Seit dem 7. Juni 2021 werden erste Covid-Zertifikate in den Kantonen ausgestellt. Ende Juni soll das System schweizweit eingeführt werden und einen sehr hohen Sicherheitsgrad aufweisen. Beim öffentlichen Sicherheitstest ist die Forschungsgruppe IAM des Institute for Data Applications and Security (IDAS) der Berner Fachhochschule (BFH) dabei.

Für diesen Public Security Test stehen eine aktuelle Version des Quellcodes und eine spezielle Test-Infrastruktur zur Verfügung. Die Forschungsgruppe der BFH, die als Schwerpunkte elektronische Identitäten und Schutz der Privatsphäre hat, sieht es als eine ihrer wichtigsten Aufgaben an, solche öffentlichen Vorhaben mit ihrer gesamten Fachkompetenz zu unterstützen.

Wie geht man vor?

Testen ist ähnlich wie das Suchen einer Nadel im Heuhaufen. Daher ist es wichtig, systematisch vorzugehen und alle Ergebnisse – egal, ob positiv oder negativ – zu dokumentieren. Man versucht auch, Tests zu automatisieren und dadurch leicht wiederholen zu können. Durch die Wiederholung auf einer aktualisierten Version kann man dann auch beweisen, dass eine Lücke oder Schwachstelle geschlossen wurde.

• Definition eines Testziels: Man definiert den Angriffsvektor auf das System. Zu Auswahl dient meist die Frage: Was ist das lohnendste Angriffsszenario?
• Analyse der Infrastruktur: Die Architektur rund um die Covid-Zertifikate wurde veröffentlicht ( https://github.com/admin-ch/CovidCertificate-Documents). In Abhängigkeit des gesetzten Ziels und der eigenen Kompetenzen wählt man die Komponenten, die am meisten relevante Untersuchungsresultate versprechen.
• Aufbau einer Test-Umgebung: Mit Hilfe des öffentlich verfügbaren Codes wird eine Umgebung aufgebaut, mit der schnell viele Varianten (mehr oder weniger) automatisch getestet und dokumentiert werden können. Voraussetzung ist der Zugang zur Covid-Zertifikats-Testumgebung, für die man Zugang beantragen muss (siehe: https://github.com/admin-ch/CovidCertificate-Apidoc#howto-become-a-system-integrator-using-the-api– ).
• Testen: Man analysiert die gewählten Komponenten und schaut sich die Dokumentation an. Dann kommt der kreative Teil. Man muss sich vom vorgedachten Prozess bzw. der dokumentierten Funktionalität lösen und versuchen, etwas anderes zu machen. Dazu kann man z.B. Eingabedaten verändern und versuchen die Teile wegzulassen, zu erweitern oder auch mit zufälligen Inhalten zu füllen.

Erste Ergebnisse

Die BFH-Forschenden konzentrierten sich zunächst auf das Management API im Backend, das die QR-Codes und PDF-Dokumente erzeugt. Die bisher gefundenen Fehler sind nicht schwerwiegend und stellen kein Sicherheitsrisiko dar. Dennoch trägt das Auffinden und die anschliessende Behebung von kleinen Sicherheitslücken dazu bei, das Gesamtsystem zu sichern und zu stabilisieren.

In den nächsten Wochen werden die Forschenden am IDAS ihre Bemühungen fortsetzen, um das Vertrauen und die Zuverlässigkeit der Covid-Zertifikate und der ausstellenden Systeme weiter zu erhöhen. Damit wird ein Beitrag zur Akzeptanz des Covid-Zertifikates, der Impfung und damit der Bekämpfung der Pandemie geleistet.

Die erste gefundene Meldung

Die eingereichte und vom BIT akzeptierte Meldung (siehe: https://www.ncsc.admin.ch/ncsc/de/home/dokumentation/covid-certificate-pst/current_findings.html ) ist unkritisch in Bezug auf das Gesamtsystem, da das betroffene Management-API im Backend sehr gut mit Hilfe persönlicher TLS-Zertifikate und einem 12 Stunden gültigen Einmal-Passwort (sog. OTP), das nur von berechtigten Benutzern erzeugt werden kann, geschützt ist. Da diese Schnittstelle zukünftig von den Ärztepraxissystemen oder Apothekersoftware verwendet werden soll, ist es wichtig, alle gesendeten Daten systematisch zu prüfen und Fehler bzw. ungültige Angaben zurückzuweisen. Nur so kann eine hohe Qualität der Zertifikate erreicht werden.