22.07.2021 - Um die Sicherheit des COVID-Zertifikats zu prüfen, hat das NCSC unter anderem einen Public Security Test durchgeführt. In dem nun veröffentlichten Bericht gibt das NCSC einen Überblick zu den bisher gemeldeten Schwachstellen. Der Public Security Test läuft noch weiter.
Seit dem 7. Juni 2021 werden in der Schweiz Covid-Zertifikate ausgestellt. Um die Funktionalitäten und die Handhabung des gesamten Systems, wie auch die Sicherheit eingehend zu prüfen, wurden zuvor verschiedene interne und öffentliche Tests durchgeführt.
Die internen Analysen wurden vor und während der Einführung des Covid-Zertifikats unter Begleitung des NCSC von mehreren Stellen durchgeführt, darunter das Bundesamt für Informatik und Telekommunikation (BIT) und das Nationale Testinstitut für Cybersicherheit (NTC).
Mit der öffentlichen Analyse, dem Public Security Test, wird das System seit dem 31. Mai 2021 durch weitere Fachleute und interessierte Personen einem Härtetest unterzogen.
Die Phase der Einführung des COVID-Zertifikats ist abgeschlossen und geht nun in den normalen Betrieb über. Das NCSC gibt in einem Bericht einen Überblick zu den bisher gemeldeten Schwachstellen. Der Public Security Test läuft jedoch weiter. Sollten noch nicht bekannte Schwachstellen entdeckt werden, können diese weiterhin dem NCSC gemeldet werden unter:
Welche Funktionalitäten wurden getestet?
- Systeme und deren Komponenten, welche die Anfragen von COVID-Zertifikatsausstellern zur Erstellung und Signierung von COVID-Zertifikaten entgegennehmen, die kryptografischen Signaturen erzeugen und die ausgestellten COVID-Zertifikate an die Aussteller zurücksenden.
- Dienste, die die öffentlichen Schlüssel von vertrauenswürdigen Zertifikaten bereitstellen, um eine dezentrale offline Überprüfung zu ermöglichen und gesperrte Zertifikate zu erkennen.
- Kommunikationssysteme für den Austausch von Informationen zur Überprüfung elektronischer Signaturen von COVID-Zertifikaten auf ihre Authentizität, Integrität und Gültigkeit mit korrespondierenden Fremdsystemen, insbesondere im Rahmen des «Digital Green Certificate» der Europäischen Union.
- Mobile Apps (inkl. Konfigurations-Backends), die von COVID-Zertifikatsinhabern genutzt werden können, um COVID-Zertifikate auf ihren Mobiltelefonen zu speichern.
- Mobile Apps (inkl. Konfigurations-Backends) für die elektronische Überprüfung von COVID-Zertifikaten auf Authentizität, Integrität und Gültigkeit.
Wie viele Schwachstellen wurden gemeldet?
In der intensivsten Phase der Sicherheitstests wurden bisher 136 Befunde und Schwachstellen identifiziert.
Sie wurden in die folgenden Kategorien eingeteilt:
- Ongoing: die gemeldete Sicherheitslücke wird analysiert und eine Lösung des Problems wird vorbereitet.
- Fixed: die Sicherheitslücke wurde identifiziert und das Problem bereits behoben.
- Wontfix: Der Befund ist anerkannt, aber es besteht keine Notwendigkeit, Änderungen vorzunehmen, da die Entwicklung nach expliziten nationalen oder europäischen Anforderungen durchgeführt wurde.
- False Positive: was berichtet wurde, stellte sich als Fehleinschätzung der Melder heraus.
Fazit aus den gemeldeten Befunden und Schwachstellen?
- Anzahl gemeldeter Schwachstellen
Das vom BIT konzipierte und durchgeführte Projekt ist von hoher technischer und organisatorischer Komplexität. Daher ist die Anzahl von 136 gemeldeten Schwachstellen bei der umfangreichen Menge an Code und Infrastrukturen als normal einzustufen;
- Qualität der durchgeführten Tests und gemeldeten Schwachstellen
Sowohl öffentliche als auch interne Tests wurden mit grosser Genauigkeit durchgeführt. Die Ergebnisse der internen Analysen sowie der öffentlichen Tests waren von hoher Qualität. Es wurde insbesondere auch bei den Teilnehmenden des Public Security Tests viel Zeit und Ressourcen investiert, um mögliche Sicherheitslücken zu melden, was schlussendlich der ganzen Bevölkerung zu Gute kommt.
- Transparenz
Die Befunde wurden regelmässig auf der Website des NCSC publiziert. Diese Transparenz ist für das NCSC auch im Rahmen des Public Security Tests zur Sicherheit des COVID-Zertifikats zentral.
Abschlussbericht:
Letzte Änderung 22.07.2021
