16. Juni 2020

Corona-Warn-App: TÜV äußert Kritik

Die Corona-Warn-App sei sicher, da sind sich fast alle einig. Nur der TÜV sah es anders. In einem ausführlichen Artikel von “Heise online” äußerte der Geschäftsführer des TÜV Informationstechnik (TÜVit) seine Kritik an der App. 1

Lesedauer: 2 Minuten

Nur zwei Wochen Zeit

Eigentlich hätten sie gerne vier Wochen Zeit gehabt, um die deutsche Corona-Warn-App zu prüfen, erklärt Dirk Kretzschmar, Geschäftsführer des TÜVit gegenüber “Heise online” in einem Artikel vom 12.06.2020. Ursprünglich sei vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nur eine Woche für die Sicherheitstestung veranschlagt worden, um den Veröffentlichungstermin der App einhalten zu können. Der TÜVit konnte zwar seine Auftragsdauer auf zwei Wochen ausweiten, doch auch das reiche nicht, um die App komplett zu prüfen, zumal nur gewisse Teile der Software überhaupt im Prüfauftrag enthalten sind.

Nur Teile der App konnten geprüft werden

Nicht vom TÜVit geprüft wurden zum Beispiel diejenigen Funktionen der App, die von Google und Apple zur Verfügung gestellt werden, ebenso wenig wie die Sicherheit der Daten, die auf dem Handy selbst in einer SQLCipher-Bibliothek geschützt werden.

TAN-Codes sind zu leicht generierbar

Die TAN-Codes, die Patienten bei einem positiven Corona-Test erhalten und dann in die App eingeben, seien leicht nachzueifern. Es sei daher möglich, so Kretzschmar, die App mit einer Flut an gefälschten positiven Ergebnissen zu sabotieren. Die gefundenen Probleme seien den zuständigen Entwicklern bereits zurückgemeldet worden.

Keine Weitergabe von Nutzerdaten

Positiv sieht Kretzschmar hingegen, dass sein Team bisher über die Dienste von Apple oder Google hinaus (die nicht im Prüfauftrag enthalten sind) keine weiteren Tracking-Technologien gefunden habe. Auch die Nutzerdaten scheinen gesichert.

Unstimmigkeiten in der Berichterstattung

Am 13.06.2020 veröffentliche die Deutsche Presseagentur (dpa) eine Meldung, in der Kretzschmar die oben erwähnten Punkte nur teilweise anspricht. So scheint in diesem Bericht das TAN-Problem bereits behoben worden zu sein. Dass der TÜVit jedoch einen großen Teil der App gar nicht überprüft hat, kommt bei der dpa nicht zur Sprache. Heise-Redakteur Fabian Scherschel ordnet die Abweichungen in seinem Artikel ein. 2

  • Prüffirma TÜV-IT: Corona-Warn-App ist stabil und sicher

    Die für kommende Woche erwartete Corona-Warn-App des Bundes wird nach Einschätzung des IT-Dienstleisters TÜV Informationstechnik stabil und sicher laufen, ohne die Anwender auszuspionieren. Das habe eine Prüfung der App ergeben, die man im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) unternommen habe, sagte TÜV-IT-Chef Dirk Kretzschmar am Samstag der Deutschen Presse-Agentur.

    Bei der Überprüfung der App habe man auch kontrolliert, ob Unbefugte Daten abgreifen könnten. „Das ist nicht der Fall. Die Anwender müssen keine Angst vor Überwachung haben.“ Die Entwickler von SAP und T-Systems hätten auch sichergestellt, dass niemand über die App Zugriff auf andere Daten bekomme.

    Frühe Versionen der App seien noch instabil gewesen, sagte Kretzschmar. „Die Tester hatten zum Schluss aber ein sehr positives Bild, weil inzwischen alles sehr stabil läuft. Sie waren auch ziemlich begeistert davon, wie schnell und in welcher Qualität die Entwickler auf noch entdeckte Schwachstellen reagiert haben.“

    Bei dem Prüfprozess habe man sich auch intensiv mit der Frage beschäftigt, wie in der App die Eingabe einer Infektion abgesichert werden solle. Diese erfolgt über einen QR-Code aus dem Testlabor oder mit Hilfe einer TAN, die der Betroffene von einer Telefon-Hotline erhält. Hier sei es zum Beispiel darum gegangen, ein sicheres Verfahren anzuwenden, bei dem die TAN nicht leicht erraten oder die Status-Eingabe durch einen „Brute-Force-Anfgriff“ durch massenhafte Eingaben erzwungen werden kann.

    Die offizielle deutsche App setzt auf den Smartphone-Schnittstellen von Apple und Google auf und wurde von SAP und der Deutschen Telekom entwickelt. Die App soll helfen, Ansteckungen nachzuverfolgen und Infektionsketten frühzeitig zu unterbrechen. Die App erfasst, welche Smartphones einander nahegekommen sind – und warnt dann Nutzer, wenn sich herausstellt, dass sie sich neben infizierten Personen aufgehalten haben.

  1. Heise online: TÜV-Prüfung der Corona-App: Lücken gefunden, Kritik am Veröffentlichungstermin“ von Fabian A. Scherschel, 12.06.2020
  2. Heise online: TÜV-Prüfung der Corona-App: App soll stabil und sicher laufen“ von Fabian A. Scherschel, 14.06.2020
  3. dpa, 13.06.2020

Bildquelle: © Getty Images/marchmeena29

Jetzt kommentieren

Möchten Sie den Beitrag kommentieren?

Angemeldete Mitglieder unserer Ärzte-Community können Beiträge kommentieren und Kommentare anderer Ärzte lesen.


Jetzt kommentieren

Verantwortlich für den Inhalt dieser Seite ist 
coliquio GmbH gemäß §4 HWG.

coliquio GmbH
Turmstraße 22
78467 Konstanz
www.coliquio.de

Tel.: +49 7531 363 939 300
Fax: +49 7531 363 939 900
Mail: info@coliquio.de

Vertretungsberechtigte Geschäftsführer:
Felix Rademacher, Martin Drees
Handelsregister: Amtsgericht Freiburg 
Registernummer: HRB 701556
USt-IdNr.: DE256286653