BAG weiss Bescheid: Selbst Laien können die SwissCovid-App austricksen
Publiziert

BAG weiss BescheidSelbst Laien können die SwissCovid-App austricksen

Mit einfachsten Mitteln kann die SwissCovid-App manipuliert und ein falscher Kontakt mit einem Infizierten erschlichen werden. Für den Bund ist das «akzeptabel».

von
Daniel Graf
1 / 4
Die SwissCovid-App soll helfen, Ansteckungsketten zu unterbrechen.

Die SwissCovid-App soll helfen, Ansteckungsketten zu unterbrechen.

20min/Taddeo Cerletti
Sie weist allerdings verschiedene Mängel auf. So können mit einfachen Mitteln falsche Benachrichtigungen generiert werden.

Sie weist allerdings verschiedene Mängel auf. So können mit einfachen Mitteln falsche Benachrichtigungen generiert werden.

20min/Taddeo Cerletti
Das könnte genutzt werden, um einen Arzt dazu zu bringen, einen Test und Quarantäne anzuordnen. So erhielte man trotzdem weiterhin seinen Lohn.

Das könnte genutzt werden, um einen Arzt dazu zu bringen, einen Test und Quarantäne anzuordnen. So erhielte man trotzdem weiterhin seinen Lohn.

20min/Taddeo Cerletti

Darum gehts

  • Die SwissCovid-App weist gemäss drei Forschern Sicherheitslücken auf.

  • Selbst Laien können ohne grossen Aufwand oder hohe Kosten Meldungen mit einem Risikokontakt generieren, obwohl der Kontakt gar nie stattgefunden hat.

  • Dem BAG ist das Problem bekannt, lösen müssten es aber Apple und Google.

Die SwissCovid-App soll helfen, mögliche Ansteckungen zu finden und Personen, die einen Risikokontakt hatten, in Quarantäne zu schicken. Rund 180 Codes wurden in der Woche vom 27. Januar bis am 2. Februar im Schnitt jeden Tag eingegeben. Bloss: Ob auch alle Meldungen, die daraufhin bei anderen Apps ausgelöst wurden, tatsächlich auf einem Risikokontakt beruhen, ist fraglich.

Ein Paper sowie ein kürzlich auf Youtube ausgeschaltetes Video von drei Forschern der EPFL in Lausanne und der Universität in Salerno (IT) zeigt: Wer will, kann sich ohne Informatikkenntnisse mit einfachsten Mitteln einen Covid-Code auf seiner App erschleichen. «Um es ganz simpel auszudrücken: Alles, was es braucht, ist ein Gerät, das Nachrichten über Bluetooth übermitteln kann und das manuelle Umstellen der Zeit auf dem eigenen Smartphone. Solche Geräte kosten 10 bis 20 Franken», sagt Mitautor Vincenzo Iovino (siehe unten).

Auch Datenschutz wird kritisiert

Dem BAG ist das Paper bekannt. Das nationale Zentrum für Cybersecurity (NCSD) beurteilte die Erkenntnisse bereits im Herbst 2020 und stufte das Risiko als «akzeptabel» ein. «Bei der Risikobeurteilung muss berücksichtigt werden, ob jemand einen Nutzen hat, der diesen Vorteil ausnutzt. Insbesondere, da der Angreifer üblicherweise vor Ort sein muss», schrieb das NCSD und nahm damit Stellung zur Gefahr, dass jemand auf einem anderen Gerät einen falschen Kontakt auslösen könnte – etwa, um kurz vor einem wichtigen Spiel einen konkurrierenden Sportler in Quarantäne zu setzen. Diese Möglichkeit beschreiben die Autoren in ihrem Paper.

Auch Paul-Olivier Dehaye, Mathematiker und Vorstandsmitglied beim «MyData Global Network», kritisiert die App scharf. Ihm machen insbesondere die Datenschutzrichtlinien Sorgen: «Dutzende von relativ obskuren Akteuren auf der ganzen Welt, mit einem ohnehin schon zweifelhaftem Ruf, können den SwissCovid-Verkehr mit einer Änderung von ein paar Zeilen Code massenhaft überwachen», sagt er (siehe unten).

