Ein Mann schaut sich die Corona-Warn-App in der Entwickler-Version auf seinem Smartphone an. | Bildquelle: dpa

Kritik zur Veröffentlichung Wie sicher ist die Corona-Warn-App?

Stand: 16.06.2020 03:01 Uhr

Seit heute kann die offizielle deutsche Corona-Warn-App heruntergeladen werden. Bei Datenschützern kommt sie gut weg. Trotzdem gibt es Kritik an ihrer Sicherheit. Vor allem die Hotline könnte ein möglicher Angriffspunkt sein.

Von Dennis Horn, WDR

Datenschützer und Experten hatten schon vor dem Start viel Lob für die deutsche Corona-Warn-App übrig. Sie mache "insgesamt einen soliden Eindruck", heißt es vom Bundesdatenschutzbeauftragten Ulrich Kelber in der "Saarbrücker Zeitung". "In Deutschland hat es etwas länger gedauert. Das war aber auch richtig", sagte der Informatiker Henning Tillmann, Vorsitzender des digitalpolitischen Vereins D64, der tagesschau.

Trotzdem: Nach der Veröffentlichung des Quellcodes mussten sich SAP und Deutsche Telekom zuletzt auch mit einer Reihe von Schlagzeilen beschäftigen, die die Sicherheit der App in Frage stellten.

Die Corona-App im Praxistest
tagesthemen 22:15 Uhr, 16.06.2020, Torben Börgers, NDR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Telefon-Hotline als mögliche Sicherheitslücke

Als sensibler Punkt gilt vor allem die Hotline für Infektionsmeldungen. Nutzer sollen zusammen mit einem positiven Testergebnis auch einen QR-Code erhalten, den sie mit der App einscannen können. So können sie bestätigen, dass sie tatsächlich infiziert sind. Doch viele Labore sind nicht darauf vorbereitet, diese QR-Codes sicher genug zu erzeugen - ein Zeichen für die Versäumnisse in der Digitalisierung.

Zu Beginn werden Nutzer deshalb aufgefordert, im Fall einer Infektion eine Hotline anzurufen, die auch dann ins Spiel kommt, wenn Nutzer QR-Codes verloren oder andere Probleme damit haben, sie einzuscannen. Die Mitarbeiter der Hotline stellen dann eine Reihe von Fragen, um abzusichern, dass die Anrufer tatsächlich positiv getestet wurden.

Genau diese Hotline könnte aber auch zur möglichen - menschlichen - Sicherheitslücke werden: Würde es Trollen gelingen, sich durch die Fragen zu schummeln und Fehlalarme auszulösen, könnte damit das Vertrauen der Nutzer in die App nachhaltig geschädigt werden.

TÜV-Tochter hätte sich mehr Zeit für Tests gewünscht

Ein Sicherheitshinweis kam von der TÜV-Nord-Tochter TÜV-IT. Deren Experten haben die App im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik geprüft und schwerwiegende Mängel bei den TAN-Codes entdeckt, die Nutzer im Fall einer Infektion eingeben können. Der Algorithmus, mit dem diese Codes erzeugt wurden, sei zunächst zu leicht zu knacken gewesen.

Dieser Fehler sei zwar behoben. Seine Tester seien "ziemlich begeistert davon, wie schnell und in welcher Qualität die Entwickler auf noch entdeckte Schwachstellen reagiert haben", lobte TÜV-IT-Chef Dirk Kretzschmar. Dem Fachportal "heise online" sagte er aber auch, dass er sich mehr Zeit für Tests und eine spätere Veröffentlichung gewünscht hätte. Große Teile der App seien nach wie vor ungeprüft.

Lassen sich infizierte Nutzer identifizieren?

Für Aufsehen hatte zuletzt auch ein Papier von Wissenschaftlern der Technischen Universität Darmstadt sowie den Universitäten Marburg und Würzburg gesorgt. Sie hatten gezeigt, dass Angreifer infizierte Nutzer identifizieren und Bewegungsprofile über sie erstellen können.

Diese Möglichkeit betrifft jedoch nicht die deutsche Corona-Warn-App selbst, sondern die Schnittstellen in den Betriebssystemen von Google und Apple, auf die offizielle behördliche Corona-Apps zugreifen können.

Dass es an dieser Stelle auch Sicherheitsrisiken gibt, ist schon länger bekannt. Um sie ausnutzen zu können, müssten Angreifer aber einen so enormen Aufwand betreiben, dass es sich dabei um eine eher akademische Diskussion handeln dürfte.

Gute Noten von Fachleuten - aber kein Selbstläufer

Am Ende bleibt es dabei: Die Corona-Warn-App bekommt von Fachleuten für den Moment vorwiegend gute Noten. Ein Selbstläufer wird sie aber wohl dennoch nicht. Die Bluetooth-Technik, auf die die App setzt, wird zweckentfremdet - sie war nie zur Kontaktverfolgung gedacht. Und dass noch größere Sicherheitsrisiken auftreten, ist nicht ausgeschlossen - schließlich ist keine Software hundertprozentig sicher.

Corona Warn App: Bundesministerin Lambrecht mahnt zu Sorgfalt
Alfred Schmit, ARD Berlin
16.06.2020 06:34 Uhr

Download der Audiodatei

Wir bieten dieses Audio in folgenden Formaten zum Download an:

Hinweis: Falls die Audiodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Über dieses Thema berichtete die tagesschau am 16. Juni 2020 um 09:00 Uhr.

Korrespondent

Dennis Horn  | Bildquelle: Bettina Fürst-Fastré Logo WDR

Dennis Horn, WDR

Darstellung: