06:49 21 Oktober 2020
SNA Radio
    Panorama
    Zum Kurzlink
    Von
    24260
    Abonnieren

    Die Corona-Warn-App wurde von der Prüforganisation TÜViT vor ihrem Erscheinen gründlich gestetet und ist sicher, betont der Geschäftsführer von TÜViT, Dirk Kretzschmar im Sputnik-Gespräch. Bluetooth sollte aber besser nur angeschaltet werden, wenn die Situation es erfordere.

    Die Corona-Warn-App soll Abhilfe schaffen in der Pandemie und die Bevölkerung schützen. Ihre Umsetzung sorgt sogar in kritischen Kreisen von Datenschützern oder vom Chaos Computer Club für manches Lob. Aber die App wurde in sehr kurzer Zeit geschrieben. Wurde die App in dieser Zeit genug auf Lücken hin geprüft? Sind die Informationen sicher? Und welche Informationen sammelt sie überhaupt?

    TÜViT ist ein Prüfunternehmen für die Sicherheit von Software. Die Mitarbeiter decken bei ihrer Arbeit Einfalltore im Code auf und machen die Programmierer auf die entdecken Schwachstellen aufmerksam. Einige Wochen vor Veröffentlichung der App im Google App Store hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) TÜViT auch mit der Prüfung der Corona-Warn-App beauftragt. Der Geschäftsführer von TÜViT, Dirk Kretzschmar, hat im Sputnik-Interview vom Prüfprozess, der Funktionsweise und der Sicherheit der finalen Warn-App erzählt.

    - Herr Kretzschmar, TÜViT hat vor ihrem Erscheinen die Corona-Warn-App überprüft. Was ist bei dieser Prüfung aufgefallen? Und ist die gegenwärtige Version sicher?

    Ich kann sagen, dass die neue Version sicher ist. Es gab am Anfang einen erhöhten Zeitdruck, weil wir sehr spät erst in dieses Verfahren eingeführt wurden. Die Betriebssysteme waren erst am 20. Mai verfügbar, dann begann die Entwicklung und fürs Testen ist am Ende meistens immer weniger Zeit. Es gab am Anfang auch einen etwas früheren Veröffentlichungstermin als den von gestern  (Anm. d. Red.: das Interview fand am Mittwoch statt). Deswegen waren wir unter Zeitdruck. Am Anfang werden immer Schwachstellen gefunden. Es sind ja Alpha-Versionen, die ersten Versionen, und da ist auch die Stabilität entsprechend nicht so gut. Aber ich kann sagen, dass das Entwicklungsteam aufseiten der Telekom, SAP zusammen mit dem BSI und uns sehr eng und sehr gut zusammengearbeitet haben. Wir haben täglich neue Versionen dieser Applikation bekommen. Wir konnten prüfen, ob die Schwachstellen, die wir zuvor gefunden haben, gelöst sind und waren auch erstaunt, dass sehr viele von den Schwachstellen eigentlich sofort in der nächsten Version gelöst waren. Das kennen wir so aus dem normalen Arbeiten einer Prüforganisation nicht, da sind manchmal noch Überzeugungsarbeiten zu tun, dass das wirklich eine wichtige Schwachstelle ist und die auch gelöst werden muss. Aber hier gab es IT-Sicherheitsverständnis, wir brauchten keine Überzeugungsarbeit leisten und es wurde einfach sofort gelöst.

    - Nun heißt es, dass TÜViT sich ursprünglich vier Wochen für die Prüfung erbeten hatte und dann nur zwei erhalten hat. Konnte dennoch die Software mit der notwendigen Prüftiefe untersucht werden?

    Wir mussten die Prüfung natürlich komplett anders durchführen. Wir haben Schichtbetrieb gemacht. Was wir sonst so in drei bis vier Wochen prüfen, haben wir in dieser kurzen Zeit hinbekommen. Wir haben auch Kapazitäten aus anderen Projekten abgezogen. Die Kunden waren gottseidank bereit auch wegen dem wichtigen Thema erst einmal zurückzutreten, sodass wir mehr Pentester da ansetzen konnten. Die Kollegen haben auch an Fronleichnam gearbeitet. Und ich musste selbst nicht einmal groß Überzeugungsarbeit leisten, dass sie am Feiertag mal arbeiten. So konnten wir das Thema am Freitag fertigstellen. Alle Testcases, die wir uns vorgenommen haben, haben wir durchgeführt und haben deswegen auch guten Gewissens – weil die Schwachstellen alle gelöst wurden – diese App weitergeben können.

    - Sie konnten also alle Test durchführen, die notwendig waren?

    Wir sind eine IT-Sicherheitsfirma, die normalerweise im Bereich Hochsicherheit tätig ist, also tiefergehende Sourcecode-Analysen durchführt und im Hardwarebereich die Secure Elements untersucht. Da geht es normalerweise um Prüfzeiten von sechs Monaten bis zu einem Jahr. Da gibt es unterschiedliche Prüftiefen entsprechend dem Sicherheitsrisiko. Es gibt ein Schutzziel, das man erst einmal definieren muss. Was muss an diesem Objekt wirklich geschützt werden? Was sind die „Kronjuwelen“, die niemals entwendet oder manipuliert werden dürfen? Und danach richtet sich das Prüfverfahren, das wir durchführen. Und dann gibt es noch Komponenten wie das Betriebssystem zum Beispiel, was wir jetzt nicht prüfen konnten. Aber das API (Anm. d. Red.: Schnittstelle zwischen Betriebssystem und Programm) vom Betriebssystem haben wir natürlich entsprechend untersucht und angegriffen. Die gesamte Kommunikation, die die Applikation mit der Außenwelt und auch mit dem Betriebssystem selbst führt – das ist alles getestet worden.

