Was beurteile Experten für IT-Sicherheit und Datenschutz die Corona-Warn-App? Und wie funktionieren Apps außerhalb des Heimatlandes? Die Entwicklung geht weiter.
Zahlreiche Sicherheitsexperten haben die App geprüft und bescheinigen der Corona-Warn-App ein hohes Sicherheitsniveau. Angriffspunkte und Gefahren gibt es bei der Kontaktnachverfolgung mittels App dennoch.
Die Corona-Warn-App biete ein Höchstmaß an Informationssicherheit, attestiert das Bundesamt für Sicherheit in der Informationstechnik (BSI), das auch Pentests am Backend der App durchgeführt hat. Auch der Bundesdatenschutzbeauftragte Ulrich Kelber erklärt in einer Pressemitteilung, dass nichts gegen eine Installation spräche, denn der Datenschutz sei ausreichend.
Zahlreiche Sicherheitsexperten haben den auf dem Portal Github veröffentlichten Sourcecode analysiert und entdeckte Mängel an die Entwickler zurückgemeldet. Die TÜV-Nord-Tochter TÜV-IT, die die App im Auftrag des BSI geprüft hatte, zeigte sich begeistert davon, wie schnell und in welcher Qualität die Entwickler auf noch entdeckte Schwachstellen reagiert hätten. Das spricht für einen erfolgreichen Entwicklungsprozess.
Doch Gefahren lauern an anderen Stellen: „Der Medienbruch von der App zur telefonischen Hotline ist keine gute Lösung“, erklärte Kelber. Nutzer sollen zwar zusammen mit einem positiven Testergebnis auch einen QR-Code erhalten, den sie einscannen können, doch viele Labore sind darauf noch nicht vorbereitet. Anfangs werden Nutzer deshalb aufgefordert, im Fall einer Infektion die Hotline des Robert-Koch Institut (RKI) anzurufen, um dafür zu sorgen, dass die Daten in der App verzeichnet werden. Diese Hotline könnte aber eine Sicherheitslücke darstellen, etwa wenn versucht wird, Fehlalarme auszulösen.
Probleme lauern auch in der von Google beziehungsweise Apple bereitgestellten Schnittstelle. Wissenschaftler der TU Darmstadt haben gemeinsam mit Kollegen der Universitäten Marburg und Würzburg gezeigt, dass Angreifer infizierte Nutzer identifizieren und Bewegungsprofile über sie erstellen können. Die dafür genutzten Mängel in den Schnittstellen sollen nun von Google und Apple behoben werden.
TeleTrusT präsentiert eigene Analyse
Der Bundesverband IT-Sicherheit (TeleTrusT) lud eigens zu einer Informationsveranstaltung zur Corona-App ein, um Probleme zu diskutieren. Schon vor Veröffentlichung der bundesdeutschen App habe eine einfache Suche nach „Corona-App“ sechs Treffer ergeben, berichtete ein Sicherheitsexperte des Verbandes. Es sei davon auszugehen, dass es sich um Trittbrettfahrer handele, die mit Fake-Apps versuchen, Nutzerdaten abzuziehen, warnte er. Er rechne mit einem weiteren Anstieg dieser Apps und empfahl, nicht direkt in den Appstores nach der App zu suchen, sondern über Links auf den Seiten der Gesundheitsbehörden oder der Bundesregierung den Download zu initiieren. Weitere Sicherheitsprobleme lauern häufig in den Bluetooth-Schnittstellen der Smartphones. Oft genug könnten Angreifer darüber unberechtigte Zugriffe erzielen oder Daten erbeuten.
Auch beim Datenschutz sieht der TeleTrusT noch Handlungsbedarf: Der auf Datenschutz spezialisierte Jurist Karsten Bartels forderte unter anderem die Veröffentlichung der relevanten Datenschutzdokumente, wie zum Beispiel die Vereinbarung zur Auftragsverarbeitung mit der Telekom und SAP. Auch läge noch keine Risikobewertung gemäß DSGVO § 32 vor. „Paragraf 32 ist die Kernnorm der DSGVO, was Technik und Sicherheit betrifft“, erklärt Bartels dazu. Dieser Paragraf fordert beispielsweise Sicherheitsmaßnahmen gemäß Stand der Technik. Unklar sei auch, ab welchem Alter die App genutzt werden darf, bemängelt Bartels. Die DSGVO fordert ein Mindestalter von 16 Jahren. Die Bundesregierung müsse eine Absenkung vornehmen, dann sei die Nutzung bereits ab dem 13 Lebensjahr möglich, so der Datenschutzexperte.
Europaweite Lösung lässt auf sich warten
Auf ein anderes Problem wies Thorsten Urbanski, Leiter der TeleTrusT-Arbeitsgruppe Mobile Security, hin: „Was passiert bei Auslandsreisen oder im Urlaub im Ausland?“, fragt er. Denn in Ländern wie Spanien oder Frankreich existieren zwar Apps, aber mit denen gäbe es keinen Datenaustausch. Wer dort einem infizierten Menschen begegnet, werde darüber nicht durch die App informiert. Zwar beabsichtigen die EU-Länder, ihre Apps kompatibel zu gestalten und die Warnwirkung auf die ganze EU ausweiten, doch davon ist man noch weit entfernt. Die Urlaubssaison, in der die Auswirkung eines internationalen Datenaustauschs am größten wäre, werden Europas Bürger ohne diese Funktion verbringen müssen.
Auf welche Apps andere Länder setzen, darüber informiert ein weitere Beitrag zum Thema.