TÜV-Prüfung der Corona-App: Lücken gefunden, Kritik am Veröffentlichungstermin

Die Corona-App der Bundesregierung braucht eigentlich noch mehr Zeit. "Es besteht noch Nachholbedarf", so das Fazit der TÜV Informationstechnik.

In Pocket speichern vorlesen Druckansicht 870 Kommentare lesen
TÜV-Prüfung der Corona-Warn-App: Lücken gefunden, Kritik am Veröffentlichungstermin

Die TÜV Informationstechnik, eine Tochter des TÜV Nord, prüft im Auftrag der Bundesregierung die deutsche Corona-App.

(Bild: TÜV Nord)

Lesezeit: 7 Min.
Von
  • Fabian A. Scherschel
Inhaltsverzeichnis

Mitarbeiter der TÜV Informationstechnik (TÜVit), einer auf IT-Sicherheit spezialisierten Tochter des TÜV Nord, prüfen seit knapp zwei Wochen die von der Bundesregierung in Auftrag gegebene Corona-Warn-App auf Sicherheitslücken. Dabei haben sie mehrere Mängel entdeckt und an die Entwickler gemeldet, damit diese die Fehler vor dem Start der App – der für die kommende Woche erwartet wird – beheben können. Eins der gefundenen Sicherheitsprobleme wurde von den TÜV-Prüfern dabei als recht schwerwiegend eingestuft.

Im Gespräch mit heise online äußerte sich TÜVit-Geschäftsführer Dirk Kretzschmar mit Blick auf die bisher bei der Sicherheitsprüfung der Corona-App gesammelten Erfahrungen kritisch über den von der Regierung anvisierten Start-Termin der App nächste Woche. Man hätte sich den 30.06. "oder besser noch etwas später" als Start-Termin gewünscht, sagte er. Die TÜVit prüft die von SAP und der Deutschen Telekom entwickelte App im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) auf Sicherheitslücken und Verstöße gegen die zugesicherten Privatsphäre-Garantien des Apple/Google-Contact-Tracing-API und der App-Entwickler.

Schon als noch eine App in Zusammenarbeit mit der PEPP-PT-Initiative angedacht war, hatte Kretzschmar im Namen seiner Firma dem BSI ein Angebot unterbreitet, diese App kostenfrei auf Sicherheitslücken zu prüfen. Dieses Angebot sei zu diesem Zeitpunkt allerdings abgelehnt worden, sagte er gegenüber heise online. Im Zuge der Neuentwicklung der App durch SAP und Telekom habe die TÜVit ihr Angebot noch mal erneuert und das BSI sei schließlich darauf eingegangen. Allerdings sei die vom TÜV vorgeschlagene Prüfdauer von vier Wochen auf eine Woche eingedampft worden, so Kretzschmar. Man habe es dann geschafft, eine zweite Woche dranzuhängen. Im Gespräch mit dem TÜVit-Chef klang aber trotzdem deutlich durch, dass die Corona-Warn-App durchaus noch etwas mehr Test-Zeit hätte gebrauchen können. "Es besteht noch Nachholbedarf", so Kretzschmar.

Das gravierendste von den TÜV-Prüfern entdeckte Sicherheitsproblem besteht mit den TANs, die Patienten in die App eingeben können, um zu bestätigen, dass sie positiv auf SARS-CoV-2 getestet wurden. Nach Bestätigung einer positiven Diagnose kann ein App-Nutzer den Prozess anstoßen, mit dem seine Diagnose-Schlüssel über das Apple/Google-API an den Backend-Server der App übermittelt werden. Dadurch laden dann die Apps aller anderen Nutzer diese Schlüssel herunter und prüfen, ob ihr Anwender mit dem als positiv getesteten Anwender Kontakt hatte.

Der Algorithmus, mit dem diese TANs generiert wurden, war relativ leicht zu knacken, so dass sich jeder solche TANs beliebig hätte erstellen können. Damit hätte man sich dann fälschlich als positiv getestet ausgeben können. Diese Sicherheitslücke hätte ein katastrophales Ergebnis auf den Betrieb der Corona-Warn-App haben können. Zuerst einmal ist zu befürchten, dass viele falsch-positive Diagnose-Schlüssel beim Runterladen auf alle Geräte im Netzwerk mindestens temporär zum Zusammenbruch der App-Infrastruktur geführt hätten. Außerdem wären viele Nutzer dann wohl mit falsch-positiven Warnungen auf eine mögliche Infektion und dem Gesuch, sich selbst unter Quarantäne zu stellen, konfrontiert worden, was wahrscheinlich zu einem Verlust des öffentlichen Vertrauens in die Corona-Warn-App geführt hätte.

