Die Piratenpartei beider Basel kam in ihrer Beurteilung der COVID-19-Apps zum Schluss, dass es zu wenig Transparenz bei der von Amazon bereit gestellten Infrastruktur gibt. Mit verschiedenen Öffentlichkeitsgesuchen haben wir versucht, Licht ins Dunkle zu bringen und die Entscheide nachzuvollziehen. Nun liegen uns erste Antworten vor.
Warum Amazon?
Nach Gesprächen mit dem BIT haben wir folgende Begründung schriftlich erhalten:
Wie Sie bereits am 22.6.2020 per Mail von mir informiert wurden, war infolge der Pandemie zu Covid-19 die Auslastung der durch das BIT betriebenen Webseiten des BAG und der Bundeskanzlei (www.admin.ch und www.bag.admin.ch) so gross, dass das rechtzeitige Abrufen von Informationen des Bundes nicht mehr gewährleistet werden konnte, da die Server des BIT nicht für diese grosse Menge von Anfragen ausgelegt sind. [Anmerkung: Siehe dazu unser Blogpost.] Im Rahmen der dringlichen Suche nach einer Lösung für dieses Problem (Entlastung der BIT-Server), hat Google dem BIT das Angebot unterbreitet, ein Cloud Distribution Network [Anmerkung: CDN] gratis zur Verfügung stellen. Dieses Angebot war jedoch in der Menge und in der Zeit dahingehend limitiert, dass damit nur eine der beiden Webseiten gratis über das CDN von Google hätte publiziert werden können. Da die beiden Sites einen inneren technischen Zusammenhang haben (beide Websites sind mit vielen internen Links miteinander verbunden und greifen teilweise auf die gleichen Datenbestände zu), mussten zwingend für beide Sites eine CDN-Lösung gesucht werden. Deshalb wurden schliesslich Leistungen über einen bereits mit der Bundesverwaltung bestehende Vertrag [Anmerkung: Dabei handlet es sich um ein Vertrag zwischen Amazon und Swisstopo] bei der Amazon Web Services [Anmerkung: AWS] EMEA SARL bezogen, da das BIT mit AWS bereits Erfahrungen hatte und aufgrund der dringlichen Situation eine Lösung sehr rasch umgesetzt werden konnte.
Antwort des BIT
Weiter ging aus den Gesprächen hervor, dass für die SwissCovid-Infrastruktur nun ein neuer Vertrag, basierend auf dem existierenden von Swisstopo, ausgehandelt wurde, damit das Vertragsvolumen von Swisstopo nicht aufgebraucht wird. Die Ausschreibung von Swisstopo findet sich im simap unter der Projekt-ID: 163543.
Statistiken zur SwissCovid-Infrastruktur
Die Anzahl aktiver Apps und Downloads sagt noch nichts über die Last auf der Server-Infrastruktur aus. Darum haben wir die Eckdaten Angefragt:
Wir haben eine CloudFront (Endpunkt pt.bfs.admin.ch), sowie ein dazugehöriges Backend (Endpunkt pt.bit.admin.ch). Beide haben einen WAF/DDOS-Schutz. Die grosse Mehrheit des Datenverkehrs (>99%) wird jedoch von der CloudFront behandelt.
Antwort des BIT
Statistische Informationen über die für die SwissCovid-App Infrastruktur (www.pt.bfs.admin.ch) verwendete CloudFront-Distribution, stündlich extrahiert zwischen 24.8.2020 und 30.8.2020:
Traffic
Total CloudFront outgoing traffic: 4’039.74 Gigabits
Anzahl gleichzeitiger Zugriffe (Anfragen pro Sekunde)
Maximum request per second: 1’831 req/s Average requests per second: 396 req/s
Verwendete Bandbreite (Rx/Tx)
Max outgoing traffic 35.93 Megabits/s Average outgoing traffic: 6.84 Megabits/s
Da die Anzahl der Nutzer laufend steigt, nimmt auch das Datenvolumen stetig zu. Der Auswertungszeitraum vom 24.8.-30.8. spiegelt deshalb den zum Zeitpunkt der Auswertung vom 4.9. vorliegenden Höchststand wider. Das Datenvolumen wird aber weiter zunehmen.
