Die Sicherheit des Covid-Zertifikats wird seit Mai einem öffentlichen Härtetest unterzogen. Bisher wurden 136 Schwachstellen gemeldet.
Diese Anzahl von 136 bisher entdeckten Schwachstellen sei als «normal» einzustufen. Denn das Projekt, das vom Bundesamt für Informatik und Telekommunikation (BIT) durchgeführt wird, sei von «hoher technischer und organisatorischer Komplexität», rechtfertigt der Bund am Donnerstag die hohe Zahl an Problemstellen.
Ein 16-seitiger Bericht der Behörden gibt einen Überblick darüber, welche Mängel bisher gemeldet wurden. Aus Sicherheitsgründen würden aber einige vorerst noch analysiert und nicht veröffentlich werden, heisst es.
Einige Schwachstellen wurden bereits behoben oder als «Wontfix» klassifiziert. Zweiteres bedeutet, dass der Befund anerkannt wurde, «jedoch keine Notwendigkeit besteht, Änderungen vorzunehmen, da die Entwicklung nach expliziten nationalen oder europäischen Anforderungen durchgeführt wurde», wie der Bund etwas verwirrlich schreibt.
Das Ziel des sogenannten Public Security Tests ist «die Sicherheit des Covid-Zertifikats zu testen und Vertrauen vor dem öffentlichen Rollout aufzubauen». Deswegen wird der Sicherheitstest öffentlich durchgeführt, was bedeutet, dass jeder Zugang zum Quellcode hat und damit Schwachstellen entdecken und melden kann.
Der Public Security Test wird vom Nationalen Zentrum für Cybersicherheit (NCSC) geleitet und läuft noch weiter. Meldungen dazu können auf der Website des NCSC erfasst werden.