Ein solcher Angriff wäre wahrscheinlich nur koordiniert von einer Gruppe von Angreifern durchzuführen, da man ja nicht nur eine positive Diagnose fälschen, sondern sein Smartphone auch noch in Bluetooth-Reichweite von möglichst vielen anderen Geräten bringen muss. Trotzdem wäre es denkbar, dass sich Teile der Bevölkerung, welche die App sabotieren wollen, sich zu so einem Angriff zusammenschließen, sobald die entsprechende Sicherheitslücke bekannt geworden wäre. Immerhin warnen Kritiker des von DP3-T vorgeschlagenen und von Apple und Google umgesetzten Contact-Tracing-Models seit Monaten vor genau diesem Angriffsvektor.

Die TAN-Lücke und weitere von der TÜVit gefundene Probleme können die SAP- und Telekom-Entwickler hoffentlich vor Erscheinen der App beheben. Allerdings, sagte uns Dirk Kretzschmar, sind weite Teile der App-Infrastruktur außerhalb des Prüfauftrags seiner Mitarbeiter. Das Server-Backend und die von Apple und Google in ihren Betriebssystemen bereitgestellten Funktionen werden gar nicht geprüft. Auch die Verschlüsselung der SQLCipher-Bibliothek, welche die von der App auf dem Gerät gespeicherten Daten schützt, schauen sich die TÜV-Prüfer nicht an. Ein Penetration-Test dieser Verschlüsselung ginge "in Richtung Tiefenprüfung, welche wir durchführen können, wenn dies verlangt würde", sagte Kretzschmar. Momentan sei eine solche Tiefenprüfung allerdings nicht Teil des Testauftrags. Solche Tests wären im aktuellen, von der Regierung bestimmten, Zeitplan allerdings auch arg unrealistisch, wenn sie gründlich durchgeführt werden sollen – jedenfalls legt das unsere Erfahrung mit ähnlichen Pentest-Unternehmungen nahe. Aktuell prüft die TÜVit nur die von den SAP- und Telekom-Entwicklern selbst umgesetzten Schutzmaßnahmen.

Kretzschmar äußerte sich aber nicht nur kritisch zum Zeitplan der App-Veröffentlichung, sondern zeigte sich auch unzufrieden über das Vorgehen der Source-Code-Veröffentlichung im Rahmen des Corona-App-Projektes. Er bezeichnete es als "gewagtes Vorgehen", den Quellcode der Open-Source-App vor der eingehenden Sicherheitsprüfung durch die TÜVit öffentlich zu machen. Das führe dazu, dass seine Mitarbeiter quasi im öffentlichen Wettkampf mit potenziellen Angreifern stünden, die über GitHub parallel ebenfalls Zugriff auf den Quellcode der App hätten. Die Mitarbeiter des TÜV-Teams müssen aufgrund des engen Zeitplans der Entwicklung der Corona-Warn-App ja so oder so schon ein bewegtes Ziel testen, da die App noch nicht fertig ist und ständig weiterentwickelt wird. Den TÜV-Prüfern wäre es da wohl lieber gewesen, diese Arbeit erst mal hinter verschlossenen Türen in Ruhe zu erledigen und den Quellcode der App danach der Öffentlichkeit zugänglich zu machen.

Die größte Sorge vieler potenzieller Anwender der Corona-Warn-App ist sicherlich die Frage nach der Privatheit ihrer Daten. Auf die Privatsphäre der App angesprochen, äußerte sich Kretzschmar recht zuversichtlich. Bisher sieht es wohl so aus, als ob die Corona-App in dieser Hinsicht das hält, was die Regierung versprochen hat. Tracking-Technologien, die über das im Apple/Google-API umgesetzte hinausgehen, habe man nicht gefunden, so der TÜVit-Chef. Auch leakt die App anscheinend keine Nutzerdaten nach außen. Bei diesen Ergebnissen muss man allerdings beachten, dass sie als vorläufig anzusehen sind, da mit dem Ende des TÜV-Prüfauftrags die Entwicklung der Corona-Warn-App mitnichten abgeschlossen ist.

Kretzschmar signalisierte, dass der TÜV auch für weitere Tests zur Verfügung stehe. Es sei ihm wichtig, das Vertrauen der Bürger in diese kritische App zu stärken. Aus diesem Grunde habe man schließlich auch, als unabhängige Prüfinstanz, angeboten, die App kostenlos zu testen. Zahlende TÜV-Kunden hätten deswegen hintanstehen müssen. Das Verständnis dafür sei im Großen und Ganzen aber sehr ausgeprägt gewesen. "Jeder versteht, wie wichtig diese App gerade ist", sagte Kretzschmar. Eine große Akzeptanz in der Bevölkerung sei unabdingbar dafür, dass die App funktioniere. Und für eine solche Akzeptanz sorge nur eine gründliche Sicherheitsprüfung durch eine unabhängige Instanz wie den TÜV. (fab)