Mitarbeiter der TÜV Informationstechnik (TÜVit), einer auf IT-Sicherheit spezialisierten Tochter des TÜV Nord, haben die von der Bundesregierung in Auftrag gegebene Corona-Warn-App auf Sicherheitslücken überprüft. Dabei haben sie mehrere Mängel entdeckt und an die Entwickler gemeldet, damit diese die Fehler vor dem Start der App beheben konnten. Eins der gefundenen Sicherheitsprobleme wurde von den TÜV-Prüfern dabei als recht schwerwiegend eingestuft.
Schon als noch eine App in Zusammenarbeit mit der PEPP-PT-Initiative angedacht war, hatte TÜVit-Geschäftsführer Dirk Kretzschmar im Namen seiner Firma dem BSI ein Angebot unterbreitet, diese App kostenfrei auf Sicherheitslücken zu prüfen. Dieses Angebot sei zu diesem Zeitpunkt allerdings abgelehnt worden, sagte er gegenüber heise online. Im Zuge der Neuentwicklung der App durch SAP und Telekom habe die TÜVit ihr Angebot noch mal erneuert und das BSI sei schließlich darauf eingegangen. Allerdings sei die vom TÜV vorgeschlagene Prüfdauer von vier Wochen auf eine Woche eingedampft worden, so Kretzschmar. Scheinbar war das Interesse an einer genauen Überprüfung nicht sehr groß. Wozu auch noch etwas prüfen, was von vielen Promis so überschwänglich gelobt und beworben wurde. Darunter auch Leute, wie Ex-Löwe Frank Thelen, dem man gerne ein Wissen und Erfahrungen in Bereichen andichtet, die er definitiv gar nicht besitzt.
(Quelle: heise.de)
TAN als Sicherheitslücke
Das gravierendste Sicherheitsproblem besteht mit den TANs, die Patienten in die App eingeben können, um zu bestätigen, dass sie positiv auf SARS-CoV-2 getestet wurden. Nach Bestätigung einer positiven Diagnose kann ein App-Nutzer den Prozess anstoßen, mit dem seine Diagnose-Schlüssel über das Apple/Google-API an den Backend-Server der App übermittelt werden. Dadurch laden dann die Apps aller anderen Nutzer diese Schlüssel herunter und prüfen, ob ihr Anwender mit dem als positiv getesteten Anwender Kontakt hatte.
Der Algorithmus, mit dem diese TANs generiert wurden, soll relativ leicht zu knacken sein, so dass sich jeder solche TANs beliebig hätte erstellen können. Damit hätte man sich dann fälschlich als positiv getestet ausgeben können. Diese Sicherheitslücke hätte ein katastrophales Ergebnis auf den Betrieb der Corona-Warn-App haben können. Zuerst einmal ist zu befürchten, dass viele falsch-positive Diagnose-Schlüssel beim Runterladen auf alle Geräte im Netzwerk mindestens temporär zum Zusammenbruch der App-Infrastruktur geführt hätten. Außerdem wären viele Nutzer dann wohl mit falsch-positiven Warnungen auf eine mögliche Infektion und dem Gesuch, sich selbst unter Quarantäne zu stellen, konfrontiert worden, was wahrscheinlich zu einem Verlust des öffentlichen Vertrauens in die Corona-Warn-App geführt hätte.
Das ist aber bestimmt noch nicht alles, denn weite Teile der App-Infrastruktur waren außerhalb des Prüfauftrags für den TÜV. Das Server-Backend und die von Apple und Google in ihren Betriebssystemen bereitgestellten Funktionen wurden gar nicht geprüft. Auch die Verschlüsselung der SQLCipher-Bibliothek, welche die von der App auf dem Gerät gespeicherten Daten schützt, schauten sich die TÜV-Prüfer nicht an.
Schwachstelle Betriebssystem
Die Auswertung der Daten eines Mobiltelefons ist allein schon für Google und Apple hochinteressant und bares Geld wert. Mit der App werden jetzt Bewegungsdaten mit den Daten anderer Menschen in Verbindung gesetzt, was ohne die App bisher nicht ging. Darum musste ja auch vorher sicher gestellt werden, dass die App mit Android und iOS sauber läuft, d.h. sauber und unbemerkt Daten transferiert werden können. Das mag jetzt noch nicht freigeschaltet sein, weil noch zu viele das austesten könnten, aber auf Dauer wäre das eine Option.
Neben Google und Apple gibt es aber auch noch jede Menge Drei-Buchstaben-Organisationen, die für sich in amerikanische Software Hintertürchen einbauen lassen, um deren Nutzer auszuspionieren. Naivität ist in diesem Zusammenhang eine ungünstige Eigenschaft. Terror war in den letzten Jahren immer das Argument für allerlei Beschränkungen von Freiheiten.
