Corona-Warn-App: TÜV findet Sicherheitslücken und kritisiert Veröffentlichungstermin
(Update 14. Juni von Carsten Knobloch: Mittlerweile wird die App als „sicher und stabil bezeichnet):
Der TÜV bzw. die TÜV Nord Group wurde mit der Prüfung der offiziellen Corona-Warn-App der Bundesregierung beauftragt. Entwickelt wird die App von SAP und der Deutschen Telekom. Sie soll nächste Woche erscheinen – der Quellcode ist schon online und steht auch für eure Blicke frei zur Verfügung. Nun kritisiert der TÜV nach der Prüfung des Codes den aktuellen Status und kritisiert den Veröffentlichungstermin. Denn es bestehe bei der Sicherheit leider noch Nachholbedarf.
Der TÜV Informationstechnik (TÜVit), Tochter des TÜV Nord, hat mehrere Mängel in der Corona-Warn-App gefunden. Eine Sicherheitslücke stuft man sogar als schwerwiegend ein. TÜVit gibt nun an, dass es besser gewesen wäre die App erst am 30. Juni oder sogar noch etwas später zu veröffentlichen. So wollte man die App eigentlich für vier Wochen prüfen, bekam aber am Ende vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zunächst nur eine Woche Zeit. Am Ende konnte man aber eine zweite Woche herausschlagen.
Mehr Zeit zum Testen wäre aber laut Sprechern des TÜVit sinnvoll gewesen, um die App ausführlicher auf Herz und Nieren prüfen zu können. Ein gravierendes Problem fand man bei den TANs, welche Nutzer eingeben können, die positiv auf SARS-COV-2 getestet worden sind. Denn der Algorithmus, mit dem die TANs generiert werden, war laut TÜVit leicht zu knacken. Dadurch hätte man beliebig viele TANs erstellen können, um sich als positiv getestet auszugeben – dadurch hätten Dritte die App leicht mit falschen TANs fluten können, was zum einen zu temporären Zusammenbrüchen der App -Infrastruktur hätte führen können.
Zum anderen hätten viele Nutzer dann fälschlicherweise Warnungen zu einer möglichen Infektion bzw. Kontakten mit Infizierten erhalten, was das Vertrauen in die App erheblich erschüttert hätte. Dazu hätten sich zwar koordiniert mehrere Angreifer zusammenschließen müssen, denkbar wäre das Szenario aber durchaus gewesen. TÜVit kritisiert dabei auch, dass „weite Teile der App-Infrastruktur außerhalb des Prüfauftrags“ lägen – etwa das Server-Backend oder die Verschlüsselung der SQLCipher-Bilbiothek.
Kritik übte man auch an der vorschnellen Veröffentlichung des Quellcodes, noch bevor dieser durch TÜVit geprüft werden konnte – das sei „gewagt“. Dadurch wetteifere man beim TÜV nun quasi direkt mit potenziellen Angreifern. Positiv hebt man wenigstens die Einhaltung der Privatsphäre hervor, welche nach den aktuellen Eindrücken gewährleistet bleibe. Da wart ihr ja bei unserer Umfrage im Mai recht skeptisch.
Das ist alles super fishy. Sie legen nirgendwo dar, wieso die TAN Generierung angreifbar sein soll und heulen rum, dass ihnen niemand einen Auftrag erteilt hat, obwohl der Code doch offen einsehbar ist. Es sind keine Issues bei GitHub auffindbar, die die Probleme aufzeigen. Das riecht alles etwas seltsam.
Es haben nun unzählige Leute probiert nachzuvollziehen wieso die TÜVit Leute die TAN-Generierung für fehlerhaft halten, allerdings soweit ich gesehen habe ohne Ergebnis.
Es ist doch ein übliches verfahren, dass man Sicherheitslücken erst an den Entwickler schickt bevor man diese veröffentlicht. Und warum sollte der tuv vor erteilten Auftrag arbeiten.
Das Ding ist im Entwicklungsprozess und es wurde offen geworben Bugs und sonstige Incidents zu suchen und zu melden. Dass das funktioniert sieht man an den bestehenden Issues und Pull Requests.
Vielleicht hat man ja beim TÜV niemanden gefunden, der/die einen Github Account hat? 😉 Aber um das auszugleichen, haben die ja ihre Presse-Abteilung gleich mit ins Boot geholt.
Vielleicht sollte sich der TÜV allgemein eher auf Dämme in Brasilien konzentrieren (ups) … von Open Source und den da üblichen Abläufen scheinen sie bislang ja „verschont“ geblienen zu sein.
Made my day
Ich habe mir den Code dahingehend auch schon angeschaut. Die TAN ist eine Zufallszahl. Ich kann das einfach nicht verstehen, wie das problematisch sein kann.
Wenn es NUR eine Zufallszahl ist, dann würde doch jede Zahl funktionieren, oder?
Nein. Also theoretisch ja. Aber eigentlich ist die TAN auch keine Zufallszahl. Es ist eine GUID (https://de.wikipedia.org/wiki/Globally_Unique_Identifier). Es gibt auch noch die TeleTAN, das ist dann ein etwas kürzerer String, so dass man den besser eingeben kann. Das ist im endeffekt ein zufälliger String der aus cryptografisch sicheren Zufallszahlen generiert wird und eine Prüfsumme an Ende hat.
Ich könnte mir vorstellen, dass der TÜV das meint, allerdings stimmt das ganze dann trotzdem nicht, denn auf Seiten des Verifiers (also dem Serverteil, der auch die TANs generiert) gibt es ein TAN-Repository, in dem alle generierten TANs gespeichert werden. Eine TAN die auf dem Server nicht gespeichert ist wird nie als gültig erkannt…
Ich muss also dem Kommentarstrang hier zustimmen, es gibt keinen Grund, wieso die TAN-Generierung angeblich fehlerhaft sein sollte.
Release ist laut ntv am Dienstag um 10:30 Uhr. Letztendlich ist es auch egal. Die Zahlen sinken täglich
Weltweit ist der Höhepunkt nicht einmal erreicht. Der Tellerrand sollte nicht den Horizont bilden.
