Allgemeine Fragen (FAQ)

Frage Antwort
Wie läuft der Public Security Test ab? Der Public Security Test läuft ab dem 28.05.2020 und hat den Anspruch auf volle Transparenz. Meldungen von Testergebnissen erfolgen auf der Webseite des NCSC  und können dort detailliert via Formular erfasst werden. Das NCSC nimmt diese Meldungen entgegen, bewertet deren Inhalte, priorisiert diese in Anbetracht ihrer Kritikalität und veranlasst ggf. die Behebung. Bestehende Rückmeldungen sind auf der Webseite des NCSC öffentlich einsehbar und werden täglich aktualisiert. 
Weshalb ein Public Security Test? Mit der Durchführung des Public Security Tests sollen die Sicherheit des SwissCovid Systems erhöht, Wissen aufgebaut und geteilt sowie Transparenz geschaffen werden. Einerseits können Meldungen von Testergebnissen/Beobachtungen unmittelbar dazu beitragen, die Sicherheit von SwissCovid zu verbessern, andererseits können so unabhängige Fachpersonen Kompetenzen und Wissen im Bereich eines dezentralen Proximity-Tracing-Modells aufbauen.
Weshalb führt das NCSC den Public Security Test durch? Das Bundesamt für Gesundheit BAG hat das Nationale Zentrum für Cybersicherheit NCSC mit der Durchführung des Public Security Tests für das Proximity Tracing System beauftragt. Der Auftrag des «Nationalen Zentrums für Cybersicherheit NCSC», unter der Leitung des Delegierten des Bundes für Cybersicherheit, besteht im Schutz der Bevölkerung und der Wirtschaft vor Cyberrisiken sowie in der Erhöhung der Sicherheit der IT-Systeme der Bundesverwaltung.
Welches Ziel hat der Public Security Test? Der Schweizer Bevölkerung soll bei der Anwendung der SwissCovid App ein maximal möglicher Schutz der Privatsphäre gewährleistet werden können.  Das gesamte Proximity Tracing System soll daher einen hohen Sicherheitsstandard aufweisen. Bei diesem öffentlichen Test kann das Proximity Tracing System daher eingehend geprüft werden. Der Public Security Test ist dabei eine Sicherheitsmassnahme unter vielen. 
Was kann genau getestet werden? Wo wird der Quellcode veröffentlich

Bei diesem öffentlichen Test kann das Proximity Tracing System im Rahmen des "Scope" und der "Rules of Engagements" intensiv getestet werden.


Alle Informationen zum Public Security Test sind auf der Webseite NCSC aufgeführt.

 

Die Code Repositories finden Sie unter folgenden Links:

 

Zur Zeit kann Ubique nur eine produktive Version der SwissCovid App zur Verfügung stellen, diese wird bereits für den Pilotbetrieb genutzt. Da die SwissCovid App auf der produktiven Umgebung läuft, und diese ausserhalb vom Scope des Public Security Tests ist, kann sie nicht dazu verwendet werden. Der Code von App und Backend Systemen steht öffentlich zur Verfügung und kann geprüft werden.

 

Die SwissCovid App kann aus dem bereitgestellten Code kompiliert werden, für eine uneingeschränkte Funktionalität auf dem eigenen Gerät bestehen folgende Voraussetzungen: Unter iOS werden spezielle Entitlements von Apple benötigt (siehe [1] und [2]). Bei Android muss dazu der eigene Playstore Account in eine Whitelist von Google eingetragen werden (siehe [3] und [4]). 

