applikation ‹Hygeia› gewährleistet werden. Die Informationen sind ausschließlich dem durch den/die Besitzer*in autorisierten Personenkreis zugänglich. Die Daten stehen dem/der Benutzer*in resp. dem Geschäftsprozess in der erforderlichen Weise (in vereinbarter Darstellung und Zeit) zur Verfügung. Dies betrifft ebenfalls die Sicherstellung der notwendigen Ressourcen und deren Kapazitäten. Die Informationen werden lediglich in der vorgesehenen Weise erzeugt, verändert oder ergänzt und sind somit weder fehlerhaft, unvollständig noch verfälscht.»

Antonio Grieco
IT-Sicherheitsbeauftragter des Gesundheitsdepartements
Kanton St. Gallen

Erweiterte Informationen

Eine sicherheitsrelevante Systembeschreibung sowie erweiterte Informationen der zu bearbeitenden Daten und zur zugrundeliegenden Technik kann dem folgenden Factsheet entnommen werden:

Hygeia – Datenschutz & Informationssicherheit