Weil die App ja weltweit funktioniert. lol
Zudem: nirgendwo auf der Welt hat eine Tracing-App auch nur annähernd ausreichend Nutzerzahlen erreicht – aus den unterschiedlichsten Gründen.
Bin jetzt kein Hellseher, aber mit dem Bezug auf das „Weltweit“ meinte Fraggle wohl sicher nicht, dass die App weltweit genutzt wird, sondern dass Corona uns wohl oder übel noch eine Weile begleiten wird, auch wenn es hier aktuell ziemlich entspannt aussieht.
Bezug zur dt. App wie ihn Steffen herstellte? Eben.
Im Übrigen ist es ziemlich ermüdend, dass du jeden Kommentar zum Thema kommentieren musst. Bei jeden f***g Artikel. Job weg?
Heute ist Samstag, Essen ist gekocht, Kinder sind beschäftigt… so viel Zeit, um kleine Dauernörgler zu triggern.
Hehe, welches Kind wünscht sich keinen Troll als Vorbild?
Ok, warum bin ich – deiner erlauchten Meinung nach – ein Troll?
Ich meinte ja auch ob jetzt am Dienstag oderin 2 Wochen ist auch egal, da die Zahlen aktuell sinken. Hat nichts damit zu tun ob die App noch sinnvoll ist oder nicht.
@Steffen
Da denkt man aber leichtsinnig, als wäre Covid-19 schon vorbei.
Auch hierzulande kann es sich schlagartig wieder ändern.
Ja, weil das nicht sicher auszuschließen ist, sollten wir unbedingt die Gesellschaft ruinieren.
Wie ruinieren wir denn unsere Gesellschaft? Es ist doch inzwischen fast alles wieder geöffnet (meiner Meinung nach übrigens zu früh). Oder sprichst du von den Kontakteinschränkungen? Magst du das mal erläutern?
Die Gesellschaft besteht nicht nur aus der Wirtschaft. Wenn man allein die Kommentare zum Thema in den Blogs wie hier lese, sollte jedem klar sein, dass das Thema hervorragend geeignet ist, die ohnehin schon beklagenswerte Spaltung der Gesellschaft zu beschleunigen. Aber manch einer scheint das zu genießen, weil er sich davon Vorteile für das bislang offenbar unerfolgreiche Leben erhofft. Wenn ich nur mal die selbstgemachten Erfahrungen der letzten Monate im öffentlichen Raum rekapitulierte (Schlägereien und Pöbeleien im Supermarkt, weil jemand einen anderen auf die Maskenpflicht hinwies, Demos radikaler Demokratiefeinde im Wochentakt), dann bin ich alles andere als entspannt bei der Entwicklung, die die Gesellschaft dabei nimmt.
Und das hängt jetzt explizit an der Corona-Warn-App bzw. der Corona-Pandemie?
Die Spaltung der Gesellschaft gab es (leider) bereits vor Corona. Das hat ganz vielschichtige Gründe – vom Misstrauen gegenüber der Regierung über Hetze und Stimmungsmache in Medien, soziale Netzwerke und das entsprechende Misbrauchspotential bis hin zu Aluhutschwurblern, die bspw. den Mund-Nasen-Schutz als Maulkorb ansehen.
Nur wie willst du dem Beikommen? Es hat einen Sinn, dass wir in bestimmten Bereichen einen Mund-Nasen-Schutz tragen müssen. Diese App ist sogar vollkommen freiwillig – und trotzdem wittern manche die größte Überwachungsmaßnahme die es jemals gegeben hat.
Entschuldige, ich hab den Faden verloren. Aber du scheinbar auch – inwiefern trägt die App jetzt nochmal dazu bei die Gesellschaft zu spalten?
Ergibt sich doch aus dem Geschriebenen. Jetzt weiter auf Panik zu machen(da denkt man leichtsinnig), spaltet die Gesellschaft weiter und dem ist genauso entgegen zu treten wie den Verschwörungstheoretikern.
Das ist keine Ansprache von Angela Merkel, sondern ein Forenbeitrag eines Users. Das spaltet gar nichts. Ich finde auch viele Lockerungen zu früh und zu leichtsinnig. Du siehst das anders. Darüber kann man diskutieren, das ist doch kein Spalten. Der Fakt bleibt nun mal: SARS-CoV-2 ist nicht besiegt.
Was für eine absurde Logik. Du bestätigst nach mehrfachem Nachfragen am Ende mein Anfangsstatement mit einer noch extremeren Aussage? Ernsthaft? Zwischendrin glaubte ich fast an eine Übereinstimmung. Es gibt tausende Krankheiten, die nicht „besiegt“ sind, mindestens ebenso tödlich verlaufen und nicht im Ansatz solche Massnahmen rechtfertigen. Vor allem nicht, nachdem man nun soviel davon weiß und hierzulande die Lage gesundheitlich gut im Griff hat. Was macht nur dieses singuläre Erkenntnis der eigenen Sterblichkeit mit so vielen Menschen? Für manche ist es ein echter Hirnf**k.
Für die meisten nicht besiegten Krankheiten gibt es Impfungen. Andere wiederum sind weniger ansteckend und/oder weniger letal. Ich bestätige übrigens definitiv keins deiner Argumente – das hättest du gerne. Ich schüre keine Panik, ich zähle nüchtern den Fakt auf, dass SARS-CoV-2 noch da ist und mitnichten besiegt. Das ist nun mal schlicht ein Fakt. Weiterhin sage ich, dass ich finde, dass die Lockerungen zu früh kamen. Das ist jetzt in deinen Augen schon spaltende Panikmache? Umgekehrt gilt das dann aber nicht für dich, der sagt dass Covid-19 ja gar nicht so schlimm und quasi schon weg ist? Interessant.
Genau das, lieber Numi, genau das… Wenn du nach all dem Gesagten nicht erkennen kannst, das deine „reine Aufzählung“, die ja so ganz nebenbei mit mit der unausgesprochenen Forderung nach einem längeren Lockdown einhergeht, einen großen Teil der Gesellschaft zurücklässt, herausfordert und damit von „deinem“ spaltet, dann waren all die Worte tatsächlich umsonst.
Ach, lieber Jens. Fakten aufzuzählen und seine Einschätzung der Lage abzugeben ist in deinen Augen offenbar nur zulässig, wenn sie verharmlosend ist.
