Erste Erkenntnisse aus dem Pentest der Schweizer Corona-App

2. Juni 2020 um 13:32
image

Ständeratskommission will sicherstellen, dass die App wirklich dem öffentlichen Quellcode entspricht. Das BAG erklärt, wie das garantiert werden soll.

Seit dem 28. Mai läuft der Pentest des Schweizer Proximity-Tracing-Systems. Das National Cyber Security Center (NCSC), das mit der Durchführung des Tests betraut ist, hat Ende letzter Woche erste Meldungen veröffentlicht. Das NCSC will diese täglich aktualisieren.
Die Meldungen sind überschaubar. Es sind vor allem Hinweise für Verbesserungen, etwa dass teilweise tiefe Privilegien für bestimmte Aktionen ausreichen, oder dass es hier und da zu Anwendungsproblemen kommt. Kritische Lücken wurden noch nicht aufgespürt. Der Test läuft allerdings erst einige Tage.
Geprüft wurden alle Komponenten des "SwissCovid Proximity Tracing Systems" bereits von GovCERT.ch und dem CSIRT des BIT. Dazu gehörten sowohl das Frontend und Backend der User und des Medizinpersonals als auch Authentifizierungs-Komponenten. Das Feedback der beiden Stellen sei bereits umgesetzt, erklärt Gregor Lüthy, Pressesprecher des BAG, auf Anfrage von inside-it.ch.

Dokumentation und Best Practices als Lösung

Der öffentliche Test umfasst nun wiederum die App und die Backendsysteme. "Da die SwissCovid App auf der produktiven Umgebung läuft, und diese ausserhalb des Scopes des Public Security Tests ist, kann sie nicht [für den Pentest] verwendet werden", schreibt das BAG allerdings. Die SwissCovid-App müsse für den Test aus dem bereitgestellten Code kompiliert werden.
Aber gibt es eine Möglichkeit zu beweisen, dass die im produktiven Betrieb auf dem Smartphone installierte Komponente dem publizierten Quellcode entspricht? Lüthy sagt: "Ubique plant eine Dokumentation zu erstellen und wird die Best Practices für Mobile-Apps anwenden, um dieser Anforderung entgegen zu kommen." Das Zürcher Startup Ubique hat die App zusammen mit der ETH erarbeitet und Mitte Mai den Auftrag über 1,8 Millionen Franken für die weitere Entwicklung erhalten.
Im bundesrätlichen Entwurf zum dringlich angepassten Epidemiegesetz ist zu lesen, dass der Quellcode und die technischen Spezifikationen aller Komponenten öffentlich sein müssen. Die zuständige Kommission des Ständerates will nun ergänzt haben: "Die maschinenlesbaren Programme müssen nachweislich aus diesem Quellcode erstellt worden sein".

Der finanzielle Anreiz soll beim Pentest nicht wichtig sein

Auf ein Bug-Bounty-Geld wurde im öffentlichen Pentest verzichtet – etwa im Unterschied zu jenem für das E-Voting-System der Post. Der finanzielle Anreiz stehe nicht im Vordergrund, sagt BAG-Sprecher Lüthy. "Generell soll der Anreiz geschaffen werden, gemeinsam an einer für die Gesellschaft wichtigen App arbeiten zu können und diese so sicher wie möglich zu gestalten."
Eine Art finanziellen Anreiz für die Nutzung der App erhofft sich aber offenbar die ständerätliche Kommission. Sie fordert den Bundesrat auf, eine Erwerbsausfallentschädigung für Personen zu prüfen, die sich aufgrund einer Benachrichtigung durch die App freiwillig in Quarantäne begeben. Zudem sollen sich die Benachrichtigten testen lassen können. Die Übernahme der Kosten der Tests zu COVID-19 sei rasch zu klären

Loading

Mehr zum Thema

image

Wurde Lockbit zerschlagen?

Ermittler haben den Spiess umgedreht. Auf der Darknet-Seite der Ransomware-Bande zeigt ein Timer, wann die Website abgeschaltet werden soll. Ist das schon das Ende von Lockbit?

publiziert am 20.2.2024
image

St. Galler Kantonsrat bewilligt Nachtragskredite für Steuersoftware

Mitte-EVP und GLP wollten die Entwicklung einer neuen Steuersoftware für die Steuerverwaltung stoppen, wurden aber von der Mehrheit überstimmt. Dem 74-Millionenprojekt steht nichts mehr im Weg.

publiziert am 20.2.2024
image

EU knöpft sich Big Tech vor

Im Rahmen des Digital Services Act will die Europäische Union Tiktok untersuchen. Bei Apple steht ebenfalls Ungemach vor der Tür.

publiziert am 20.2.2024
image

Deutsche erhalten ein "Recht auf digitale Verwaltungsleistungen"

Ab 2028 will Deutschland alle Verwaltungsleistungen digital anbieten. Geregelt ist das Ganze im Onlinezugangsgesetz. Dabei wird zum Beispiel im Süden der Republik noch immer munter gefaxt.

publiziert am 20.2.2024