Das sind die Resultate aus dem Security-Test des Covid-Zertifikats

4. Juni 2021, 13:56
  • coronavirus
  • verwaltungsrat
  • e-government
  • security
image

Bald werden erste Covid-Zertifikate ausgestellt. Im Security-Test wurden bislang 13 Findings gemeldet.

"Wir haben den Zeitplan eingehalten", sagte Bundesrat Ueli Maurer an der Medienkonferenz zum Covid-Zertifikat. Am heutigen 4. Juni hat der Bundesrat die Verordnung über die Covid-Zertifikate verabschiedet. Damit wurde die rechtliche Grundlage für die Ausstellung der Zertifikate geschaffen. Sie tritt am 7. Juni in Kraft.
Das Zertifikat wird in Papierform und elektronisch mit einer kostenlosen App, der "Covid Certificate App", zur Verfügung stehen. Für jene, die ein Zertifikat überprüfen, gibt es ebenfalls eine entsprechende App, die "Covid Check App".
Man habe sich für den bundeseigenen IT-Dienstleister, das Bundesamt für Informatik und Telekommunikation (BIT) entschieden, weil es einen gedrängten Zeitplan gebe. Ausserdem habe es einen deutlichen Kostenunterschied zugunsten des BIT gegeben, sagte Maurer vor Medien. Bei der Entwicklung der Apps habe man auf bekannte Partner aus der Privatwirtschaft gesetzt. Die Zuschläge an Ubique, Ti&m und Health Info Net (HIN) wurden kürzlich vergeben.

14-tägiger Pilotbetrieb mit weiteren Tests geplant

Ab dem 7. Juni sollen die ersten Covid-Zertifikate "schrittweise" ausgestellt werden. Spätestens Ende Juni sollen sie in der ganzen Schweiz zur Verfügung stehen. Die Arbeiten seien am 7. Juni aber nicht abgeschlossen, erklärte BIT-Direktor Dirk Lindemann. In den ersten 14 Tagen laufe ein Pilotbetrieb. Es würden weitere Softwaretests durchgeführt und die Systeme der Kantone langsam hochgefahren.
Das vom BIT zur Verfügung gestellte Zertifikatssystem soll den Anliegen des Datenschutzes Rechnung tragen, schreibt das BIT in einer Mitteilung. Personendaten werden demnach nicht zentral bei der Bundesverwaltung gespeichert. Die für die Signierung des Zertifikates benötigten persönlichen Daten würden vom System des Bundes gelöscht, sobald das Zertifikat generiert und übermittelt ist.
Die Sicherheit des Systems habe höchste Priorität, fügte Lindemann an. Neben der Überprüfung durch interne Spezialisten habe man vergangene Woche den Quellcode auf Github veröffentlicht. Gleichzeitig wurde durch das NCSC ein öffentlicher Sicherheitstest durchgeführt. Über diesen seien bislang 13 Findings eingegangen. Diese hätten aber eine niedrige Sicherheitsrelevanz, sagte Lindemann.
Die Funde sind öffentlich einsehbar, wie Florian Schütz, Delegierter des Bundes für Cybersicherheit, an der Pressekonferenz ergänzte. Es handle sich teilweise um Findings, die noch aus der Entwicklung stammen. Etwa hatte man laut Schütz gewisse Passwörter oder Geheimnisse hard-codiert im Quelltext. Man sei nun daran, diese Probleme zu bereinigen beziehungsweise habe dies erledigt. Ein weiterer Tester kritisierte die standardmässige Aktivierung von JavaScript im Webview der Apps, zeigen die vom NCSC publizierten Unterlagen weiter.

Automatisierung soll Kantone entlasten

Die Abwicklung des Zertifikats sei – wenn immer möglich – voll automatisiert. Der Aufwand für das medizinische Personal sei gering, erklärten die Verantwortlichen weiter. Die Anmeldung der Mediziner laufe auch unter Einbezug der Lösung der Ärztevereinigung FMH und des Apothekerverbandes Pharmasuisse.
Die Automatisierung solle auch die Kantone entlasten. Aus diesen gab es zuletzt Kritik, respektive es wird befürchtet, dass der Aufwand für die Kantone gross wird. Dass man viele Prozesse automatisiert habe, so Bundesrat Maurer, hätten die Kantone positiv aufgenommen. 

Datenschützer zeigt sich zufrieden

Mit den Covid-19-Zertifikaten werden Kernanliegen der Datenschutzaufsicht erfüllt, wie der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb)  mitteilte. Auf seine Anregung hin, sei neben dem EU-kompatiblen QR-Code für den grenzüberschreitenden Verkehr ein zweiter, datensparsamer QR-Code für den Einsatz im Inland entwickelt worden, teilt er mit. 
Wer diesen zweiten Code verwende, verhindere, dass Unberechtigte durch Einsatz nicht autorisierter Software bei der Auslesung seines Zertifikats erkennen könnten, aus welchem Grund dieses als gültig oder ungültig angezeigt werde. Zutrittskontrolleure einer Grossveranstaltung bräuchten keine Kenntnis darüber zu erlangen, ob die Inhaber der Zertifikate infolge einer Impfung, Genesung oder eines Tests Eingang begehrten, schreibt der Edöb. Der Datenschutz-Beauftragte bedauert, dass dieser zweite QR-Code der Bevölkerung erst in einer nächsten Phase zur Verfügung gestellt werden könne. 
Update (16.40 Uhr): Der Artikel wurde um die Aussagen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten ergänzt. 

Loading

Mehr zum Thema

image

Ransomware-Bande startet Bug-Bounty-Programm

Bis zu 1 Million Dollar Prämie winkt jenen, die für die Bande Lockbit Fehler und Schwachstellen in deren neuster Malware finden.

publiziert am 1.7.2022
image

Glosse: Meine Odyssee zum EPD

Chefredaktor Reto Vogt wollte ein EPD bestellen. Dabei sind drei Probleme und eine Lösung aufgetaucht. Spoiler: Es ist Dropbox.

publiziert am 1.7.2022 1
image

Podcast: IT-Security – kleine Betriebe, grosse Probleme

Homeoffice und Cybersecurity: Zwei spannende Themen, die zusammen aber vor allem kleine Betriebe vor grosse Probleme stellen.

publiziert am 1.7.2022
image

Post lässt sich 24 Stunden lang von 150 Hackern angreifen

An einem Live-Bug-Bounty-Event wurden in den Diensten der Post 22 Schwachstellen aufgespürt. Eine davon gilt als kritisch und war dem Konzern 3000 Euro wert.

publiziert am 30.6.2022