„Unausgesprochene Forderung nach einem längeren Lockdown“: Ist halt quatsch. Weder fordere ich irgendwas, noch möchte ich einen längeren kompletten Lockdown. Ich sagte, „viele Lockerungen zu früh und zu leichtsinnig“ – bedeutet: nicht jede Lockerung war in meinen Augen zu früh und zu leichtsinnig. Sehr wohl aber finde ich Thüringens Vorpreschen mit dem Abschaffen der Kontaktbeschränkungen verfrüht und leichtsinnig. Das musst du nicht teilen, aber es ist keine Panikmache.
Ob die Einschränkungen „einen großen Teil der Gesellschaft zurücklässt, herausfordert“, wie du so schön sagst, möchte ich doch gern einmal belegt haben. Sicherlich ist es nicht für jeden einfach – aber diese Pandemie ist nun einmal da – sie zu ignorieren wäre schlicht dumm. Bolsonaro ist da ein ganz gutes Beispiel. Wir müssen damit leben, dass wir uns einschränken müssen, wenn wir nicht zu viele tote beklagen wollen. Auch das ist keine Panikmache, sondern ein schlichter Fakt – belegt durch Länder, die das ganze nicht ernst genug genommen haben.
Sorry, aber deine Argumentation mit Balsonaro ist nun wirklich nicht mit D zu vergleichen. Jens hat schon Recht, wenn er meint, dass Corona die Menschen spaltet, weil jeder nur seine Sicht sehen will und in der ganzen Diskussion massiv polarisiert wird. Das Bolsonaro-Beispiel ist genau das.
@Mike: Warum genau ist das nicht mit D zu vergleichen? In D wurde relativ schnell und strikt reagiert, in Brasilien nicht. Das ist ein Unterschied, ja. Und der führt dazu, dass D recht gut dasteht, B eher nicht.
Im Februar hat noch unsere Regierung gesagt Masken bringen nicht und fleißig Karneval gefeiert. Dann auf einmal Salto rückwärts und alle laufen mit.
Und es ist jetzt schlecht, das neuere wissenschaftliche Erkenntnisse einfließen oder wie soll ich das verstehen?
ich weiiß ja nicht, was du nach der arbeit so machst aber zum feierabend gehört für viele auch weggehen, feiern und f*cken.
Oh nein! Wir können tatsächlich mal ein paar Monate nicht außer Haus saufen? (übrigens dürfen wir das!) und nicht zu ner Prostituierten? Die Welt geht unter!
Keine Ahnung, was du siehst, aber wenn ich so um mich rum schaue, ist die Gesellschaft bislang nicht ruiniert. Also klar, vielen sieht man an, dass da jetzt ein paar Wochen Fitnesstudio fehlen, aber sonst ….
Also in meinen Bekanntenkreis haben 4 Menschen seit der Pandemie angefangen, regelmäßig zu laufen.
Ich habe daher eher den Eindruck, dass die Menschen gesünder leben.
Die Corona-Paniker nerven nur noch. Es ist doch so gut wie nichts passiert. Die, deren Tage eh schon gezählt waren, sind möglicherweise etwas früher verstorben und das war es auch schon. Wir haben unsere Wirtschaft Aufgrund einer Massenhysterie, die durch ein paar „Medien-Virologen“ und populistische Politiker geschürt wurde, ruiniert. Zeit zur Normalität zurückzufinden. Diese App ist für die Angsthächen gemacht, die sich vor ihrem eigenen Schatten in die Hose machen.
Echt ey – die 450.000 Toten ¯\_(ツ)_/¯
Oh man dir ist echt nicht mehr zu helfen
Du bist ein zynisches Arschloch. Oder ein dummer Troll. So ganz genau weiß ich es nicht. Jedenfalls Null Empathie vorhanden.
There’s no glory in preventing.
Es wären viel mehr Tote, wenn wir nicht so gehandelt hätten!
Wieso gibt es keine Quellenangaben bezüglich der Aussagen vom TÜV im Artikel?
Gibts – steht unten.
Der Virus läßt sich durch eine App eh nicht aufhalten, von daher egal.
Das liegt vor allem an den Leuten und deren Verhalten, wie sich die Infektionslage entwickelt.
Leider gibt es ja immer wieder diese Unvernünftigen die dann alles erreichte wieder zunichte machen.
„Das Virus lässt sich durch Remdesivir eh nicht aufhalten, von daher egal.“ – was ist das denn für ne Einstellung? Etwas funktioniert allein nicht 100%, also braucht man es auch nicht einsetzen? Es ist und wird für lange Zeit eine Kombination verschiedener Maßnahmen notwendig sein um die Ausbreitung weiterhin eindämmen zu können. Warum sollte die App da keine Rolle spielen können?
Weil Celli uns schon seit Wochen mit seinen undiferenzierten und platten Aussagen über die App zu überzeugen versucht … Die App spielt für ihn keine Rolle, weil er das für des Teufels Werk hält und wir alle manipuliert werden und alle die „gegen ihn“ argumentieren eh nur gekaufte Regierungs-Trolle sind.
Ah, okay, danke für die Erklärung. Dann hätte ich mir die Zeit ja auch sparen können – naja sei es drum ^^
Gelesen auf
https://www.mdr.de/nachrichten/panorama/ticker-corona-virus-samstag-dreizehnter-juni-100.html
am 13.6.2020 um 10.59 Uhr:
„TÜV-IT: Corona-App sicher und stabil
Die für kommende Woche erwartete Corona-Warn-App des Bundes wird nach Einschätzung des IT-Dienstleisters TÜV Informationstechnik stabil und sicher laufen, ohne die Anwender auszuspionieren. TÜV-IT-Chef Dirk Kretzschmar sagte, das habe eine Prüfung der App ergeben, die man im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) unternommen habe. Dabei habe man auch kontrolliert, ob Unbefugte Daten abgreifen könnten. Das sei nicht der Fall. Anwender müssten keine Angst vor Überwachung haben. Die Entwickler von SAP und T-Systems hätten auch sichergestellt, dass niemand über die App Zugriff auf andere Daten bekomme.“
Hm…
@Hartmut der Schreiberling hier auf dem Blog ist der Westphal. der glänzt nicht gerade mit guten Artikeln. Schau dir einfach die Kommentare zu in seinen Beiträgen an. Vermutlich auch ein Schwurbelkönig
Du wolltest ja eh gerade gehen, dann werf ich dir aber noch hinterher, dass die Quelle Heise ist und dass die das auch nicht anders interpretieren, als „der Westphal“. So und jetzt Tschüß.
