Das sind die Schwachstellen der Swiss-Covid-App

Die Swiss-Covid-App hat Sicherheitsmängel und ein Datenschutzproblem. Zu diesem Urteil kommen Cybersicherheitsspezialisten, die sich das Schweizer Tool zur Ermittlung von Kontaktpersonen angeschaut haben. Einer von ihnen ist Serge Vaudenay, Professor für Kryptographie an der ETH Lausanne (EPFL). Er hat dem Computer Security Incident Response Team (CSIRT) des Bundesamtes für Informatik und Telekommunikation (BIT) einen Bericht vorgelegt.

Vor allem der Einsatz der Bluetooth-Technologie berge Risiken, sagt der Spezialist auf Anfrage. Dritte könnten die Telefone, auf denen die Swiss-Covid-App installiert ist, problemlos zurückverfolgen. "Die Anwendung sendet Kennungen aus, die ständig wiederholt werden und sich alle 12 Minuten ändern. Innerhalb dieses Zeitrahmens wird die gleiche ID etwa 2000 Mal wiederholt. Das ist enorm", sagt Vaudenay. Diese Funktion mache es sehr einfach, ein Telefon mithilfe eines simplen Bluetooth-Scanners zu verfolgen.

Daten abgleichen und Nutzer identifizieren

Die App berge auch Risiken in Bezug auf die Privatsphäre der Personen, bei denen ein Covid-19-Test positiv ausgefallen ist. Zwar erfolgt die Identifizierung der Benutzer mittels eines Pseudonyms. Gleiche man die Daten jedoch mit weiteren von Drittpersonen ab, lasse sich die Identität des Benutzers herausfinden, sagt der Experte. Diese Verwundbarkeit bestehe aufgrund des dezentralisierten Ansatzes, auf dem Swiss-Covid basiere, ergänzt der EPFL-Forscher. Zu Beginn der Entwicklungsphase habe er deshalb die Programmierer aufgefordert, "weder ein zentralisiertes noch ein dezentralisiertes" System einzuführen, sondern einen Ansatz nach dem Vorbild des kryptographischen Protokolls von Diffie-Hellman zu wählen.

Falsche Alarme und gestohlene Codes

Wird ein Anwender positiv auf das Coronavirus getestet, erhält er vom Arzt einen einmal gültigen Code. Gibt er diesen in der App ein, werden die Kontaktpersonen der vergangenen Tage benachrichtigt. Diese Codes könnten unter Umständen zu falschen Alarmen führen, wie Vaudenay ausführt. So könnten Hacker in das Computersystem eines Arztes eindringen und sich so die Codes beschaffen, oder ein unbefugter könnte an die Codes gelangen, indem er einen Arzt oder einen positiv getesteten Patienten erpresst. Falsch-positive Ergebnisse (False Positives) könnten auch durch sogenannte Replay-Angriffe ausgelöst werden. Hierbei schneidet ein Angreifer die ausgesendeten Handy-IDs potenziell positiv getesteter Anwendern mit, etwa auf einem Testgelände. Dann sendet er dieselben IDs in einer anderen Umgebung wieder aus und täuscht so weitere Kontakte vor.

Schliesslich greift die Swiss-Covid-App auf Programmschnittstellen (APIs) von Google und Apple zurück. Mit diesen werde die eigentliche Kontaktverfolgung implementiert. Da die Schnittstellen jedoch nicht Open Source seien, sei ein entscheidender Teil der Anwendung nicht quelloffen verfügbar. Allerdings schreibt die kürzlich vom Parlament verabschiedete Rechtsgrundlage zur Swiss-Covid-App ausdrücklich vor, der Programmcode müsse öffentlich zugänglich sein.