Corona-Warn-App: TÜV findet Sicherheitslücken und kritisiert Veröffentlichungstermin
(Update 14. Juni von Carsten Knobloch: Mittlerweile wird die App als „sicher und stabil bezeichnet):
Der TÜV bzw. die TÜV Nord Group wurde mit der Prüfung der offiziellen Corona-Warn-App der Bundesregierung beauftragt. Entwickelt wird die App von SAP und der Deutschen Telekom. Sie soll nächste Woche erscheinen – der Quellcode ist schon online und steht auch für eure Blicke frei zur Verfügung. Nun kritisiert der TÜV nach der Prüfung des Codes den aktuellen Status und kritisiert den Veröffentlichungstermin. Denn es bestehe bei der Sicherheit leider noch Nachholbedarf.
Der TÜV Informationstechnik (TÜVit), Tochter des TÜV Nord, hat mehrere Mängel in der Corona-Warn-App gefunden. Eine Sicherheitslücke stuft man sogar als schwerwiegend ein. TÜVit gibt nun an, dass es besser gewesen wäre die App erst am 30. Juni oder sogar noch etwas später zu veröffentlichen. So wollte man die App eigentlich für vier Wochen prüfen, bekam aber am Ende vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zunächst nur eine Woche Zeit. Am Ende konnte man aber eine zweite Woche herausschlagen.
Mehr Zeit zum Testen wäre aber laut Sprechern des TÜVit sinnvoll gewesen, um die App ausführlicher auf Herz und Nieren prüfen zu können. Ein gravierendes Problem fand man bei den TANs, welche Nutzer eingeben können, die positiv auf SARS-COV-2 getestet worden sind. Denn der Algorithmus, mit dem die TANs generiert werden, war laut TÜVit leicht zu knacken. Dadurch hätte man beliebig viele TANs erstellen können, um sich als positiv getestet auszugeben – dadurch hätten Dritte die App leicht mit falschen TANs fluten können, was zum einen zu temporären Zusammenbrüchen der App -Infrastruktur hätte führen können.
Zum anderen hätten viele Nutzer dann fälschlicherweise Warnungen zu einer möglichen Infektion bzw. Kontakten mit Infizierten erhalten, was das Vertrauen in die App erheblich erschüttert hätte. Dazu hätten sich zwar koordiniert mehrere Angreifer zusammenschließen müssen, denkbar wäre das Szenario aber durchaus gewesen. TÜVit kritisiert dabei auch, dass „weite Teile der App-Infrastruktur außerhalb des Prüfauftrags“ lägen – etwa das Server-Backend oder die Verschlüsselung der SQLCipher-Bilbiothek.
Kritik übte man auch an der vorschnellen Veröffentlichung des Quellcodes, noch bevor dieser durch TÜVit geprüft werden konnte – das sei „gewagt“. Dadurch wetteifere man beim TÜV nun quasi direkt mit potenziellen Angreifern. Positiv hebt man wenigstens die Einhaltung der Privatsphäre hervor, welche nach den aktuellen Eindrücken gewährleistet bleibe. Da wart ihr ja bei unserer Umfrage im Mai recht skeptisch.
Es ist wirklich schwierig, belastbare Zahlen im Internet zu der Spezifität der PCR Tests zu bekommen. In der Praxis bringen natürlich theoretische Laborwerte nichts, man will ja reale Zahlen haben. Ich hab jetzt gesucht und wirklich viele unterschiedliche Zahlen gefunden. Ein Ringversuch von INSTAND e.V. vom April beispielsweise gibt eine Spezifität von 98,6% an (instand-ev (punkt) de).
Ich finde es seltsam, dass es im Internet so schwer ist, dazu belastbare Zahlen zu finden, denn damit steht und fällt so manche Argumentation pro oder contra der App, wie ich oben bereits bemerkt habe. So eine Information sollte doch leicht auffindbar sein oder irgend ein Wissenschaftler müsste sich doch da mal dazu äußern! Da gibt es doch sicher einen Konsens, es kann ja nicht beides sein, 100% und 99%.
Und dass in Deutschland letzte Woche 0,9% positiv getestet wurden, muss auch nichts zwangsläufig heissen, dass der Test so gut ist. Denn wenn man bei manchen Leuten mehrfach misst, kommt auch bei einer Spezifität von 98% eher dann das Richtige raus. Aber so ein Test ist teuer, ich glaube nicht dass man bei jedem mehrfach testet. Aber wissen tu ich es nicht, vielleicht wird das vom RKI irgendwo kommuniziert aber ich finde es nicht.
Dass man so in der Diskussion auf keinen grünen Zweig kommt hier in den Kommentaren kann ich nun nachvollziehen. Zielführend ist so ein Umgang mit dem Thema jedenfalls nicht.