Antwort des BIT
Schutz vor Netzwerkangriffen
Neben der Bewältigung der vielen Zugriffe ist eine zentrale Aufgabe des Infrastruktur Providers das Filtern von ungültigen Anfragen, die in grosser Zahl die Infrastruktur überfordern und damit lahmlegen könnten.
Auf der CloudFront-Ebene: Für den Zeitraum 24.8 bis 30.8 haben wir keine erkannten DDOS-Angriffe festgestellt und maximal 0.034% des gesamten Datenverkehrs herausgefiltert.
Antwort des BIT
Grafik des BIT zum Netzwerkfilter
Keine Rohdaten, Kein OpenData
Im Gegensatz zu den Download nun Nutzungszahlen handelt es sich hierbei nur um einen kleinen Ausschnitt. Die genauen Daten liegen uns nicht vor und auf unseren Wunsch, diese ebenfalls als OpenData zur Verfügung zu stellen, wurde nicht eingegangen.
Derzeit laufen noch weitere Öffentlichkeitsgesuche. Sobald wir neue Informationen befreit haben, werden wir wieder hier darüber berichten.
Die Piratenpartei beider Basel kam in ihrer Beurteilung der COVID-19-Apps zum Schluss, dass es zu wenig Transparenz bei der von Amazon bereit gestellten Infrastruktur gibt. Mit verschiedenen Öffentlichkeitsgesuchen haben wir versucht, Licht ins Dunkle zu bringen und die Entscheide nachzuvollziehen. Nun liegen uns erste Antworten vor.
Warum Amazon?
Nach Gesprächen mit dem BIT haben wir folgende Begründung schriftlich erhalten:
Weiter ging aus den Gesprächen hervor, dass für die SwissCovid-Infrastruktur nun ein neuer Vertrag, basierend auf dem existierenden von Swisstopo, ausgehandelt wurde, damit das Vertragsvolumen von Swisstopo nicht aufgebraucht wird.
Die Ausschreibung von Swisstopo findet sich im simap unter der Projekt-ID: 163543.
Statistiken zur SwissCovid-Infrastruktur
Die Anzahl aktiver Apps und Downloads sagt noch nichts über die Last auf der Server-Infrastruktur aus. Darum haben wir die Eckdaten Angefragt:
Statistische Informationen über die für die SwissCovid-App Infrastruktur (www.pt.bfs.admin.ch) verwendete CloudFront-Distribution, stündlich extrahiert zwischen 24.8.2020 und 30.8.2020:
Traffic
Total CloudFront outgoing traffic: 4’039.74 Gigabits
Anzahl gleichzeitiger Zugriffe (Anfragen pro Sekunde)
Maximum request per second: 1’831 req/s
Average requests per second: 396 req/s
Verwendete Bandbreite (Rx/Tx)
Max outgoing traffic 35.93 Megabits/s
Average outgoing traffic: 6.84 Megabits/s
Schutz vor Netzwerkangriffen
Neben der Bewältigung der vielen Zugriffe ist eine zentrale Aufgabe des Infrastruktur Providers das Filtern von ungültigen Anfragen, die in grosser Zahl die Infrastruktur überfordern und damit lahmlegen könnten.
Keine Rohdaten, Kein OpenData
Im Gegensatz zu den Download nun Nutzungszahlen handelt es sich hierbei nur um einen kleinen Ausschnitt. Die genauen Daten liegen uns nicht vor und auf unseren Wunsch, diese ebenfalls als OpenData zur Verfügung zu stellen, wurde nicht eingegangen.
Derzeit laufen noch weitere Öffentlichkeitsgesuche. Sobald wir neue Informationen befreit haben, werden wir wieder hier darüber berichten.
Update 05.11.2020: Inzwischen haben wir mehr Daten erhalten.