Ein Mann schaut sich die Corona-Warn-App in der Entwickler-Version auf seinem Smartphone an. | dpa

Kritik zur Veröffentlichung Wie sicher ist die Corona-Warn-App?

Stand: 16.06.2020 03:01 Uhr

Seit heute kann die offizielle deutsche Corona-Warn-App heruntergeladen werden. Bei Datenschützern kommt sie gut weg. Trotzdem gibt es Kritik an ihrer Sicherheit. Vor allem die Hotline könnte ein möglicher Angriffspunkt sein.

Von Dennis Horn, WDR

Datenschützer und Experten hatten schon vor dem Start viel Lob für die deutsche Corona-Warn-App übrig. Sie mache "insgesamt einen soliden Eindruck", heißt es vom Bundesdatenschutzbeauftragten Ulrich Kelber in der "Saarbrücker Zeitung". "In Deutschland hat es etwas länger gedauert. Das war aber auch richtig", sagte der Informatiker Henning Tillmann, Vorsitzender des digitalpolitischen Vereins D64, der tagesschau.

Dennis Horn

Trotzdem: Nach der Veröffentlichung des Quellcodes mussten sich SAP und Deutsche Telekom zuletzt auch mit einer Reihe von Schlagzeilen beschäftigen, die die Sicherheit der App in Frage stellten.

Telefon-Hotline als mögliche Sicherheitslücke

Als sensibler Punkt gilt vor allem die Hotline für Infektionsmeldungen. Nutzer sollen zusammen mit einem positiven Testergebnis auch einen QR-Code erhalten, den sie mit der App einscannen können. So können sie bestätigen, dass sie tatsächlich infiziert sind. Doch viele Labore sind nicht darauf vorbereitet, diese QR-Codes sicher genug zu erzeugen - ein Zeichen für die Versäumnisse in der Digitalisierung.

Zu Beginn werden Nutzer deshalb aufgefordert, im Fall einer Infektion eine Hotline anzurufen, die auch dann ins Spiel kommt, wenn Nutzer QR-Codes verloren oder andere Probleme damit haben, sie einzuscannen. Die Mitarbeiter der Hotline stellen dann eine Reihe von Fragen, um abzusichern, dass die Anrufer tatsächlich positiv getestet wurden.

Genau diese Hotline könnte aber auch zur möglichen - menschlichen - Sicherheitslücke werden: Würde es Trollen gelingen, sich durch die Fragen zu schummeln und Fehlalarme auszulösen, könnte damit das Vertrauen der Nutzer in die App nachhaltig geschädigt werden.

TÜV-Tochter hätte sich mehr Zeit für Tests gewünscht

Ein Sicherheitshinweis kam von der TÜV-Nord-Tochter TÜV-IT. Deren Experten haben die App im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik geprüft und schwerwiegende Mängel bei den TAN-Codes entdeckt, die Nutzer im Fall einer Infektion eingeben können. Der Algorithmus, mit dem diese Codes erzeugt wurden, sei zunächst zu leicht zu knacken gewesen.

Dieser Fehler sei zwar behoben. Seine Tester seien "ziemlich begeistert davon, wie schnell und in welcher Qualität die Entwickler auf noch entdeckte Schwachstellen reagiert haben", lobte TÜV-IT-Chef Dirk Kretzschmar. Dem Fachportal "heise online" sagte er aber auch, dass er sich mehr Zeit für Tests und eine spätere Veröffentlichung gewünscht hätte. Große Teile der App seien nach wie vor ungeprüft.

Lassen sich infizierte Nutzer identifizieren?

Für Aufsehen hatte zuletzt auch ein Papier von Wissenschaftlern der Technischen Universität Darmstadt sowie den Universitäten Marburg und Würzburg gesorgt. Sie hatten gezeigt, dass Angreifer infizierte Nutzer identifizieren und Bewegungsprofile über sie erstellen können.

Diese Möglichkeit betrifft jedoch nicht die deutsche Corona-Warn-App selbst, sondern die Schnittstellen in den Betriebssystemen von Google und Apple, auf die offizielle behördliche Corona-Apps zugreifen können.

Dass es an dieser Stelle auch Sicherheitsrisiken gibt, ist schon länger bekannt. Um sie ausnutzen zu können, müssten Angreifer aber einen so enormen Aufwand betreiben, dass es sich dabei um eine eher akademische Diskussion handeln dürfte.

Gute Noten von Fachleuten - aber kein Selbstläufer

Am Ende bleibt es dabei: Die Corona-Warn-App bekommt von Fachleuten für den Moment vorwiegend gute Noten. Ein Selbstläufer wird sie aber wohl dennoch nicht. Die Bluetooth-Technik, auf die die App setzt, wird zweckentfremdet - sie war nie zur Kontaktverfolgung gedacht. Und dass noch größere Sicherheitsrisiken auftreten, ist nicht ausgeschlossen - schließlich ist keine Software hundertprozentig sicher.

Über dieses Thema berichtete die tagesschau am 16. Juni 2020 um 09:00 Uhr.