Seit dem 28. Mai läuft der Pentest des Schweizer Proximity-Tracing-Systems. Das National Cyber Security Center (NCSC), das mit der Durchführung des Tests betraut ist, hat Ende letzter Woche erste Meldungen veröffentlicht. Das NCSC will diese täglich aktualisieren.
Die Meldungen sind überschaubar. Es sind vor allem Hinweise für Verbesserungen, etwa dass teilweise tiefe Privilegien für bestimmte Aktionen ausreichen, oder dass es hier und da zu Anwendungsproblemen kommt. Kritische Lücken wurden noch nicht aufgespürt.
Der Test läuft allerdings erst einige Tage.
Geprüft wurden alle Komponenten des "SwissCovid Proximity Tracing Systems" bereits von
GovCERT.ch und dem CSIRT des BIT. Dazu gehörten sowohl das Frontend und Backend der User und des Medizinpersonals als auch Authentifizierungs-Komponenten. Das Feedback der beiden Stellen sei bereits umgesetzt, erklärt Gregor Lüthy, Pressesprecher des BAG, auf Anfrage von inside-it.ch.
Dokumentation und Best Practices als Lösung
Der öffentliche Test umfasst nun wiederum die App und die Backendsysteme. "Da die SwissCovid App auf der produktiven Umgebung läuft, und diese ausserhalb des Scopes des Public Security Tests ist, kann sie nicht [für den Pentest] verwendet werden", schreibt das BAG allerdings. Die SwissCovid-App müsse für den Test aus dem bereitgestellten Code kompiliert werden.
Aber gibt es eine Möglichkeit zu beweisen, dass die im produktiven Betrieb auf dem Smartphone installierte Komponente dem publizierten Quellcode entspricht? Lüthy sagt: "Ubique plant eine Dokumentation zu erstellen und wird die Best Practices für Mobile-Apps anwenden, um dieser Anforderung entgegen zu kommen." Das Zürcher Startup Ubique hat die App zusammen mit der ETH erarbeitet und
Mitte Mai den Auftrag über 1,8 Millionen Franken für die weitere Entwicklung erhalten.
Im bundesrätlichen Entwurf zum dringlich angepassten Epidemiegesetz ist zu lesen, dass der Quellcode und die technischen Spezifikationen aller Komponenten öffentlich sein müssen. Die zuständige Kommission des Ständerates will nun ergänzt haben: "Die maschinenlesbaren Programme müssen nachweislich aus diesem Quellcode erstellt worden sein".
Der finanzielle Anreiz soll beim Pentest nicht wichtig sein
Auf ein Bug-Bounty-Geld wurde im öffentlichen Pentest verzichtet – etwa im Unterschied zu jenem für das E-Voting-System der Post. Der finanzielle Anreiz stehe nicht im Vordergrund, sagt BAG-Sprecher Lüthy. "Generell soll der Anreiz geschaffen werden, gemeinsam an einer für die Gesellschaft wichtigen App arbeiten zu können und diese so sicher wie möglich zu gestalten."
Eine Art finanziellen Anreiz für die Nutzung der App erhofft sich aber offenbar die ständerätliche Kommission. Sie fordert den Bundesrat auf, eine Erwerbsausfallentschädigung für Personen zu prüfen, die sich aufgrund einer Benachrichtigung durch die App freiwillig in Quarantäne begeben. Zudem sollen sich die Benachrichtigten testen lassen können. Die Übernahme der Kosten der Tests zu COVID-19 sei rasch zu klären