Ab sofort können alle Interessierten die erste Version des Schweizer Proximity-Tracing-Systems auf Security-Lücken überprüfen. Dies meldet das Bundesamt für Gesundheit (BAG).

Der öffentliche Pentest basiert auf der Veröffentlichung des Source Codes auf Github und dient laut BAG dazu, "einen maximal möglichen Schutz der Privatsphäre der App-User sicherzustellen".

Das Nationale Zentrum für Cybersicherheit (NCSC) nimmt die Testergebnisse via Online-Formular entgegen, auf dem man den Schweregrad der gefundenen Lücke via CVSS bewerten kann. Das NCSC analysiert die Eingaben und aktualisiert täglich, was an Erkenntnissen eingetroffen ist. Man habe "den Anspruch auf volle Transparenz", schreiben die Verantwortlichen dazu.

Volle Transparenz fordert auch Umberto Annino, Security-Spezialist und Präsident des Security-Fachverbands ISSS. "Das BAG muss die Hosen herunterlassen", sagt er auf Anfrage. "Es darf nicht so laufen wie bei bisherigen Public Intrusion Tests von Infrastrukturen, die einer breiten Bevölkerung zur Verfügung gestellt werden. Das Vertrauen der Laien, und um die geht es hier, muss vorhanden sein, sonst kommt der Bund nie auf die geforderten 60% der Bevölkerung, welche die App einsetzen."

Dies sei nach der missglückten Kommunikation rund um die Masken schwieriger geworden, so Annino. "Man muss jedem Laien beibringen, was man macht. Das gilt auch für die Schnittstellen von Apple und Google. Was machen die genau? Und was nicht? Wurde das getestet?"

Das Ende des Pentests ist offen und hängt von den gefundenen Lücken ab. DDoS-Attacken oder Phishing-Attacken auf Beteiligte am System, beispielsweise ETH-Angestellte, seien "out of scope". Eine Bug Bounty gibt es auch nicht, hält das NCSC fest.

Die genauen Bedingungen sind in Englisch publiziert samt Link zu den Github-Repositories.

Die App und alles, was dazu gehört, wurde sehr schnell entwickelt. Besteht hier nicht die Gefahr, dass die Verantwortlichen schlecht gearbeitet haben? "Ja", antwortet Annino. "Die App an sich ist nicht hochkomplex, das birgt wiederum ein Risiko." Er rechnet nicht mit kritischen Lücken. Entsprechend positiv äussern sich bereits GovCERT.ch, ein Bereich von Melani sowie das Computer Security Incident Response Team (CSIRT) des Bundesamts für Informatik und Telekommunikation (BIT).

Sie haben während mehrerer Wochen alle Komponenten des "SwissCovid Proximity Tracing Systems" geprüft. Dazu gehörten auch Frontend und Backend der User und des Medizinpersonals und die Authentifizierungs-Komponenten zum HIN (Health Information Network) und dem eIAM des BIT. In ihrem Bericht "Risk Estimation and Recommendations for Swiss Proximity Tracing App" schreiben sie, dass das zugrundeliegende Protokoll der EPFL sehr robust sei und die Architektur eine ausgewogene Balance zwischen Privacy und Resilience zeige.

Auch für die Code-Qualität haben Prüfer Lob: "Der analysierte Code ist gut geschrieben, und die Architektur wurde unter dem Gesichtspunkt der Sicherheit entwickelt." Allerdings haben sie nicht den gesamten Code analysiert. "Die meisten Schwachstellen wurden in den Support-Systemen gefunden und nicht in den Core-Systemen."

Nicht zuletzt heisst es im Bericht: "Die Tests der Backend-Systeme haben keine kritische Schwachstelle im Code aufgedeckt, vor allem aber Parametrisierungsprobleme. Diese wurden schnell gelöst." Das macht den Pentest allerdings nicht überflüssig, denn in den Support-Systemen liegt der Teufel im Detail: "Da einige von diesen entweder ziemlich alt sind und/oder hochkomplex, glauben wir, dass es eine gewisse Wahrscheinlichkeit gibt, dass weitere Schwachstellen dort entdeckt werden."

Abgesehen davon weisen die Experten des Bundes auf Risiken hin, die sie nicht überprüft haben: "Das eine ist die allgemeine Sicherheit des Smartphones, wie z.B. das Aufdecken einer Identität durch den Namen des Geräts ("Max Musters iPhone") oder durch veraltete Betriebssystemversionen mit bekannten Schwachstellen, insbesondere im Bluetooth-Stack. Ein weiteres bemerkenswertes Risiko sind die Geräte des medizinischen Personals. Wenn ein solches Gerät infiziert wird, könnte ein Angreifer Authentifizierungscodes generieren und könnte das System möglicherweise mit falschen Infektionsdaten überfluten."

Letzteres Risiko hält auch Annino für real: "Die Manipulation von Daten, nicht einmal aus kommerziellen Motiven, sondern aus Spass, ist ein Risiko. Auch darum muss das BAG jede Aussage für jeden Laien verständlich belegen und untermauern können."