Ich habe eher den MDR im Verdacht, hier zu suggerieren, alles sei gut.
Ich sehe eher „den TÜV“ mit einer seltsamen Kommunikationsstrategie, hier wird auch gefühlt jeden Tag etwas anderes geschrieben.
Es ist auch möglich, dass er seine Kretzschmar seine Aussagen je nach Interviewpartner mal so und dann mal so konnotiert hat, an sich widerspricht es sich nicht zwangsweise: Er hat ja vor allem die mangelnde Prüfzeit kritisiert, was eben Raum gibt für noch vorhandene Lücken bzw. eben auch, dass man nicht alles prüfen konnte. Wie bei einem Auto: Wenn ich mir nur die Reifen anschaue, kann ich zwar sagen, dass da alles super ist – beim Motor kann trotzdem was kaputt sein, ich kanns nur nicht bewerten, wenn ich da gar nicht unter die Haube schaue.
@wnbweusb@yomail.info
Du kannst meine Artikel ja gerne kritisieren / ignorieren, aber sonderlich Kontruktives und Sachliches lese ich da leider nicht raus, da du mir keinen konkreten Hinweis gibst, außer „Da steht manchmal was in den Comments“ :-).
In diesem Kommentar steht, dass der Westphal total interessante Sachen postet.
Apropopo:
Mimimi, ich lesen die Posts von einem Autor die mir nicht gefallen und hate darür in den Kommentaren. Bewirb dich doch hier als Moderator wenns du es besser kannst.
Und du machst es besser?
Leider kann auch TÜV-IT wohl nur den veröffentlichten Teil der Quellcode einsehen und beurteilen. Funktionell hat TÜV-IT schon mal eine Schwachstelle ausgemacht. Aber wie sieht es im Hintergrund aus? Gibt es eventuell weitere Schwachstellen über die Daten zugänglich gemacht und in die falschen Hände gelangen können?
Sehr vertrauenserweckend ist die ganze Aktion nicht. Weiterhin fraglich ist natürlich auch der Erfolg, den die App der Bundesregierung beim Kampf gegen die Corona-Pandemie haben wird?
Dein Vertrauen konnte ja schon nicht mehr erweckt werden, außerdem hast du kein Smartphone und lehnst das ganze eh ab … der TÜV würde dich wohl auch nicht mehr umstimmen können, oder?
Richtig. Keine Institution könnte mich dazu bewegen eine von einer Regierung beauftragte Tracing- oder Tracking-App zu nutzen. Erst recht nicht wenn diese Regierung eine demokratischen Staates anfänglich zu einem Verfahren tendierte, mit dem sie die Bürgerinnen und Bürger ihres Staates ausspionieren konnte. Wer soll den diesen Lippenbekenntnissen, dass niemand ausspioniert wird, trauen? Selbst ohne die App sind sensible Daten nicht mehr sicher. Hab ich grad heute wieder mal an einem Beispiel gesehen. Da werden Patientendaten, egal ob mit oder ohne Corona, an die Gesundheitsbehörden weiter gegeben. Es wäre dringend angebracht das sich Datenschützer mal um sämtliche Stellen kümmern an denen personenbezogene Daten erhoben werden. Da läuft einiges ziemlich schief.
Diese App ist technisch nicht in der Lage irgendwen auszuspionieren. Guck dir doch einfach den verdammten Source Code an. Würde sie etwas in der Richtung versuchen, würden Googles und Apples APIs diese App schlicht aussperren.
Ich habe mal gelesen, der Source Code der veröffentlicht wurde ist nur die Hälfte des tatsächlichen Codes.
Jetzt kommt mir aber hier nicht mit Aluhut. Ich sage nur ich habe es gelesen. Ob es stimmt oder nicht weiß ich nicht. Interessiert mich auch nicht. Auch was die App angeht bin ich neutral. Installieren werde ich mir das aber nicht.
Nicht veröffentlicht ist die Tracing API von Google und Apple. Die wurde aber wie gesagt auch gar nicht von der Bundesregierung in Auftrag gegeben – die ist von Google und Apple und zwar nicht Open Source, aber gut dokumentiert. Und bevor jetzt kommt „na dann überwachen uns eben Google und Apple und geben diese Daten weiter“…ja, ne. Könnten sie auch jetzt schon, sogar viel genauer mit GPS, Funkzellen- und Wifi-Ortung, Bluetooth usw.
„Jetzt kommt mir aber hier nicht mit Aluhut. Ich sage nur ich habe es gelesen. Ob es stimmt oder nicht weiß ich nicht. Interessiert mich auch nicht.“
Wahnsinn, wieviel Dummköpfe heutzutage unterwegs sind.
„Verfahren … , mit dem sie die Bürgerinnen und Bürger ihres Staates ausspionieren konnte“
Ähhhm, Nö. Selbst mit dem „zentralen System“ (PEPP-PT) wäre das nicht pauschal möglich gewesen. Nur weil die Daten auf einem Server verwaltet werden, heißt dies nicht, dass dort auch Daten verknüpft und ausgewertet werden. Klar, wir sind das in Zeiten von Google und Amazon so gewohnt, aber es ist nicht selbstverständlich. Wo wir gerade bei Google sind … das dezentrale System ist auch nicht perfekt – schon mal drüber nachgedacht, warum Google zusammen mit Apple die dezentrale Lösung durchgesetzt hat? Sicher nicht, weil sie den Datenschutz so hoch halten, sondern weil die (verknüpfbaren) Daten eben nicht unter Hoheit einer Regierung(-sorganisation) – mit entsprechend hohen Standards – verwaltet werden, sondern auf den Geräten – welche mindestens auf OS-Ebene nicht den Usern gehören.