Erster Schritt zur Quarantäne

Noch einfacher, als auf einem fremden Handy, kann man auf dem eigenen einen falschen Code generieren – etwa, um sich in Quarantäne setzen zu lassen und so vor der Arbeit zu drücken. Marco Stücheli, Leiter Kommunikation zur SwissCovid-App beim BAG, betont: «Die App schickt keine Person in die Quarantäne. Eine allfällige Quarantäne kann nur von den kantonalen Stellen im Rahmen des Contact Tracings und nach Abklärung des möglichen Ansteckungsrisikos angeordnet werden.» Auch seien die Nutzung der App sowie das anschliessende Beantworten des Fragebogens freiwillig.

«Alleine aufgrund eines Alarms der SwissCovid-App und wenn Sie sich von sich aus in Quarantäne begeben, haben Sie keinen Anspruch auf Entschädigung oder Lohnfortzahlung» sagt Stücheli. Theoretisch denkbar sei aber, dass jemand sich einen Alert erschleicht, die anschliessenden Fragen «richtig» beantwortet und daraufhin von einem Arzt getestet und in Quarantäne geschickt wird – inklusive Lohnfortzahlung. Das sei aber auch ohne Benachrichtigung der App möglich.

Google und Apple müssten Bug fixen

Das Problem zu beheben ist laut Stücheli «nicht ganz einfach». «Ein Fix müsste von Google/Apple auf Systemebene eingebaut werden.» Er weist daraufhin, dass man sich mit der Manipulation der App strafbar mache: «Es stünde die Erschleichung einer falschen Beurkundung nach im Raum. Ausserdem würde es sich um eine böswillige Manipulation mehrerer IT-Systeme handeln.»

3 Fragen an Paul-Olivier Dehaye

Wie beurteilen Sie die Sicherheitslücken bei der SwissCovid-App?
Dieser beschreibene Zeitreise-Angriff zeigt, wie einfach es ist, SwissCovid anzugreifen und falsche Informationen einzuschleusen. Der Zeitreise-Angriff durch einen Dritten ist nicht wirklich die Schuld von SwissCovid, sondern liegt daran, wie schlecht die digitale Infrastruktur generell ist. Trotzdem sind die Risiken real und die Wahrscheinlichkeit, dass sie eintreten, steigt mit dem Vertrauen in die App schnell an. Ich erwarte allerdings, dass diese Risiken nur von staatlichen Akteuren ausgehen.

Weshalb sollten staatliche Akteure ein Interesse daran haben?
Um die Gesellschaft zu spalten, generell gesagt. So könnten beispielsweise vor einer Wahl massenhaft Benachrichtigen an Wahlhelfer geschickt werden. Ich mache mir insbesondere Sorgen, dass feindlich gesinnte Kräfte diese Benachrichtigungen bald zielgerichtet einsetzen können. Viele Abreiten von Sicherheitsforschern haben gezeigt, dass das machbar wäre.

War die App also insgesamt ein Fehlschlag?
Ich denke es hat sich gelohnt, das auszuprobieren. Der grosse Fehler war, dass man zu viele Hoffnungen in SwissCovid gesetzt hat und es vernachlässigt hat, andere Massnahmen zur Datenerfassung im Contact Tracing schnell zu entwickeln. Ich glaube jetzt, dass SwissCovid – trotz anfänglicher echter Bemühungen des EPFL-Teams – viele Menschenleben gekostet hat. Dies ist in erster Linie auf ein falsches Verständnis der Bedürfnisse des öffentlichen Gesundheitswesens zurückzuführen, gefolgt von fanatischen Ansichten über Datenschutz und Sicherheit. Diese Sichtweise wurde durch die Geschehnisse während der zweiten Welle bestätigt, während der ich beim Genfer Contact Tracing arbeitete.

Deine Meinung

259 Kommentare