Probleme werden behoben - 136 Befunde und Schwachstellen beim Covid-Zertifikat entdeckt
Publiziert

Probleme werden behoben136 Befunde und Schwachstellen beim Covid-Zertifikat entdeckt

Das Nationale Zentrum für Cybersicherheit hat das Covid-Zertifikat genaustens unter die Lupe genommen. Dabei sind einige Sicherheitslücken aufgetaucht.

von
Dominique Zeier
1 / 6
Beim Covid-Zertifikat sind einige Sicherheitslücken aufgetaucht. 

Beim Covid-Zertifikat sind einige Sicherheitslücken aufgetaucht.

20min/Matthias Spicher
Das teilt das Nationale Zentrum für Cybersicherheit mit. 

Das teilt das Nationale Zentrum für Cybersicherheit mit.

BZ
Insgesamt sind 136 Sicherheitslücken gefunden worden. 

Insgesamt sind 136 Sicherheitslücken gefunden worden.

Montage photo justine Romano/getty images

Darum gehts

  • Seit dem 7. Juni gibt es in der Schweiz das Covid-Zertifikat.

  • Nach dessen Veröffentlichung wurde es auf Sicherheitslücken untersucht.

  • Durchgeführt hat dies das Nationale Zentrum für Cybersicherheit mit Hilfe mehrere weiterer Stellen.

  • Dabei wurden 136 Schwachstellen gefunden.

Das Nationale Zentrum für Cybersicherheit (NCSC) hat beim Schweizer Covid-Zertifikat verschiedene interne und öffentliche Tests durchgeführt, um dessen Sicherheit zu überprüfen und allfällige Sicherheitslücken zu finden. Tatsächlich konnten laut einem neuen Bericht 136 Befunde und Schwachstellen identifiziert werden.

Mit den internen Analysen wurde noch vor der Einführung des Zertifikats begonnen und sie erstreckten sich auch über den Zeitraum nach dessen Veröffentlichung hinaus. Darin involviert waren verschiedenste Stellen wie das Bundesamt für Informatik und Telekommunikation (BIT) sowie das Nationale Testinginstitut für Cybersicherheit. Die öffentliche Analyse, also der Public Security Test, läuft seit dem 31. Mai und dauert noch an.

Getestete Komponenten

Bei den Tests wurden verschiedenste Funktionalitäten wie beispielsweise alle Systeme und deren Komponenten unter die Lupe genommen, die die Anfragen von Covid-Zertifikatsausstellern zur Erstellung und Signierung von Covid-Zertifikaten entgegennehmen, die kryptografische Signaturen erzeugen und die ausgestellte Covid-Zertifikate an die Aussteller zurücksenden. Ausserdem wurden die Dienste, die die öffentlichen Schlüssel von vertrauenswürdigen Zertifikaten bereitstellen, überprüft.

Ebenfalls getestet wurden die Kommunikationssysteme, die für den Austausch von Informationen beispielsweise mit dem «Digital Green Certificate» der EU in Zusammenhang stehen, sowie die mobilen Apps, die von Covid-Zertifikatsinhabern genutzt werden können, um Covid-Zertifikate auf ihren Mobiltelefonen zu speichern.

Normale Anzahl an Befunden

Die Befunde wurden nach dem Test in verschiedenste Kategorien unterteilt. So bezeichnet die Kategorie «Ongoing» eine Sicherheitslücke, die nach wie vor analysiert wird und für welche eine Lösung vorbereitet wird. In dieser Kategorie befinden sich 53 der 136 Befunde. «Fixed» beschreibt Probleme, die behoben wurden (45 an der Zahl) und «Wontfix» (34) solche, bei welchen keine Notwendigkeit besteht, Änderungen vorzunehmen. Ausserdem kam es zu vier «False Positive» Labels. Die gesamte Liste der Befunde kann hier eingesehen werden.

Laut dem NCSC ist das vom BIT konzipierte Projekt von hoher technischer und organisatorischer Komplexität. Daher sei die gefundene Anzahl an Schwachstellen von 136 bei der umfangreichen Menge an Code und Infrastruktur als normal einzustufen. Nicht im Abschlussbericht zu finden seien kritische Schwachstellen, die zurzeit noch analysiert werden. Diese werden aus Sicherheitsgründen zu einem späteren Zeitpunkt kommuniziert.

Digital-Push

Wenn du den Digital-Push abonnierst, bist du über News und Gerüchte aus der Welt von Whatsapp, Snapchat, Instagram, Samsung, Apple und Co. informiert. Auch erhältst du Warnungen vor Viren, Trojanern, Phishing-Attacken und Ransomware als Erster. Weiter gibt es Tricks, um mehr aus deinen digitalen Geräten herauszuholen.

So gehts: Installiere die neuste Version der 20-Minuten-App. Tipp unten rechts auf «Cockpit», dann «Einstellungen» und schliesslich auf «Push-Mitteilungen». Beim Punkt «Themen» tippst du «Digital» an – et voilà!

My 20 Minuten

Als Mitglied wirst du Teil der 20-Minuten-Community und profitierst täglich von tollen Benefits und exklusiven Wettbewerben!

Deine Meinung

2 Kommentare