Wer darf am Public Security Test teilnehmen? Am Public Security Testing können alle Personen teilnehmen - auf nationaler wie internationaler Ebene - welche zur Erhöhung der Sicherheit des Proximity Tracing Systems einen Beitrag leisten wollen.
Wird für die Teilnahme am Public Security Test eine Anmeldung benötigt? Es ist keine Anmeldung nötig. Meldungen von Testergebnissen können auf der Webseite des NCSC direkt und ohne Anmeldung erfasst werden. Bei der Meldung von Testergebnissen können freiwillig Kontaktdaten angegeben werden. Dies ermöglicht es dem NCSC mit den Teilnehmern in Kontakt zu treten, falls Fragen bestehen. 
Was geschieht, wenn ein kritischer Fehler entdeckt wird? Das NCSC nimmt die Testresultate entgegen, bewertet deren Inhalte, priorisiert diese in Anbetracht ihrer Kritikalität und veranlasst ggf. die Behebung.  Wird ein Testresultat bzw. dessen Auswirkung als kritisch bewertet, wird die Behebung entsprechend priorisiert. 
Werden die Testergebnisse veröffentlicht? Bestehende Rückmeldungen sind auf der Webseite des NCSC öffentlich einsehbar und werden täglich aktualisiert.
Wird der Public Security Test aufgrund der erhöhten Aufmerksamkeit durch das Parlament durchgeführt? Nein. Der Public Security Test ist eine Sicherheitsmassnahme unter vielen, um die Sicherheit und Integrität des Proximity Tracing Systems (SwissCovid App und dazugehörige Umsysteme) zu gewährleisten und wurde schon früh in die Projektplanung aufgenommen. Dies entspricht dem üblichen Vorgehen bei derartigen Vorhaben bzw. Systemen. 
Müssen die Teilnehmer am Public Security Test eine Geheimhaltungs-Vereinbarung (Non-Disclosure Agreement) unterzeichnen? Nein. Es ist auch keine Registrierung oder Anmeldung notwendig. Bitte beachten Sie für die Durchführung von Test folgende wichtigen Informationen & Rahmenbedingungen (Scope & Rules of Engagement).
Ist es nicht illegal ein System anzugreifen? Im Rahmen des vorliegenden Public Security Tests des Proximity Tracing Systems ist es - im Rahmen des "Scope" und der "Rules of Engagements" - zulässig das System intensiv zu testen bzw. anzugreifen.  Bitte lesen Sie vor der Durchführung von Tests folgende wichtigen Informationen & Rahmenbedingungen um Unsicherheiten zu vermeiden
Was ist der Unterschied zwischen dem Public Security Test und dem Pilotbetrieb der SwissCovid App? Beim Pilotbetrieb wird insbesondere die Benutzerfreundlichkeit und Funktionalität der SwissCovid App getestet. Beim Public Security Test werden hingegen die dazugehörigen Umsysteme der SwissCovid App geprüft, hier stehen Sicherheitsaspekte im Vordergrund.

Wieso macht man die beiden «Test-Phasen» nicht gemeinsam?

Die beiden Phasen richten sich an unterschiedliche Personengruppen. In der Pilotphase wird die (eigentliche) Funktionsweise und Benutzbarkeit der SwissCovid-App durch den App-Nutzer in einem dafür vorgesehenen Umfeld getestet. Im Public Security Test geht es um die Sicherheit – IT-Experten sind deshalb eingeladen, das Proximity Tracing System einer vertieften Sicherheitsprüfung zu unterziehen. Beim Public Security Test stehen die Sicherheitsaspekte im Vordergrund.

Welches System genau wird getestet? 

Die «Rules of Engagement» definieren die Rahmenbedingungen des Public Security Tests und dessen Abgrenzungen. https://www.melani.admin.ch/melani/de/home/public-security-test/scope_and_rules.html

Dürfen auch ausländische Tester mitmachen?

Am Public Security Testing können alle Personen teilnehmen - auf nationaler wie internationaler Ebene - welche zur Erhöhung der Sicherheit des Proximity Tracing Systems einen Beitrag leisten wollen.

Wie lange dauert der Test?

Die Sicherheit der APP steht im Vordergrund, daher wurde erst ein Startdatum festgelegt. Damit die Sicherheitsexperten genügend Zeit haben die Systeme zu prüfen, wurde noch kein Endtermin definiert.

Kann es sein, dass die Ergebnisse einen Start der App im Juni verhindern? Wer entscheidet das?

Das NCSC nimmt die Testresultate entgegen, bewertet deren Inhalte, priorisiert diese in Anbetracht ihrer Kritikalität und veranlasst ggf. die Behebung.  Wird ein Testresultat bzw. dessen Auswirkung als kritisch bewertet, wird die Behebung entsprechend priorisiert. Bei jeder identifizierten Schwachstelle muss die Situation neu beurteilt werden.

Der Entscheid ob die App im Juni der Öffentlichkeit zur Verfügung gestellt werden kann, obliegt dem BAG. Zusätzlich muss die gesetzliche Grundlage vorliegen.

Fachkontakt
Letzte Änderung 28.05.2020

Zum Seitenanfang

https://www.melani.admin.ch/content/melani/de/home/public-security-test/faq.html