Die Corona‑App: Eine erste IT‑Security‑Einschätzung | WeLiveSecurity

Die Corona‑App: Eine erste IT‑Security‑Einschätzung

Viele Länder waren schneller, in Deutschland soll sie nun ab morgen offiziell verfügbar sein: Die Corona-Warn-App. Viel wird spekuliert und so manche Verschwörungstheorie kursiert noch im Internet. Das wissen wir über die App:

Viele Länder waren schneller, in Deutschland soll sie nun ab morgen offiziell verfügbar sein: Die Corona-Warn-App. Viel wird spekuliert und so manche Verschwörungstheorie kursiert noch im Internet. Das wissen wir über die App:

Vorab: Weltweit haben sich verschiedene Länder für verschiedene Arten an Apps entschieden. Da dieser Artikel für den deutschsprachigen Raum gedacht ist, konzentriert er sich darauf, was es hier zu erwarten gibt.

Frankreich und über 40 weitere Länder haben sie bereits, in Deutschland wurde bisher vor allem viel diskutiert. Zum offiziellen Start der Corona-Warn-App zeigen wir was sie genau macht und wo die Stolpersteine für ihren Erfolg liegen.

Was ist eine Corona-Warn-App?

Es gibt zwei Arten von Ansätzen. Die einen sprechen von „Tracing“, andere von „Tracking“. Tracing hat das Ziel, Infektionswege und -ketten nachzuverfolgen und somit mehr über den Verlauf der Ausbreitung herauszufinden und Schlüsse für künftige Wellen daraus zu ziehen. Beim Tracking geht es darum, mögliche Hotspots zu identifizieren, um schnellstmöglich Maßnahmen zu ergreifen und eine weitere Ausbreitung einzudämmen. Außerdem soll es Menschen, die Kontakt zu nachweislich Infizierten hatten, die Möglichkeit geben, sich schnellstmöglich testen zu lassen. Wie bei anderen Krankheiten auch, ist eine frühestmögliche Behandlung entscheidend für den weiteren Verlauf.

Außerdem ist für Viele die Art der Speicherung der Daten entscheidend. Geschieht diese zentral auf einem Server oder dezentral auf den Geräten der Nutzer? In Deutschland hat man sich aus Datenschutzgründen dazu entschieden, den dezentralen Ansatz zu verfolgen. Frankreich setzt dagegen auf eine zentrale Speicherung aller Daten.

Wie funktioniert die App?

Ziel ist es, die Kontakte möglicherweise infizierter Menschen nachzuverfolgen. Entgegen mancher Behauptung kommt dabei keine GPS- oder WLAN-Ortung zum Einsatz. Eine Ortung einzelner Personen über die App ist also nicht angedacht. Verschwörungstheoretiker behaupten teilweise, dass die App „die Leute überwachen und kontrollieren soll“ durch das großflächige Erstellen von Bewegungsprofilen und was-weiß-ich-noch. Wahr ist, dass es aus technologischer Sicht dafür keine App braucht. Die Mobilfunkanbieter wissen durch ihre Funkzellen jederzeit wo sich ein Teilnehmer befindet.

Doch zurück zur geplanten App: Die „Massenverfolgung“ ist also nicht der Sinn. GPS und WLAN Ortung helfen außerdem nicht dabei, zuverlässig zu bestimmen, ob sich jemand in der ansteckungsrelevanten Nähe eines Infizierten befunden hat. Die Genauigkeit der Methoden ist dafür zu grob. Stattdessen wird die Bluetooth Technologie verwendet. Diese verfügt zwar über geringe Reichweite, ist aber für den Bereich bis 1,5m hervorragend geeignet.

Die Teilnehmer werden außerdem nicht im Klartext, per Namen oder Telefonnummer identifiziert, sondern über spezielle, anonyme Signaturen. Sollten Sie sich also in der Nähe eines später als infiziert erkannten Teilnehmers aufgehalten haben und dieser diese Info in seiner App vermerken, erhalten Sie auf ihrem Gerät lediglich den Hinweis, dass Sie möglicherweise Kontakt hatten und sich schnellstmöglich testen lassen sollten. Sie erfahren so nicht, wer infiziert ist und umgekehrt erfährt so niemand namentlich, falls Sie infiziert sein sollten.

