IT-Experten zeigen Sicherheitslücken bei Corona-Warn-App auf – TÜV sieht keine Bedenken

Coronavirus

Können bei der Corona-Warn-App der Bundesregierung Kontaktinformationen manipuliert werden? Der TÜV Informationstechnik gibt Entwarnung. Diese Lücken zeigen IT-Experten bei Tracing-Apps auf.

Darmstadt/Marburg/Würzburg/Berlin

13.06.2020, 12:53 Uhr / Lesedauer: 2 min
Die Corona-Warn-App der Bundesregierung könnte nach Einschätzung von IT-Experten erhebliche Sicherheitsmängel haben.

Die Corona-Warn-App der Bundesregierung könnte nach Einschätzung von IT-Experten erhebliche Sicherheitsmängel haben. © picture alliance/dpa

Wie sicher ist die Technologie der Corona-Tracing-Apps wirklich? Wissenschaftler der Technischen Universität Darmstadt (TU), der Universität Marburg und der Universität Würzburg warnen in einer jüngst veröffentlichten Studie vor Datenschutz- und Sicherheitsrisiken bei dem von Google und Apple vorgeschlagenen Ansatz.

Auf diesem Konzept basiert auch die von der Deutschen Telekom und dem Softwarekonzern SAP im Auftrag der Bundesregierung entwickelte Corona-Warn-App. Dabei wird der Abstand zwischen zwei Smartphones per Bluetooth-Technologie ermittelt. Die Tracing-App erfasst, welche Smartphones einander nahegekommen sind – und warnt dann Nutzer, wenn sich herausstellt, dass sie sich neben infizierten Personen aufgehalten haben.

Problem ist das “Google Apple Protokoll”

Mithilfe von Experimenten in realen Szenarien konnten die IT-Experten nachweisen, dass externe Angreifer detaillierte Bewegungsprofile von Corona-Infizierten erstellen und gegebenenfalls die betroffenen Personen identifizieren können. Auch Kontaktinformationen könnten manipuliert und so die Zuverlässigkeit des Kontaktnachverfolgungssystems beeinträchtigt werden.

Die zentrale Schwachstelle der Tracing-Apps ist das „Google Apple Protokoll“ (GAP). Dieses ist im Betriebssystem der Smartphones installiert und ermöglicht den Datenaustausch zwischen App und Betriebssystem. Anlass für die Untersuchungen der Universitäten waren zuvor veröffentlichte Berichte über mögliche Datenschutz- und Sicherheitsrisiken des GAP.

Bluetooth-IDs können umgeleitet werden

“Die Experimente zeigen, dass GAP einerseits anfällig ist für die Erstellung von Profilen und so möglicherweise die De-Anonymisierung von infizierten Personen erlaubt”, teilt die TU Darmstadt mit. “Andererseits sind in GAP auch so genannte Relay- oder Wurmloch-Angriffe möglich, wodurch Angreifer falsche Kontaktinformationen generieren können und somit die Genauigkeit und Korrektheit des Gesamtsystems leidet.”

Angreifer könnten auf diesem Weg Daten von Covid-19-Infizierten duplizieren und Bluetooth-Benutzer-IDs sammeln, die von der Tracing-App erzeugt werden. Unbemerkt könnten Bluetooth-IDs an Orte umgeleitet werden, wo die zu den Daten gehörigen Personen nie gewesen sind. Den IT-Experten gelang es, Identifikationsnummern zwischen zwei 40 Kilometer voneinander entfernten Städten zu übertragen.

TÜV Informationstechnik: App ist “stabil und sicher”

Zu einer anderen Einschätzung zum Datenschutz von Tracing-Apps kommt der IT-Dienstleister TÜV Informationstechnik, der die Corona-Warn-App im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geprüft hat. TÜV-IT-Chef Dirk Kretzschmar sagte am Samstag, dass die Tracing-App stabil und sicher laufen werde, ohne die Anwender auszuspionieren.

Bei der Überprüfung der App habe man auch kontrolliert, ob Unbefugte Daten abgreifen könnten. “Das ist nicht der Fall. Die Anwender müssen keine Angst vor Überwachung haben”, so Kretzschmar. Die Entwickler von SAP und T-Systems hätten auch sichergestellt, dass niemand über die App Zugriff auf andere Daten bekomme.

TÜV prüft Eingabe von Infektionen

Frühe Versionen der App seien noch instabil gewesen, sagte Kretzschmar. "Die Tester hatten zum Schluss aber ein sehr positives Bild, weil inzwischen alles sehr stabil läuft. Sie waren auch ziemlich begeistert davon, wie schnell und in welcher Qualität die Entwickler auf noch entdeckte Schwachstellen reagiert haben."

Bei dem Prüfprozess habe man sich auch intensiv mit der Frage beschäftigt, wie in der App die Eingabe einer Infektion abgesichert werden solle. Diese erfolgt über einen QR-Code aus dem Testlabor oder mit Hilfe einer TAN, die der Betroffene von einer Telefon-Hotline erhält.

Hier sei es zum Beispiel darum gegangen, ein sicheres Verfahren anzuwenden, bei dem die TAN nicht leicht erraten oder die Status-Eingabe durch einen “Brute-Force-Angriff” durch massenhafte Eingaben erzwungen werden kann.

RND/Laura Beigel mit dpa