> Funktionell hat TÜV-IT schon mal eine Schwachstelle ausgemacht. Aber wie sieht es im Hintergrund aus? Gibt es eventuell weitere Schwachstellen über die Daten zugänglich gemacht und in die falschen Hände gelangen können?
Nur das die Schwachstelle absolut nichts mit Benutzer-Tacking und was auch immer zu tun hat, wie du gerne implizieren willst. Von der Existenz dieser Schwachstelle auf weitere Schwachstellen in ganz anderen Bereichen zu schließen (die dann übrigens gar nicht in der App, sondern in den APIs der Betriebssysteme wären – ganz andere Entwickler!), ist gelinde gesagt gewagt bis hin zu absichtlich erlogen. Deinen anderen Kommentaren zur App nach zu urteilen, wahrscheinlich auch noch letzteres.
> Weiterhin fraglich ist natürlich auch der Erfolg, den die App der Bundesregierung beim Kampf gegen die Corona-Pandemie haben wird?
Warum bitte ist das fraglich?! Entweder sie bringt etwas – super! – oder sie bringt halt leider nicht viel. Dann hat man etwas Geld verschwendet aber es wenigstens versucht. Einen weiteren Schaden – insbesondere einen Schaden für Mr. T höchstpersönlich – gibt es nicht.
Verschwendung von Steuergeld schadet Allen.
Aber gerne möchte ich mal zum Vorwurf der absichtlichen Lüge kommen. Dies ist ein schwerer Vorwurf der deinerseits noch zu beweisen wäre. Damit erfüllst du den Straftatbestand der üblen Nachrede nach § 186 Strafgesetzbuch. Bei anderen online-Medien würden solche Kommentare gelöscht.
> Verschwendung von Steuergeld schadet Allen.
Ich sagte keinen weiteren Schaden, bitte richtig lesen 😉 Und ob es eine Verschwendung ist, weißt du ja noch überhaupt nicht 😉
> Aber gerne möchte ich mal zum Vorwurf der absichtlichen Lüge kommen. Dies ist ein schwerer Vorwurf der deinerseits noch zu beweisen wäre. Damit erfüllst du den Straftatbestand der üblen Nachrede nach § 186 Strafgesetzbuch.
Blödsinn. Im übrigen schrieb ich, warum man den Eindruck haben kann, das ist mehr als ausreichend. Nach deinen anderen Kommentaren zu urteilen muss dir bewusst sein, dass die Schwachstelle hier nichts mit anderen eventuell vorhandenen Schwachstellen zu tun hat, die deiner Meinung nach Tracking ermöglichen würden. Auch muss dir eigentlich bewusst sein, dass diese anderen Schwachstellen in den APIs der Betriebssysteme vorhanden sein müssten und von Entwicklern ganz abseits von der Regierung zu verantworten wären.
Und trotz das dir das alles bewusst sein müsste, implizierst du trotzdem dass es hier einen Zusammenhang gibt. Dies kann – wie ich schrieb – nur bedeuten dass du den komplexen Zusammenhang doch nicht verstehst aber in dem Kommentaren hier immer gerne so tust, oder halt das du wider besseren Wissens so die Corona-Warn-App als Trackingwerkzeug platzieren willst.
@A
Wie du schon richtig erkannt hast fügt die App mir und anderen, von der Steuergeldverschwendung abgesehen, keinen Schaden zu. Was hätte ich davon die App als Trackingwerkezeug zu platzieren? Um die komplexen Zusammenhäge tatsächlich zu verstehen müsste man sich viel eingehender mit der App beschäftigen. Dies ist mir und vielen anderen gar nicht möglich. Trotzdem sollte man bei einem derartigen Konstrukt auf mögliche Gefahren hinweisen und zur besonderen Aufmerksamkeit aufrufen. Blindes Vertrauen ist m.E. vollkommen unangebracht. Also, immer schön wachsam bleiben!
> Dies ist mir und vielen anderen gar nicht möglich.
Offensichtlich. Das must du nicht extra erwähnen. Obwohl du mal hier anfangen könntest: https://www.apple.com/covid19/contacttracing
Mit den Informationen könntest du schonmal halbwegs die Tragweite und Möglichkeiten von Apps einschätzen, die auf die API setzen.
> Trotzdem sollte man bei einem derartigen Konstrukt auf mögliche Gefahren hinweisen und zur besonderen Aufmerksamkeit aufrufen.
Im Zusammenhang mit dem Satz davor kommt dabei halt nicht viel mehr als heisse Luft raus.
Ach @Kalle, dann zieh dir doch direkt nach dem Release das Ding auf’s Handy. Aber jammer bitte nicht rum wenn dir danach irgendwelche Daten abhanden kommen oder du sonst irgendwelche Nachteile hast.
Das kann man so wunderbar zurückgeben:
Ach @Mr. T, dann installier die App doch einfach nicht. Aber jammer bitte nicht rum, wenn du zu spät benachrichtigt wirst, dass du einen Risikokontakt hattest und deine Eltern angesteckt hast oder du sonst irgendwelche Nachteile hast.
Klaro, Ole…
?
Also ich bin nicht Ole.
Ich kenne seit Ausbruch der Corona-Pandemie immer noch niemand persönlich der an Covid19 erkrankt war oder ist. Ich hoffe das es auch in Zukunft so bleibt, wenn ich mich an die üblichen Regeln halte. Ich hock seit Jahren in meinem Bunker. Dekontaminiere sämtliche Lieferungen und kommuniziere nur elektronisch. 😉
Sollte ich, wider erwarten, Kontakt mit einer Infektionsquelle haben, dann hilft die App mir und jenen die ich bis zur App-Benachrichtigung angesteckt habe leider auch nicht mehr.
Das freut mich für dich, ganz ehrlich! Und ich drücke alle Daumen, dass das auch so bleibt – und du tust ja scheinbar auch dein Möglichstes, damit das so bleibt – finde ich super!
Und ja, bis die App dich benachrichtigen würde, würde sie dir und denjenigen, die du bis dahin angesteckt hast, auch nicht helfen. Der Vorteil ist einfach: du wirst automatisiert benachrichtigt – und damit wesentlich schneller, als wenn das Gesundheitsamt per Interview alle möglichen Kontakte abtelefonieren müsste. Das ist eben der Vorteil der App.
