Erste Erkenntnisse aus dem Pentest der Schweizer Corona-App

2. Juni 2020, 13:32
image

Ständeratskommission will sicherstellen, dass die App wirklich dem öffentlichen Quellcode entspricht. Das BAG erklärt, wie das garantiert werden soll.

Seit dem 28. Mai läuft der Pentest des Schweizer Proximity-Tracing-Systems. Das National Cyber Security Center (NCSC), das mit der Durchführung des Tests betraut ist, hat Ende letzter Woche erste Meldungen veröffentlicht. Das NCSC will diese täglich aktualisieren.
Die Meldungen sind überschaubar. Es sind vor allem Hinweise für Verbesserungen, etwa dass teilweise tiefe Privilegien für bestimmte Aktionen ausreichen, oder dass es hier und da zu Anwendungsproblemen kommt. Kritische Lücken wurden noch nicht aufgespürt. Der Test läuft allerdings erst einige Tage.
Geprüft wurden alle Komponenten des "SwissCovid Proximity Tracing Systems" bereits von GovCERT.ch und dem CSIRT des BIT. Dazu gehörten sowohl das Frontend und Backend der User und des Medizinpersonals als auch Authentifizierungs-Komponenten. Das Feedback der beiden Stellen sei bereits umgesetzt, erklärt Gregor Lüthy, Pressesprecher des BAG, auf Anfrage von inside-it.ch.

Dokumentation und Best Practices als Lösung

Der öffentliche Test umfasst nun wiederum die App und die Backendsysteme. "Da die SwissCovid App auf der produktiven Umgebung läuft, und diese ausserhalb des Scopes des Public Security Tests ist, kann sie nicht [für den Pentest] verwendet werden", schreibt das BAG allerdings. Die SwissCovid-App müsse für den Test aus dem bereitgestellten Code kompiliert werden.
Aber gibt es eine Möglichkeit zu beweisen, dass die im produktiven Betrieb auf dem Smartphone installierte Komponente dem publizierten Quellcode entspricht? Lüthy sagt: "Ubique plant eine Dokumentation zu erstellen und wird die Best Practices für Mobile-Apps anwenden, um dieser Anforderung entgegen zu kommen." Das Zürcher Startup Ubique hat die App zusammen mit der ETH erarbeitet und Mitte Mai den Auftrag über 1,8 Millionen Franken für die weitere Entwicklung erhalten.
Im bundesrätlichen Entwurf zum dringlich angepassten Epidemiegesetz ist zu lesen, dass der Quellcode und die technischen Spezifikationen aller Komponenten öffentlich sein müssen. Die zuständige Kommission des Ständerates will nun ergänzt haben: "Die maschinenlesbaren Programme müssen nachweislich aus diesem Quellcode erstellt worden sein".

Der finanzielle Anreiz soll beim Pentest nicht wichtig sein

Auf ein Bug-Bounty-Geld wurde im öffentlichen Pentest verzichtet – etwa im Unterschied zu jenem für das E-Voting-System der Post. Der finanzielle Anreiz stehe nicht im Vordergrund, sagt BAG-Sprecher Lüthy. "Generell soll der Anreiz geschaffen werden, gemeinsam an einer für die Gesellschaft wichtigen App arbeiten zu können und diese so sicher wie möglich zu gestalten."
Eine Art finanziellen Anreiz für die Nutzung der App erhofft sich aber offenbar die ständerätliche Kommission. Sie fordert den Bundesrat auf, eine Erwerbsausfallentschädigung für Personen zu prüfen, die sich aufgrund einer Benachrichtigung durch die App freiwillig in Quarantäne begeben. Zudem sollen sich die Benachrichtigten testen lassen können. Die Übernahme der Kosten der Tests zu COVID-19 sei rasch zu klären

Loading

Mehr zum Thema

image

Basler Datenschützer sieht Cloud-Gutachten kritisch

Entgegen der öffentlichen Wahrnehmung bedeute der Entscheid aus Zürich nicht, dass der Gang in die Cloud unproblematisch sei, findet der kantonale Beauftragte in Basel-Stadt.

publiziert am 26.9.2022
image

USA lockert Sanktionen für IT-Firmen im Iran

Weil die iranische Regierung den Zugang zum Internet eingeschränkt hat, versuchen sowohl Behörden als auch Private den Informationsfluss aufrecht zu halten.

publiziert am 26.9.2022
image

Winterthur ist gegen mehr moderne Technik im Parlament

Die Winterthurer Stimmbevölkerung hat einen Zusatzkredit für den technischen Ausbau des Parlamentssaals deutlich abgelehnt.

publiziert am 26.9.2022
image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.