Erste Erkenntnisse aus dem Pentest der Schweizer Corona-App

2. Juni 2020 um 13:32
image

Ständeratskommission will sicherstellen, dass die App wirklich dem öffentlichen Quellcode entspricht. Das BAG erklärt, wie das garantiert werden soll.

Seit dem 28. Mai läuft der Pentest des Schweizer Proximity-Tracing-Systems. Das National Cyber Security Center (NCSC), das mit der Durchführung des Tests betraut ist, hat Ende letzter Woche erste Meldungen veröffentlicht. Das NCSC will diese täglich aktualisieren.
Die Meldungen sind überschaubar. Es sind vor allem Hinweise für Verbesserungen, etwa dass teilweise tiefe Privilegien für bestimmte Aktionen ausreichen, oder dass es hier und da zu Anwendungsproblemen kommt. Kritische Lücken wurden noch nicht aufgespürt. Der Test läuft allerdings erst einige Tage.
Geprüft wurden alle Komponenten des "SwissCovid Proximity Tracing Systems" bereits von GovCERT.ch und dem CSIRT des BIT. Dazu gehörten sowohl das Frontend und Backend der User und des Medizinpersonals als auch Authentifizierungs-Komponenten. Das Feedback der beiden Stellen sei bereits umgesetzt, erklärt Gregor Lüthy, Pressesprecher des BAG, auf Anfrage von inside-it.ch.

Dokumentation und Best Practices als Lösung

Der öffentliche Test umfasst nun wiederum die App und die Backendsysteme. "Da die SwissCovid App auf der produktiven Umgebung läuft, und diese ausserhalb des Scopes des Public Security Tests ist, kann sie nicht [für den Pentest] verwendet werden", schreibt das BAG allerdings. Die SwissCovid-App müsse für den Test aus dem bereitgestellten Code kompiliert werden.
Aber gibt es eine Möglichkeit zu beweisen, dass die im produktiven Betrieb auf dem Smartphone installierte Komponente dem publizierten Quellcode entspricht? Lüthy sagt: "Ubique plant eine Dokumentation zu erstellen und wird die Best Practices für Mobile-Apps anwenden, um dieser Anforderung entgegen zu kommen." Das Zürcher Startup Ubique hat die App zusammen mit der ETH erarbeitet und Mitte Mai den Auftrag über 1,8 Millionen Franken für die weitere Entwicklung erhalten.
Im bundesrätlichen Entwurf zum dringlich angepassten Epidemiegesetz ist zu lesen, dass der Quellcode und die technischen Spezifikationen aller Komponenten öffentlich sein müssen. Die zuständige Kommission des Ständerates will nun ergänzt haben: "Die maschinenlesbaren Programme müssen nachweislich aus diesem Quellcode erstellt worden sein".

Der finanzielle Anreiz soll beim Pentest nicht wichtig sein

Auf ein Bug-Bounty-Geld wurde im öffentlichen Pentest verzichtet – etwa im Unterschied zu jenem für das E-Voting-System der Post. Der finanzielle Anreiz stehe nicht im Vordergrund, sagt BAG-Sprecher Lüthy. "Generell soll der Anreiz geschaffen werden, gemeinsam an einer für die Gesellschaft wichtigen App arbeiten zu können und diese so sicher wie möglich zu gestalten."
Eine Art finanziellen Anreiz für die Nutzung der App erhofft sich aber offenbar die ständerätliche Kommission. Sie fordert den Bundesrat auf, eine Erwerbsausfallentschädigung für Personen zu prüfen, die sich aufgrund einer Benachrichtigung durch die App freiwillig in Quarantäne begeben. Zudem sollen sich die Benachrichtigten testen lassen können. Die Übernahme der Kosten der Tests zu COVID-19 sei rasch zu klären

Loading

Mehr zum Thema

image

Bund will Hermes mit KI weiterentwickeln

Bei Bundesprojekten unter anderem in der IT ist die Hermes-Methode eine Pflicht. Mit der Unterstützung von drei Firmen soll die Methode in den nächsten fünf Jahren weiterentwickelt werden.

publiziert am 21.1.2025
image

Störungsangriffe rund ums WEF halten an

Mehrere Websites von Schweizer Behörden und Organisationen werden durch DDoS-Angriffe teilweise lahmgelegt.

publiziert am 21.1.2025
image

Kanton Bern will den Rechtsverkehr digitalisieren

Der Berner Regierungsrat startet die Einführung der elektronischen Verwaltungsrechtspflege. Der Austausch mit der Verwaltung soll vereinfacht werden.

publiziert am 21.1.2025
image

Geoportal des Bundes listet neu Notfalltreffpunkte

Bei Katastrophen und Notlagen gibt es Notfalltreffpunkte für die Bevölkerung. Diese Standorte wurden nun ins Geoportal des Bundes aufgenommen und stehen Drittanbietern via API zur Verfügung.

publiziert am 21.1.2025