Ich schon. 2 milde und einen schweren Fall. Glücklicherweise wieder genesen. Und ich möchte es bestimmt nicht haben.
Hier etwas zur Einordnung der Tragweite: https://blog.fefe.de/?ts=a01a7036
Schon klar, wahrscheinlich noch in der Hälfte der Zeit.
Wie gut sich andere schlagen, sieht man ja ganz gut an der – offensiv angeteaserten und mindestens von der Presse als „Gegenbeispiel“ zur deutschen Lösung positionierten – App für Liechtenstein … „Schon bald verfügbar!“
Na Ole, scheißt du dich immer noch vor dem Virus ein? So wie du hier herumpanikst muss deine Angst gewaltig sein.
Da hattest du jetzt so lange überlegt und dann kommt sowas. Also ehrlich, da hab ich schon ein bisschen mehr erwartet.
Wer mit dem Preis argumentiert, macht es nie besser. Abgesehen davon ist es eh ein Schnäppchen.
Den BER hätte man auch schneller und preiswerter bauen können. So wie mit diesem Bauwerk wird’s auch mit der Corona-Warn-App der Bundesregierung werden. Das Release wird verschoben, es wird nachgebessert, Release wird erneut angekündigt und wieder mehrfach verschoben. Die an der App-Entwicklung beteiligten Unternehmen bekommen einen Nachschlag usw. Wenn’s nicht so traurig wär….
Wo wird etwas verschoben? Von Anfang an wurde Mitte Juni als Startdatum genannt.
Der Vergleich hinkt. BER erfüllt einen nützlichen Zweck, wenn er mal fertig wird. Diese App hingegen ist einfach nur für den Arsch. Mit den 20 Millionen hätte man weit mehr Menschen vor dem Hungertod bewahren können, als in D-Land angeblich an Corona verstorben sind.
Merkst du eigentlich dass du nicht der Mittelpunkt der Welt bist? Nur weil es dich noch nicht unmittelbar betrifft heißt es nicht, dass der Zweck der App ein unwichtiger ist.
Genau, mich betrifft das Problem nicht, weil ich gesund lebe. Warum soll ich mich aufgrund von Mitmenschen einschränken, die ihre Gesundheit, mit falscher Ernährung, Nikotin, Alkohol, anderen Drogen oder mangelnder Bewegung, ruiniert haben oder sowieso kurz vor ihrem Lebensende stehen? In der dritten Welt gibt es viele junge Menschen die ihr ganzes Leben noch vor sich haben, warum nicht diese retten und unterstützen? Stattdessen ruinieren wir unser Land um Wracks zu retten. Das ist doch nicht sehr sinnvoll, oder?
Komisch, bei hr1 im Radio haben die heute gesagt, das die App lt. Tüv fehlerfrei ist.
Was stimmt jetzt?
Der Spielraum die Sicherheit der App und ihre Möglichkeiten zu interpretieren ist ziemlich groß. Problematisch wird die Fehlersuche und die Suche nach den Verantwortlichkeiten. Einerseits gibt es die App, bei der man größtmöglichste Offenheit im Entwicklungsprozess suggeriert. Dann gibt es die API, über die man nur weiß was man wissen soll. Dann irgendwelche Server mit denen die TAN generiert werden und letztendlich die User. Vermutlich gibt’s noch eine ganze Menge weiterer Dinge die am eigentlichen Prozess beteiligt sind. Wo in diesem Komplex können sich unvorhersehbare Fehler unbemerkt einschleichen?
Der Öffentlichrechtliche Rundfunk spricht immer die Wahrheit und nichts als die reine Wahrheit. Wer das bezweifelt macht sich der Ketzerei und Majestätsbeleidigung schuldig und wird mit einem verschwörten Aluhut bestraft.
Eine App für Selbst-Denunzianten! Also für Leute die sich selbst Probleme machen wollen. Dafür muss die App auch nicht sicher sein, weil eh Hopfen und Malz verloren ist. Der TÜV soll lieber Autos überprüfen, solange es noch welche gibt. Fröhliches Tracking dann.
Tracing* Zum restlichen Schwachsinn sag ich lieber nichts.
Ob Tracing (Nachverfolgung) oder Tracking (Live Verfolgung) ist mit dieser App lediglich eine Wortspielerei um Harmlosigkeit vorzutäuschen. Sobald ein Infizierter sich in die App einträgt und bei anderen Menschen die auch die App haben aber nicht infiziert sind dann Alarm schlägt, ist es natürlich sinnvoll den Alarm in Echtzeit auszugeben. Würde der Alarm erst später kommen, hätten sich bis dahin noch viel mehr infiziert. So, und welcher Infizierte stellt sich freiwillig in der Öffentlichkeit an den Pranger? Du vielleicht? Sollte der Infizierte nicht in Quarantäne sein, anstatt in der Gegend herumzulaufen? Soviel in Kurzform zum „Schwachsinn“ den du nicht begreifst.
Nachtrag: … und wenn jemand neu als Infizierter entdeckt wird und er sich nicht in die App einträgt, weiß auch niemand mit wem er vorher in Kontakt stand. Oder anders herum, wenn der Neuinifzierte sich brav einträgt und davor 1 Woche kreuz und quer durch die Stadt gelaufen ist, kann man sich dann ausrechnen was dann passiert. Da müssen schlagartig 100-erte von Leuten in Quarantäne. Und wenn nun pro Stadt evtl. 5 Fälle dieser Art waren, dann Willkomen in China. Dann kannste die ganze Stadt dicht machen und Deutschland wird im Dauerlockdown bleiben.
Durch die Stadt laufen hilft nicht. Der Kontakt muss mindestens 5 Minuten lang sein.
Eben, wenn jemand nur an einem Virusträger vorbei läuft kann er sich eigentlich nicht infizieren.
So funktioniert die App nicht. Es gibt keine Echtzeitwarnung. Wenn das Testergebnis da ist, wird für die vergangenen X Tage (X maximal 14) gewarnt. Und um 0:00 UTC wird dann einmalig noch für den Tag gewarnt, an dem das Testergebnis vorlag.
Unter uns….das ist doch viel zu spät.