    - Was sind denn im Fall von diesem Programm die „Kronjuwelen“? Sind es Bewegungsprofile oder andere Nutzerdaten?

    Das mit dem Bewegungsprofil, das waren die großen Befürchtungen. Es ist wirklich so, wie spezifiziert und auch von der Politik versprochen worden, dass keine Tracking-Funktionen enthalten sind, die also Standorte und so weiter auswerten bei der Bluetooth-Kontaktaufnahme. Ob es irgendwie möglich ist, Steuerungsfunktionen von außen in diese Applikation hineinzubekommen; ob es möglich ist für Angreifer, auf die Applikation zuzugreifen und dort Daten zu entwenden oder zu manipulieren – das ist der Prüfumfang, den wir normalerweise machen. Und dann gibt es wiederum eine Verbindung zwischen dem Betriebssystem und der Anwendung. Wenn Sie eine Anwendung löschen, bleiben da manchmal Rückstände. Und solche Themen prüfen wir: Was wird mitgeschrieben, vom Betriebssystem – die Login-Files –, was wird zwischengespeichert, was eventuell vertrauliche Daten sein könnten. Und in der Kommunikation: Welche Sicherheitsprotokolle werden da verwendet? Welche Verschlüsselung wird verwendet? Kann die leicht umgangen werden? Wo werden die Schlüssel gespeichert? Solche Sachen.

    - Sie haben Bluetooth erwähnt. Da sind ja auch große Sicherheitsbedenken im Raum, dass Bluetooth anfällig für Hackerangriffe sei. Wie berechtigt sind solche Sorgen?

    Das ist in der Tat so. Es ist ja auch oft empfohlen worden, dass die Bluetooth-Schnittstelle nur dann verwendet werden soll, wenn sie wirklich gebraucht wird. In diesem Fall reden wir ja von Bluetooth-Low-Energy mit einem sehr schwachen Signal, das wenig Energie verbraucht. Man muss schon sehr nah an Personen herankommen. Bluetooth hat ja normalerweise eine viel höhere Reichweite. Bei diesem Low-Energy-Protokoll ist ein sehr geringer Abstand nur möglich. Aber natürlich ist es ein Kommunikations-Interface und deswegen ist es für uns wichtig, welche Protokolle darüber laufen und ob eine entsprechende Verschlüsselung gegeben ist. Das haben wir geprüft und können das bestätigen.

    - Wie funktioniert der Kontakt über Bluetooth-Low-Energy eigentlich?

    Es wird eine Feldstärke registriert. Es werden zwischen benachbarten Einheiten, die in Kontakt treten, IDs ausgetauscht. Diese IDs werden alle zehn bis fünfzehn Minuten gewechselt, sodass ein Rückschluss gar nicht oder nur schwer möglich ist. Dann werden bestimmte Parameter ausgewertet: Wie lange hat der Kontakt stattgefunden? Was für eine Feldstärke war da, aus der dann der Abstand hergeleitet werden kann. Aus diesen Daten wird dann nach einem Abgleich auf dem Handy eine Riskobewertung vorgenommen. Unter diesen Parametern gibt es auch einen Zeitstempel, den Sie aber als Nutzer nicht sehen und den sonst keiner sieht. Das haben wir auch geprüft, ob diese Zeitstempel in irgendeiner Form auswertbar sind.

    - Wofür ist der Zeitstempel denn gedacht?

    Der Zeitstempel wird einfach benutzt, um eine Risikobewertung zu machen. Es ist ein Algorithmus, in dem verschiedene dieser gesammelten Parameter genutzt werden. Wenn Sie informiert werden und hatten Kontakt vor dreizehn Tagen, ist es unwahrscheinlich, dass Sie sich noch anstecken, wenn Sie keine Symptome gezeigt haben. Da kann man ein geringes Risiko ausweisen. Wenn der Kontakt aber vor kurzem stattgefunden hat, dann wird eine Risikowarnung sehr hoch sein, weil gerade in der Anfangszeit eine Person schnell andere anstecken kann. Deswegen gibt es anhand dieser verschiedenen Parameter eine Bewertung, wie das Risiko für Sie konkret aussieht.

    - Inwieweit kommt bei der Corona-Warn-App neben Bluetooth auch mobiles Internet zum Einsatz?

    Der einzige Austausch ist das tägliche Update vom Server. Es gibt eine Backend-Infrastruktur, in der infizierte Personen ihre Infektion bekannt geben. Die laden ihre eigenen Codes hoch auf den Server und der Server verteilt sie an alle Nutzer. Das findet dann in Ihrem Handy autark statt. Es findet keine Kommunikation nach außen statt – das ist der dezentrale Ansatz – und wenn dieser Code entdeckt wird, man also einen Kontakt gehabt hat, dann kommt die entsprechende Risikowarnung. Aber es gibt keine Kommunikation während der ganzen Zeit über ein Mobilfunknetz nach außen, sondern nur Empfang für das tägliche Update.

    Das Interview mit Dirk Kretzschmar zum Nachhören:

    GemeinschaftsstandardsDiskussion
    via Sputnik kommentierenvia Facebook kommentieren

    Zum Thema:

    Manuela Schwesig fordert bei Nord Stream 2 die Grünen heraus: „Sie haben behauptet, dieses Gas...“
    USA erweitern Sanktionen gegen Nord Stream 2
    Reisen nur noch mit Anmeldung? – Spahn-Ministerium plant strengere Auflagen
    Tags:
    TÜV, App, Coronavirus