Seite 3: Ist die App sicher?

Inhaltsverzeichnis

Das größte Sicherheitsrisiko der App geht wohl davon aus, dass deren Nutzer ständig mit aktivem Bluetooth in der Öffentlichkeit unterwegs sind. Das ist aber bei einem Großteil aller Handy-Nutzer momentan eh schon der Fall, da Android und iOS es einem nicht gerade einfach machen Bluetooth komplett abzuschalten und viele Menschen Bluetooth-Zubehör (allem voran Kopfhörer oder die Abspielfunktion von Auto-Radios) verwenden. Bluetooth wurde in der Vergangenheit immer wieder Opfer von Angriffen, manche Sicherheitslücken konnten sogar nur mit Hardware-Änderungen behoben werden, was das Ausspielen eines Software-Patches unmöglich macht. Genau aus diesem Grund beobachten Sicherheitsforscher die Situation aber genau und die betroffenen Firmen (allen voran Apple und Google) sind in der Regel sehr schnell damit, Sicherheitsprobleme zu beheben. Im Zweifel kann man die Corona-Warn-App ja wieder deinstallieren, wenn eine ernste Bluetooth-Lücke bekannt wird.

Ob die App an sich sicher ist lässt sich, wenn man Menschen seriös beraten will, nicht sagen. Absolute Sicherheit gibt es bei Software sowieso nicht; alle Software hat immer Bugs. Seriöse Experten werden bei einer neuen App nie pauschal sagen, dass sie sicher ist. Eine solche Einschätzung kann man erst mit der Zeit treffen. Je mehr Sicherheitsforscher sich den Code der App angeschaut haben und je länger sie im täglichen Einsatz ist, ohne dass Probleme gefunden werden, mit desto mehr Selbstbewusstsein lässt sich darauf schließen, dass sie sicher ist. Und selbst dann kann am nächsten Tag jemand eine kritische Lücke finden.

Was man sagen kann ist, dass die deutsche Corona-App in einem beispiellosen Prozess programmiert und veröffentlicht wurde. Der Code ist offen und steht unter einer anerkannten Open-Source-Lizenz. Entwickler und Sicherheitsforscher aus der ganzen Welt haben sich den Code angeschaut und Verbesserungsvorschläge gemacht, auf die die Entwickler in beeindruckendem Maße eingegangen sind. Und dieser Prozess endet mit dem Veröffentlichen der App wohl nicht. Sie wird weiterhin von vielen Augen beobachtet und von allen Seiten kritisch abgeklopft. Nicht zuletzt von unabhängigen Experten beim Bundesamt für Sicherheit in der Informationstechnik, bei der TÜV-Informationstechnik und beim Chaos Computer Club (CCC).

Dank dieses Vorgehens ist die Corona-Warn-App wahrscheinlich sicherer und vor allem respektiert sie die Privatsphäre des Nutzers mehr, als vieles, was Menschen sonst noch so gerade auf ihren Handys installiert haben.

Wie wird verhindert, dass Anwender Infektionen melden, die nicht existieren?

Anwender können freiwillig entscheiden, ob sie eine SARS-CoV-2-Infektion an die App melden wollen. Um zu verhindern, dass dies geschieht, obwohl kein positiver Test vorliegt, muss der Anwender sein Testergebnis mit einem QR-Code oder einer TAN bestätigen. Den QR-Code erhält der Patient von dem Labor, dass ihn positiv getestet hat oder alternativ von seinem Arzt. Außerdem kann er bei einer Telefonhotline anrufen und sich eine PIN durchsagen lassen. QR-Code und PIN sind quasi das selbe: Sie werden vom Server der App auf Echtheit geprüft und dieser teilt der App dann mit, dass der Nutzer sich als infiziert melden darf. Die Entscheidung darüber, das dann zu tun, liegt, wie gesagt, allein beim Nutzer. Zu diesem Zeitpunkt wurden seine Daten ohnehin bereits an das zuständige Gesundheitsamt gemeldet, da es sich bei COVID-19 um eine meldepflichtige Krankheit handelt.