Wenn die App das bringen soll, wofür sie eigentlich gedacht wurde, und alle die können mitmachen würden dann kann man davon ausgehen, dass Deutschland innerhalb eines Monats wieder total im Lockdown Modus ist. Wenn ich mir die Freiheitschreier bei uns so anschaue, bezweifel ich aber, das das noch einer mittragen würde.
Wer nicht im Thema ist, hat immer gut Reden. Von Dir und Deinen Kumpels möchte ich keine App.
Was nutzt der Quellcode wenn man die App aus dem Playstore holt. Was dort angeboten wird, muss doch dem Quellcode nicht entsprechen. Wie kann man das überprüfen? Und wenn man dann noch liest das gerade bei den TANs geschludert wurde, macht das die App sogar gefährlich, weil durch den Missbrauch eine Massenpanik entstehen könnte. So ein Mist kommt mir nicht aufs Handy.
Unsere Firma hat vor nächste Woche ein Gutachten zu veröffentlichen inwiefern die Play Store App mit dem Quellcode übereinstimmt.
Vielleicht machen das noch andere. Überprüfbar ist das nämlich.
Ich verstehe nicht, warum alle so negativ über die App berichten oder so negativ voreingestellt sind. Wenn selbst in diesem Leserkreis so berichtet wird, braucht man sich über die Skepsis der Leute nicht zu wundern. Aber dann im gleichen Zuge alle Fotos vom heutigen Kindergeburtstag in die Cloud pumpen.
An dem Gedöns hier um die App und den meisten Kommentaren sieht man eigentlich ganz gut, was in Deutschland schief läuft. Jeder pupst in jeden Raum rein und findet das auch noch toll. 20 Millionen für eine Corona-App und nochmal jeden Monat über 2 Millionen für den Support. Ist das das Konjunkturpaket für SAP und die Telekom? Lasst alle Pupser nochmal drüber schauen, bevor sie veröffentlicht wird. Am besten dann so ein paar Monate nachdem alle durchgeimpft sind.
Der Zeitdruck ist verständlich, am 30. Juni ist das Ding vermutlich noch überflüssiger als jetzt und damit noch schlechter zu verkaufen als ohnehin schon. Ein richtiger Sicherheits-Audit ist in so einer kurzen Zeit auch gar nicht realistisch. Dass es Quelloffen ist spielt dabei keine Rolle, der Code kann auf den ersten Blick in Ordnung sein. Ob es der Algorithmus auch ist sieht man oft nicht ohne Weiteres bzw. hat evtl. Seiteneffekte, die man nicht bedacht hat. Vor allem bei schnell-schnell.
Mit dem Argument „evtl. Seiteneffekte“ kommst du hier bei den Befürwortern nicht durch. Die Corona-Panik ist bei einigen so groß das sie auch intravenöse Desinfektionsmittelinfusionen akzeptieren würden, wenn sie von der „richtigen“ Stelle empfohlen würden. Es ist so traurig was das Virus aus manchen Menschen macht.
*facepalm*
Die Pandemie begann mit den PCR-Tests. Deswegen ist es wichtig, sich vielleicht mal mit folgendem Szenario zu beschäftigen. Die Anzahl der in Deutschland durchgeführten PCR-Tests und die Anzahl der positiv getesteten ist bekannt, das sind offizielle Zahlen vom RKI. Könnte man unter Zuhilfenahme der Spezifität und der Sensitivität der Tests (Angaben zu diesen Größen finden sich zahlreich im Internet) herausfinden, welche Durchseuchung in der Bevölkerung unter diesen Bedingungen statistisch nötig wäre, um auf die angegebene Anzahl an positiven PCR-Tests zu kommen? Wie groß ist die „positive predictive value“ der Tests?
Hier sind viele Informatiker und naturwissenschaftlich Ausgebildete Menschen nehme ich an. Vielleicht kann man den Diskurs, der hier auffällig emotional geführt wird, mal auf die logisch-wissenschaftliche Ebene zurück holen?
Auch im Hinblick auf die Notwendigkeit dieser Tracing-App hat diese Berechnung nämlich erheblichen Einfluss, deswegen finde ich sind diese Fragestellungen durchaus wichtig in diesem Zusammenhang.
Spezifität der PCR-Tests liegt bei über 99,9% (sieht man schon daran, dass es jetzt schon öfter Reihentestungen von mehreren Tausend Personen gab, die alle negativ getestet wurden). Sensitivität wahrscheinlich bei etwa 80% (eventuell weniger, wenn zu früh oder zu spät im Krankheitsverlauf getestet wird).
Die nicht erkannten Fälle sind insgesamt höchstwahrscheinlich zwei- bis fünfmal höher als die erkannten Fälle. Ich vermute, dass zur Zeit die Dunkelziffer aber deutlich geringer ist als im Gesamtverlauf, da relativ zu den Erkrankungen mehr getestet wird. Genaueres werden die Ergebnisse der Münchner Antikörperstudie zeigen, welche für Mitte Juni angekündigt sind. Das hat jedoch wenig mit Spezifität oder Sensitivität zu tun, sondern damit, dass viele nicht getestet wurden.
Insgesamt hatten in Deutschland wahrscheinlich zwischen 0,5% und 1,5% der Bevölkerung COVID-19.
Warum haben diese Fragestellungen einen Einfluss auf die Notwendigkeit der Tracing-App?
Kannst du mir bitte eine Quelle nennen für die Angabe der Spezifität von über 99,9%. Die Quellen, die ich bisher gefunden habe, nennen eine weitaus geringere Spezifität.
Wenn das stimmt was du sagst, hätte das keinen Einfluss auf die Notwendigkeit einer Tracing-App und ich würde dir Recht geben. Liegt die Spezifität jedoch bei 99% oder drunter, müsste man sich schon langsam Gedanken machen, ob es die in Relation vielen falsch-positiven wert sind, dafür die Nutzer der App in Quarantäne zu schicken. Das ist auch die Antwort auf deine Frage: Ist der Test unzuverlässig, hätte ein falsches Ergebnis einen überdurchschnittlichen negativen Einfluss (Quarantäne, Stress usw.) auf das Leben der App-Nutzer. Und wenn sich die positiv predictive value dann 50% annähert, hättest du eine Menge Leute umsonst verrückt gemacht. Vor allem, wenn die Zahlen der Durchseuchung, die du genannt hast, so stimmen. Daher der Zusammenhang zur App.
