Bug-Suche

Eidgenössisches Covid-Zertifikat weist Schwachstellen auf

Uhr
von Yannick Chavanne und Übersetzung: Eric Belot

Das Covid-Zertifikat des Bundes wurde am 7. Juni in einer Pilotphase gestartet und unterliegt einem öffentlichen Sicherheitstest. Dabei wurden 13 Sicherheitslücken gemeldet.

Das Covid-Zertifikat befindet sich in der Testphase. (Source: MASP / Fotolia.com)
Das Covid-Zertifikat befindet sich in der Testphase. (Source: MASP / Fotolia.com)

Im Rahmen einer Testphase werden im Kanton Bern seit dem 7. Juni die ersten Covid-Zertifikate ausgestellt. Spätestens Ende Juni sollen sie der gesamten Bevölkerung zur Verfügung stehen, heisst es in einer Pressemitteilung des Bundesamts für Informatik (BIT), das die Entwicklung der Lösung betreut. "Das System ermöglicht die Anbindung an bestehende IT-Systeme (beispielsweise Systeme, die für die Impfung und das Testen verwendet werden), so dass auch die Ausstellung digitaler Zertifikate möglich ist. Der Bund wird die Kantone bei der Einführung der Lösung und bei den notwendigen organisatorischen Anpassungen unterstützen", erklärt das BIT.

Das System für die Covid-Zertifikate wurde zusammen mit drei technischen Partnern entwickelt: TI&M, HIN und Ubique. Es besteht aus zwei Apps (Speicherung und Verifizierung), die kostenlos im Apple App Store oder bei Google Play erhältlich sind. Auf Papier ebenso wie in der elektronischen Version ist das Zertifikat mit einem QR-Code und einem geregelten elektronischen Stempel des Bundes ausgestattet. Dieser ermöglicht es, die Echtheit, Integrität und Gültigkeit des Zertifikats zu überprüfen. Personenbezogene Daten werden nicht an den Bund übermittelt.

Schwachstellen gefunden

Seit dem 31. Mai befindet sich das System in einem öffentlichen Sicherheitstest. Bis zum 4. Juni wurden in der vom Nationalen Zentrum für Cybersicherheit (NCSC) veröffentlichten Liste 13 potenzielle Probleme identifiziert.

Die Tester deckten verschiedene Probleme auf, darunter zum Beispiel die Verwendung mehrerer Komponenten, die auf nicht vertrauenswürdigen Github-Freigaben Dritter basieren. Als weitere Sicherheitslücken nennt der Bericht auch unsicher kodierte Passwörter und eine Schwachstelle im Zusammenhang mit JavaScript. JavaScript ist in Webviews aktiviert, welches innerhalb von Apps angezeigt wird. Gemäss Inside-IT.ch sagte BIT-Chef Dirk Lindemann auf der Pressekonferenz am 4. Juni, dass diese Sicherheitslücken keine ernsthafte Bedrohung darstellen und behoben werden.

Apropos Covid: Seit einem Jahr entwickeln Spezialisten Algorithmen zum Screening von Covid-19. Dabei liegt der Fokus vor allem auf Lungenröntgenbildern. Eine Metastudie zeigt, dass diese Entwicklungen generell zu viele Mängel für den klinischen Einsatz aufweisen und fordert mehr Zusammenarbeit mit Fachkräften. Mehr dazu können Sie hier nachlesen.

Webcode
DPF8_219197