Was sind mögliche Gefahren und die Stolpersteine?

Natürlich nutzen Cyberkriminelle jede globale Katastrophe für Spam- und Phishing und Malware-Kampagnen aus. Das ist bei der Corona-Pandemie nicht anders.  Das sieht man an den gefälschten Mails, die seit Beginn des Jahres zu Zigtausenden kursieren, das sieht man an gefälschten oder einfach dreisten Werbeangeboten oder gefälschte Webseiten. Die Diskussion um eine mögliche Corona-App bleibt Onlinekriminellen nicht verborgen.

In den App-Stores und auf Drittanbieterwebseiten gibt es alle möglichen Apps mit Corona-Bezug, nicht alle davon aus seriösen Quellen, wie der WHO oder dem Robert-Koch-Institut. Außerdem müssen einer offiziellen Corona-App einige Rechte auf dem Smartphone gewährt werden. Arglose Anwender werden bei diesem Schritt noch nicht einmal stutzig. Eine erste ESET-Analyse hat dies klar bestätigt von sechs Apps hatten nur drei Apps einen medizinischen Hintergrund.

Eine andere Gefahr lauert in Schwachstellen des Bluetooth Protokolls selbst. Erst kürzlich wieder ist eine gravierende Lücke entdeckt worden, die es Angreifern erlaubt, Daten unerlaubt abzufangen.

Was ist zwingend erforderlich?

Die offiziellen Informationsseiten der Bundesregierung, sowie die Projektseite https://www.coronawarn.app/de/ müssen direkt auf die Apps im Apple Store und im Google Play Store verlinken. Nur so wird es gelingen, dass Nutzer Betrügern und Datendieben auch die richtige App installieren.

Die Installation der App allein reicht nicht aus. Ein Stolperstein: Infizierte müssen unbedingt die Information über die eigene Infektion über die App ins System einbringen, damit Kontaktpersonen gewarnt werden können. Geschieht das nicht, kann keine Frühwarnung erfolgen. Gewarnte Personen müssen sich im Gegenzug natürlich auch testen lassen, sonst ist der Nutzen der App nicht gegeben.

Durch den Zeitdruck der Softwareentwicklung, unterschiedlicher Pandemie-Verläufe und Datenschutzanforderungen in den einzelnen Ländern gibt es mittlerweile international eine Vielzahl an verschiedenen Apps. Das Problem hierbei ist, dass diese untereinander oft inkompatibel sind. Grenzgänger – etwa Pendler von und nach Frankreich – können so nicht erfasst werden. Hier wäre eine europäische Lösung perspektivisch wünschenswert. Datenschutzrechtlich wäre diese auf Grundlage der EU-DSGVO möglich.

Fazit

Ob die App helfen kann im Kampf gegen die Corona Pandemie wird also nur die Zukunft zeigen können. Die verschiedenen Erfolgsfaktoren stehen oben beschrieben. Grundsätzlich ist es aber zu begrüßen, dass man in Deutschland in der Entwicklung der App einen transparenten Open-Source-Ansatz gewählt hat. Sie können sicher sein, dass unsere ESET Experten sich die App, sobald sie verfügbar ist, zusätzlich noch ganz genau anschauen werden.

Ich hoffe, der Artikel konnte etwas Ordnung ins „Gedankenchaos“ bringen und ein paar Mythen und Vorurteile entkräften. Sollten Sie noch Fragen haben, nutzen Sie gern die Kommentarfunktion unter dem Artikel.
Bleiben Sie gesund und: „Enjoy Safer Technology“!

 

Die offizielle Seite der Corona-Warn-App
Download für iOS (Apple Store)
Download für Android (Google Play Store)

Hier können Sie mitdiskutieren