Ob so eine Orwell-hoch-3-Welt dem Einzelnen irgendwann schadet, ist schwer zu sagen. Aber es könnte schon sein, dass die Display-Werbetafeln in den Fußgängerzonen auf Reiseangebote umspringen, wenn dank Facebook-Info genug Reiselustige daran vorbeilaufen. Es könnte aber auch sein, dass jemand künftig nicht mehr in die USA einreisen darf, weil er im Treppenhaus täglich Menschen trifft, die Migranten aus dem Iran sind. Aber nicht jeder sucht sich ferne Reiseziele. Wir werden ja gerade darauf eingestimmt, wieder heimische Orte im Urlaub zu besuchen.
Teurer Nonsens
Mit Entwicklungskosten von 20 Mio. Euro und jährlichen Betriebskosten von noch einmal rund 32 Mio. Euro ist diese App ein teurer Spaß geworden. Wenn man zu Big-Player geht, weiß man aber schon vorher, dass man über den Tisch gezogen wird. Ein kleineres aber auf die Entwicklung vom Apps spezialisiertes Unternehmen hätte das Ganze für weniger als 1 Mio. Euro entwickelt. Selbst nach großzügigsten Rechnungen kommt man kaum über die 2 Mio. Grenze hinaus. Zum Schluss hieß es in den Ministerien und beim verantwortlichen Minister Jens Spahn nur noch Augen zu und durch. Daher werden Bedenken zur Seite geschoben, mögliche Lücken nicht geschlossen und ein viel zu hoher Preis gezahlt. Den größten Preis zahlt aber der Bürger, der diese App installiert, mit dem Verzicht auf Datenschutz und Anonymität. Das wird jetzt keiner zugeben, aber in ein paar Jahren wird das sicher öffentlich werden.
Update vom 15.07.2020: Gesundung nicht vorgesehen
Wie sich jetzt zeigt, hat man bei der 20 Mio. Euro teuren App eine nicht unbedeutende Kleinigkeit vergessen: Dass jemand nach erfolgter Infizierung mit dem Corona-Virus wieder gesundet, ist nicht vorgesehen. Es gibt keine Möglichkeit, der App mitzuteilen, dass man inzwischen als geheilt gilt. Empfehlung der Experten: Die komplette App deinstallieren und danach alles neu installieren. Beschäftigungstherapie.
Das soll doch wohl ein Witz sein? Jeder, der an der Entwicklung dieser App beteiligt ist, kann doch wirklich nur als vollkommen verblödet angesehen werden. Jeder, der politisch an dem Prozess der Auftragsvergabe und der inhaltlichen Ausgestaltung beteiligt war, sollte schleunigst die politischen Konsequenzen tragen und von allen Ämtern zurücktreten.
Als erstes fällt einem der „Gesundheitsminister von der traurigen Figur“ ein. Ein echter Don Quijote des Gesundheitswesens, mit dem einzigen Unterschied, dass ihm ein Sancho Pansa fehlt, der ihm vor größeren Unheil bewahrt. Wer sich diesen Träumer immer noch als möglichen Kanzlerkandidaten vorstellen kann, ist ein nicht geringerer hoffnungsloser Fall.
Update vom 25.07.2020: Fünf Wochen ohne Update
Anfangs sollte es nur beim Android-Betriebssystem vorgekommen sein, jetzt ist klar, dass auch bei allen iPhones mit installierter App kein Abgleich der Daten erfolgte. Inzwischen haben die Entwickler der deutschen Corona-Warn-App eine neue Version der Anwendung veröffentlicht, mit der die technischen Probleme auf dem iPhone von Apple beseitigt werden. Das gaben der Softwarekonzern SAP und die Deutsche Telekom am 25. Juli bekannt. Auf dem Apple-Betriebssystem iOS hatte die Warn-App zwar wie versprochen ständig anonyme Codes mit anderen Nutzern ausgetauscht, die Warnung vor gefährlichen Begegnungen erfolgte allerdings nicht im Hintergrund, sondern nur wenn die App aktiv geöffnet war. Die ähnlichen Probleme bei Android bestehen nachwievor. Eine große Zahl der 16 Millionen Nutzer der App haben somit über einen Zeitraum von mehr als einem Monat nicht die Informationen erhalten, für die diese App von ihnen installiert wurde. Es mehren sich die Stimmen, die dem noch aktiven Gesundheitsminister für diese Schlappe an den Kragen wollen. Je lauter das Eigenlob umso tiefer der Fall, kann man da nur sagen.