Erste Erkenntnisse aus dem Pentest der Schweizer Corona-App

2. Juni 2020 um 13:32
image

Ständeratskommission will sicherstellen, dass die App wirklich dem öffentlichen Quellcode entspricht. Das BAG erklärt, wie das garantiert werden soll.

Seit dem 28. Mai läuft der Pentest des Schweizer Proximity-Tracing-Systems. Das National Cyber Security Center (NCSC), das mit der Durchführung des Tests betraut ist, hat Ende letzter Woche erste Meldungen veröffentlicht. Das NCSC will diese täglich aktualisieren.
Die Meldungen sind überschaubar. Es sind vor allem Hinweise für Verbesserungen, etwa dass teilweise tiefe Privilegien für bestimmte Aktionen ausreichen, oder dass es hier und da zu Anwendungsproblemen kommt. Kritische Lücken wurden noch nicht aufgespürt. Der Test läuft allerdings erst einige Tage.
Geprüft wurden alle Komponenten des "SwissCovid Proximity Tracing Systems" bereits von GovCERT.ch und dem CSIRT des BIT. Dazu gehörten sowohl das Frontend und Backend der User und des Medizinpersonals als auch Authentifizierungs-Komponenten. Das Feedback der beiden Stellen sei bereits umgesetzt, erklärt Gregor Lüthy, Pressesprecher des BAG, auf Anfrage von inside-it.ch.

Dokumentation und Best Practices als Lösung

Der öffentliche Test umfasst nun wiederum die App und die Backendsysteme. "Da die SwissCovid App auf der produktiven Umgebung läuft, und diese ausserhalb des Scopes des Public Security Tests ist, kann sie nicht [für den Pentest] verwendet werden", schreibt das BAG allerdings. Die SwissCovid-App müsse für den Test aus dem bereitgestellten Code kompiliert werden.
Aber gibt es eine Möglichkeit zu beweisen, dass die im produktiven Betrieb auf dem Smartphone installierte Komponente dem publizierten Quellcode entspricht? Lüthy sagt: "Ubique plant eine Dokumentation zu erstellen und wird die Best Practices für Mobile-Apps anwenden, um dieser Anforderung entgegen zu kommen." Das Zürcher Startup Ubique hat die App zusammen mit der ETH erarbeitet und Mitte Mai den Auftrag über 1,8 Millionen Franken für die weitere Entwicklung erhalten.
Im bundesrätlichen Entwurf zum dringlich angepassten Epidemiegesetz ist zu lesen, dass der Quellcode und die technischen Spezifikationen aller Komponenten öffentlich sein müssen. Die zuständige Kommission des Ständerates will nun ergänzt haben: "Die maschinenlesbaren Programme müssen nachweislich aus diesem Quellcode erstellt worden sein".

Der finanzielle Anreiz soll beim Pentest nicht wichtig sein

Auf ein Bug-Bounty-Geld wurde im öffentlichen Pentest verzichtet – etwa im Unterschied zu jenem für das E-Voting-System der Post. Der finanzielle Anreiz stehe nicht im Vordergrund, sagt BAG-Sprecher Lüthy. "Generell soll der Anreiz geschaffen werden, gemeinsam an einer für die Gesellschaft wichtigen App arbeiten zu können und diese so sicher wie möglich zu gestalten."
Eine Art finanziellen Anreiz für die Nutzung der App erhofft sich aber offenbar die ständerätliche Kommission. Sie fordert den Bundesrat auf, eine Erwerbsausfallentschädigung für Personen zu prüfen, die sich aufgrund einer Benachrichtigung durch die App freiwillig in Quarantäne begeben. Zudem sollen sich die Benachrichtigten testen lassen können. Die Übernahme der Kosten der Tests zu COVID-19 sei rasch zu klären

Loading

Mehr erfahren

Mehr zum Thema

image

EU-Staaten wollen mehr Überwachung

Viele EU-Länder wollen die End-to-End-Verschlüsselung stark schwächen. Messenger-Dienste sollen zur Überwachung verpflichtet werden.

publiziert am 11.6.2024
image

Bundesrat soll Digitali­sierungs­vorhaben be­schleunigen können

Mit "Fast Tracks" sollen wichtige Projekte in der Verwaltung beschleunigt werden können. Vorgesehen sind interdepartementale Teams und eine unkomplizierte Finanzierung.

publiziert am 11.6.2024
image

E-Banking-App der ZKB zeigte falsche Konten an

Aufgrund einer "kurzzeitigen technischen Störung" zeigte die App teilweise Konten von falschen Personen an. Die Störung ist mittlerweile behoben.

publiziert am 11.6.2024
image

Europas Fesseln der Innovation: der hohe Preis des Digital Services und AI Acts

Eine Lockerung des Digital Services Act und des AI Act könnte dazu beitragen, ein ausgewogenes Verhältnis zwischen Regulierung und Innovationsförderung herzustellen, schreibt KI-Unternehmer Christian Fehrlin in einem Gastbeitrag.

publiziert am 11.6.2024 1