Ich kann nur selbst beobachten, dass es immer wieder Tests aller Mitarbeiter in Schlachthäusern gibt, bei denen das Ergebnis ist, dass niemand infiziert ist. In Sögel waren es über 2.000 Mitarbeiter, die alle negativ waren. Mit einer Falschpositivrate von über 0,2% wäre so etwas fast ausgeschlossen. In Wuhan wurden vor einigen Wochen auch alle ca. 11 Millionen Einwohner per PCR-Test getestet. Es gab 300 positive Ergebnisse; die positiv getesteten waren alle symptomlos. Wenn dies alles falsch positive Ergebnisse waren, dann wäre die Falschpositivrate etwa 0,003%.
Falsch-negative sehe ich als viel größeres Problem. Wenn beispielsweise mehr als eine Woche nach Symptombeginn ein Rachenabstrich genommen wird, ist dieser selbst bei schwer Erkrankten oft negativ. Ein Test des Lungensputums wäre dagegen positiv.
Es wäre aber wichtig, belastbare Quellen für deine Behauptungen zu haben, denn damit steht und fällt eine ganze Menge anderer Argumente. Eine schnelle Google-Suche zu Spezifität ergibt nämlich einen Link auf das Ärzteblatt, bei dem von einem Test mit einer Spezifität von 95% die Rede ist. auf aerzteblatt (punkt) de unter /archiv/214370/PCR-Tests-auf-SARS-CoV-2-Ergebnisse-richtig-interpretieren
Dort werden auch Literaturquellen genannt. Es kann natürlich sein, dass das Aerzteblatt stuss redet, aber ähnliche Zahlen habe ich auch schon anderso gelesen. Haben die alle unrecht und schauen nicht auf die Reihentestungen in Schlachthäusern?
Falsch-Negative sind auch schlimm, aber daran kann die App nichts ändern, bzw. die Existenz der App hat dahingehend keine zusätzlichen Nachteile. Bei falsch-positiven Ergebnissen jedoch schon.
Die 5% sind ein hypothetisches Beispiel aus einem BMJ-Artikel (ist in der Fußnote verlinkt), um die Berechnung zu verdeutlichen. Bei der Sensitivität haben sie echte Zahlen genommen, bei der Spezifität gab es keine.
5% kann einfach nicht richtig sein. In ganz Deutschland wurden 0,9% positiv getestet letzte Woche. Per Definition kann die Falschpositivrate nicht höher sein (und ist vermutlich viel geringer, da es offensichtlich immer noch viele Erkrankungen mit Symptomen gibt). Die Reihentestungen in Sögel und Wuhan lassen sich leicht ergoogeln.
Es ist wirklich schwierig, belastbare Zahlen im Internet zu der Spezifität der PCR Tests zu bekommen. In der Praxis bringen natürlich theoretische Laborwerte nichts, man will ja reale Zahlen haben. Ich hab jetzt gesucht und wirklich viele unterschiedliche Zahlen gefunden. Ein Ringversuch von INSTAND e.V. vom April beispielsweise gibt eine Spezifität von 98,6% an (instand-ev (punkt) de).
Ich finde es seltsam, dass es im Internet so schwer ist, dazu belastbare Zahlen zu finden, denn damit steht und fällt so manche Argumentation pro oder contra der App, wie ich oben bereits bemerkt habe. So eine Information sollte doch leicht auffindbar sein oder irgend ein Wissenschaftler müsste sich doch da mal dazu äußern! Da gibt es doch sicher einen Konsens, es kann ja nicht beides sein, 100% und 99%.
Und dass in Deutschland letzte Woche 0,9% positiv getestet wurden, muss auch nichts zwangsläufig heissen, dass der Test so gut ist. Denn wenn man bei manchen Leuten mehrfach misst, kommt auch bei einer Spezifität von 98% eher dann das Richtige raus. Aber so ein Test ist teuer, ich glaube nicht dass man bei jedem mehrfach testet. Aber wissen tu ich es nicht, vielleicht wird das vom RKI irgendwo kommuniziert aber ich finde es nicht.
Dass man so in der Diskussion auf keinen grünen Zweig kommt hier in den Kommentaren kann ich nun nachvollziehen. Zielführend ist so ein Umgang mit dem Thema jedenfalls nicht.
Der PCR-Test der Charité wurde mit etwa 400 Proben mit Erkältungs-Coronaviren getestet und war immer negativ. Es gibt Reihentestungen in Deutschland mit mehr als 2000 negativen Ergebnissen. In Wuhan gab es 300 positive Ergebnisse bei 11 Millionen Tests. All das deutet auf eine sehr niedrige Falsch-Positiv-Rate hin.
Was willst Du denn noch mehr bzw. warum bist Du so skeptisch?
Noch zu dem Ringtest: hier wird immer nur auf eine Genregion getestet. Für einen PCR-Test sieht das Charité-Protokoll aber vor, dass zunächst auf das E-Gen, und dann, wenn positiv, auf das RdRP-Gen getestet wird. Siehe „Detection of 2019 novel coronavirus (2019-nCoV) by real-time RT-PCR“ auf Eurosurveillance.
Im Ringtest waren für Probe 340062 bei der E-Gen-Region 0,5% falsch positiv und für die RdRP-Region 2,2%. Insgesamt wären dann nach Charité-Protokoll 0,5% * 2,2% = 0,01% falsch positiv (1 aus 10.000).
Im Ringtest waren für Probe 340065 bei der E-Gen-Region 1,1% falsch positiv und für die RdRP-Region 1,8%. Insgesamt wären dann nach Charité-Protokoll 1,1% * 1,8% = 0,02% falsch positiv (1 aus 5.000).
Wie auch immer man es dreht und wendet – die Anzahl falsch positiver Ergebnisse ist sehr niedrig.
Noch ein Wert: In Luxemburg werden gerade Massentests durchgeführt. Bis vorgestern wurden 23.000 Testungen vorgenommen, mit 5 positiven Ergebnissen. Falls alle 5 eigentlich negativ wären, wäre die Falsch-Positiv-Rate bei 0,02%.