TU Darmstadt berichtet von Sicherheitslücken in der Corona-Warn-App – meine Einschätzung

Corona-Warn-App

Ein Forschungsteam der Technischen Universität Darmstadt, der Universität Marburg und der Universität Würzburg hat nach eigenen Angaben Datenschutzprobleme und Sicherheitsrisiken im Zusammenhang mit der Corona-Warn-App entdeckt. Dabei geht es um die Schnittstelle, die von Google und Apple eingerichtet wurde, nicht um die App selbst.

Was bedeutet das? Dazu habe ich ein paar Gedanken zusammengefasst.

Vorweg: Angriffsversuche auf Programme sind trotz großer Sicherheitsmaßnahmen immer möglich. Sie führen ab und zu auch zum Erfolg. So wie auch ein Bankraub immer möglich ist. Trotzdem haben die meisten Menschen ein Bankkonto. Und trotzdem nutzen die meisten Menschen digitale Errungenschaften wie Computer oder Smartphones.

In diesem Fall handelt es sich jetzt um eine theoretische Ausarbeitung, nicht um einen bereits geschehenen Angriff. Wenn dieser Weg eines möglichen Angriffs durch andere Experten bestätigt wird, geht es darum, das System dagegen möglichst sicher zu machen. Auf jeden Fall ist es wichtig, solche Probleme zu veröffentlichen.

Da es sich nach den Angaben der Universitäten um ein Problem in der Schnittstelle und nicht in der App handelt, sind jetzt Google und Apple gefragt. Beide Unternehmen betreuen die Betriebsprogramme der Handys (Adroid und iOS). Die Reaktionen von Google oder Apple kenne ich noch nicht.

Die TU Darmstadt, die in dem Konsortium vertreten ist, hat übrigens eine eigene App entworfen, die nicht zum Zuge kam. Das ergibt zum einen eine gewisse Konkurrenzsituation, zeigt aber auch die Erfahrung der Wissenschaftler.

Bewegungsprotokolle, wie sie laut der Untersuchung durch mögliche Angreifer entwendet werden könnten, werden von jedem Handynutzer erstellt, weil sich das Handy immer an unterschiedlichen Sendemasten einloggt und das protokolliert wird. Die Weitergabe dieser Daten ist allerdings an die Telekommunikationsgesetze gebunden und im Normalfall ohne Einverständnis des Betroffenen verboten.

Ich persönliche protokolliere beispielsweise meine Wanderungen und nutze dabei das mit Hilfe meines Handy erstellte Bewegungsprofil. In dem folgende Bild ist das Ergebnis von einem Tag festgehalten. Dabei sieht man sehr gut, welche Ärztin ich besuchte und wo ich mittags einkehrte. Falsch ist allerdings der Bank-Besuch, denn an dem Gebäude bin ich nur vorbeigegangen.

Mein Bewegungsverlauf am 25.05.2020
Mein Bewegungsverlauf am 25.05.2020

Dieses Bewegungsprofil wurde mit Hilfe der Zeitachsen-Funktion von Google sichtbar gemacht. Google hat dafür mein Einverständnis.

Auf diese Daten hat auch die Corona-Warn-App Zugriff, da sie ja protokolliert, wann und mit wem ich zusammengetroffen bin. Dabei werden allerdings nur anonyme Ziffern gespeichert, die die Namen der entsprechenden Personen ersetzen. Um die Nähe der Personen genau herauszufinden, wird zusätzlich noch das Bluetooth-Protokoll genutzt. All das ist durch private, halbstaatliche und staatliche Datenschützer genau überprüft worden.

Wer ein Bewegungsprofil analog erstellen möchte, der kann auch Menschen auf die Straße rund um die Wohnung einer Person, von der man das Profil braucht, stellen. Auch das geht.

Insofern: Bewegungsprofile sind problematisch. Die Daten dafür werden aber von jedem Handy erstellt. Wer sie ohne Erlaubnis weitergibt, handelt strafbar.

Ich gehe ich davon aus, dass diese Untersuchung der Universitäten, sollte sie bestätigt werden, dazu dienen wird, die Corona-Warn-App und vor allem die Schnittstellen der Betriebssystem iOS und Android noch sicherer zu machen. Denn natürlich muss die App selbst das gesetzlich Verbotene ebenfalls schützen.

Allerdings ist das Ziel, Leben und Gesundheit von Menschen zu retten, sehr wichtig, so dass man aus meiner Sicht deshalb nicht automatisch jetzt den Betrieb oder die Nutzung dieser App einstellen sollte.

Weiterführende Links

Author: Michael Voß