Das sind die Resultate aus dem Security-Test des Covid-Zertifikats

4. Juni 2021 um 13:56
  • coronavirus
  • verwaltungsrat
  • e-government
  • security
image

Bald werden erste Covid-Zertifikate ausgestellt. Im Security-Test wurden bislang 13 Findings gemeldet.

"Wir haben den Zeitplan eingehalten", sagte Bundesrat Ueli Maurer an der Medienkonferenz zum Covid-Zertifikat. Am heutigen 4. Juni hat der Bundesrat die Verordnung über die Covid-Zertifikate verabschiedet. Damit wurde die rechtliche Grundlage für die Ausstellung der Zertifikate geschaffen. Sie tritt am 7. Juni in Kraft.
Das Zertifikat wird in Papierform und elektronisch mit einer kostenlosen App, der "Covid Certificate App", zur Verfügung stehen. Für jene, die ein Zertifikat überprüfen, gibt es ebenfalls eine entsprechende App, die "Covid Check App".
Man habe sich für den bundeseigenen IT-Dienstleister, das Bundesamt für Informatik und Telekommunikation (BIT) entschieden, weil es einen gedrängten Zeitplan gebe. Ausserdem habe es einen deutlichen Kostenunterschied zugunsten des BIT gegeben, sagte Maurer vor Medien. Bei der Entwicklung der Apps habe man auf bekannte Partner aus der Privatwirtschaft gesetzt. Die Zuschläge an Ubique, Ti&m und Health Info Net (HIN) wurden kürzlich vergeben.

14-tägiger Pilotbetrieb mit weiteren Tests geplant

Ab dem 7. Juni sollen die ersten Covid-Zertifikate "schrittweise" ausgestellt werden. Spätestens Ende Juni sollen sie in der ganzen Schweiz zur Verfügung stehen. Die Arbeiten seien am 7. Juni aber nicht abgeschlossen, erklärte BIT-Direktor Dirk Lindemann. In den ersten 14 Tagen laufe ein Pilotbetrieb. Es würden weitere Softwaretests durchgeführt und die Systeme der Kantone langsam hochgefahren.
Das vom BIT zur Verfügung gestellte Zertifikatssystem soll den Anliegen des Datenschutzes Rechnung tragen, schreibt das BIT in einer Mitteilung. Personendaten werden demnach nicht zentral bei der Bundesverwaltung gespeichert. Die für die Signierung des Zertifikates benötigten persönlichen Daten würden vom System des Bundes gelöscht, sobald das Zertifikat generiert und übermittelt ist.
Die Sicherheit des Systems habe höchste Priorität, fügte Lindemann an. Neben der Überprüfung durch interne Spezialisten habe man vergangene Woche den Quellcode auf Github veröffentlicht. Gleichzeitig wurde durch das NCSC ein öffentlicher Sicherheitstest durchgeführt. Über diesen seien bislang 13 Findings eingegangen. Diese hätten aber eine niedrige Sicherheitsrelevanz, sagte Lindemann.
Die Funde sind öffentlich einsehbar, wie Florian Schütz, Delegierter des Bundes für Cybersicherheit, an der Pressekonferenz ergänzte. Es handle sich teilweise um Findings, die noch aus der Entwicklung stammen. Etwa hatte man laut Schütz gewisse Passwörter oder Geheimnisse hard-codiert im Quelltext. Man sei nun daran, diese Probleme zu bereinigen beziehungsweise habe dies erledigt. Ein weiterer Tester kritisierte die standardmässige Aktivierung von JavaScript im Webview der Apps, zeigen die vom NCSC publizierten Unterlagen weiter.

Automatisierung soll Kantone entlasten

Die Abwicklung des Zertifikats sei – wenn immer möglich – voll automatisiert. Der Aufwand für das medizinische Personal sei gering, erklärten die Verantwortlichen weiter. Die Anmeldung der Mediziner laufe auch unter Einbezug der Lösung der Ärztevereinigung FMH und des Apothekerverbandes Pharmasuisse.
Die Automatisierung solle auch die Kantone entlasten. Aus diesen gab es zuletzt Kritik, respektive es wird befürchtet, dass der Aufwand für die Kantone gross wird. Dass man viele Prozesse automatisiert habe, so Bundesrat Maurer, hätten die Kantone positiv aufgenommen. 

Datenschützer zeigt sich zufrieden

Mit den Covid-19-Zertifikaten werden Kernanliegen der Datenschutzaufsicht erfüllt, wie der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb)  mitteilte. Auf seine Anregung hin, sei neben dem EU-kompatiblen QR-Code für den grenzüberschreitenden Verkehr ein zweiter, datensparsamer QR-Code für den Einsatz im Inland entwickelt worden, teilt er mit. 
Wer diesen zweiten Code verwende, verhindere, dass Unberechtigte durch Einsatz nicht autorisierter Software bei der Auslesung seines Zertifikats erkennen könnten, aus welchem Grund dieses als gültig oder ungültig angezeigt werde. Zutrittskontrolleure einer Grossveranstaltung bräuchten keine Kenntnis darüber zu erlangen, ob die Inhaber der Zertifikate infolge einer Impfung, Genesung oder eines Tests Eingang begehrten, schreibt der Edöb. Der Datenschutz-Beauftragte bedauert, dass dieser zweite QR-Code der Bevölkerung erst in einer nächsten Phase zur Verfügung gestellt werden könne. 
Update (16.40 Uhr): Der Artikel wurde um die Aussagen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten ergänzt. 

Loading

Mehr erfahren

Mehr zum Thema

image

EU-Politiker warnen vor Chatkontrolle

In einem offenen Brief schreiben Gegnerinnen und Gegner, dass die vorgeschlagenen Massnahmen nicht mit den europäischen Grund­rechten vereinbar sind.

publiziert am 18.6.2024
image

Snowflake-Breach weitet sich aus

Ein Hacker zeigt, wie der Cyberangriff, bei dem Daten des Cloud-Anbieters gestohlen wurden, vonstatten ging. Eine zentrale Rolle nahm ein Drittanbieter aus Weissrussland ein.

publiziert am 17.6.2024
image

E-Voting-Intrusionstest: Post erhöht Belohnungen

Die Testperiode startet heute und dauert bis zum 3. Juli.

publiziert am 17.6.2024
image

Cyberattacke auf Londoner Spitäler hat anhaltend schwere Folgen

Rund 800 Operationen wurden verschoben. Die Probleme könnten noch monatelang andauern.

publiziert am 17.6.2024