In der Nacht von Montag auf Dienstag wurde die lang erwartete Corona-Warn-App des RKI in den App Stores freigeschaltet. Entwickelt wurde sie von der Deutschen Telekom und dem Softwarekonzern SAP. Auftraggeber war die Bundesregierung. Mit Hilfe der App sollen die Nutzer gewarnt werden, wenn sie ein erhöhtes Infektionsrisiko haben. Dabei haben die Entwickler in einer Art und Weise auf den Datenschutz geachtet, die sogar dem Chaos Computer Club ein Lob abrang. Experten sehen in der App dennoch ein potentielles Sicherheitsrisiko.


Schwachstelle im Google-Apple-Protokoll

Der Ansatz, den die deutsche Corona-App verfolgt, wurde von Google und Apple entwickelt. Dabei wird der Abstand zwischen zwei Smartphones mittels Bluetooth Low Energy gemessen. Die Tracing-App weist den Nutzern eine individuelle Kennung zu und erfasst dann, welche Smartphones einander nahegekommen sind. Im Falle einer Infektion warnt sie die Nutzer dann vor möglichen Infektionen, weil sie sich neben einer Erkrankten Person aufgehalten haben.


Eben dieses von Apple und Google entwickelte Protokoll kann aber zum Problem werden: IT-Experten Technischen Universität Darmstadt (TU), der Universität Marburg und der Universität Würzburg konnten experimentell nachweisen, dass externe Angreifer theoretisch detaillierte Bewegungsprofile der Infizierten erstellen können. Auch die Manipulation von Kontaktinformationen konnte realisiert werden.

Das sogenannte „Google Apple Protokoll“ (GAP) ist dabei im Betriebssystem installiert und ermöglicht den Datenaustausch zwischen App und System. Bedenken zu den Datenschutzrisiken des Protokolls gab es bereits seit einiger Zeit – was die Forscher zu einer genaueren Untersuchung veranlasste.

Angreifer können Bluetooth-IDs sammeln

Die Experimente zeigen, dass GAP einerseits anfällig ist für die Erstellung von Profilen und so möglicherweise die De-Anonymisierung von infizierten Personen erlaubt. Andererseits sind in GAP auch so genannte Relay- oder Wurmloch-Angriffe möglich, wodurch Angreifer falsche Kontaktinformationen generieren können und somit die Genauigkeit und Korrektheit des Gesamtsystems leidet“ so die Forscher.

So können Daten von Covid-19-Infizierten dupliziert werden. Angreifer können außerdem Bluetooth-Benutzer-IDs sammeln, die von der Tracing-App erzeugt werden. Diese lassen sich anschließend umleiten. Die Forscher konnten im Experiment ID-Nummern zwischen zwei 40 Kilometer voneinander entfernten Städten übertragen.

TÜV: Die App ist sicher

Der IT-Dienstleister TÜV Informationstechnik hat die App im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik geprüft. Die App sei stabil und sicher, so das Urteil des TÜV. Der TÜV überprüfte außerdem, ob Angreifer Daten abgreifen können. „ Das ist nicht der Fall. Die Anwender müssen keine Angst vor Überwachung haben„, so TÜV-IT-Chef Dirk Kretzschmar. Die App laufe gut, und das trotz instabiler älterer Versionen. „ Die Tester hatten zum Schluss aber ein sehr positives Bild, weil inzwischen alles sehr stabil läuft. Sie waren auch ziemlich begeistert davon, wie schnell und in welcher Qualität die Entwickler auf noch entdeckte Schwachstellen reagiert haben.„, so Kretschmar weiter.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.