Corona-Warn-App: Start erfolgt am Dienstag in „nicht perfekter“ Version

Sven Bauduin 96 Kommentare
Corona-Warn-App: Start erfolgt am Dienstag in „nicht perfekter“ Version
Bild: GitHub

Morgen startet die deutsche Corona-Warn-App, obwohl die ersten Schwachstellen in der quelloffenen Tracing-App gefunden wurden. Zuletzt veröffentlichten die Entwickler den Quellcode und Screenshots der Corona-Tracing-App. Nun geht die App in den Feldversuch, während die Debatte um ein Corona-App-Gesetz ungemindert läuft.

TÜV Nord sieht Nachholbedarf

Die Spezialisten der TÜV Informationstechnik (TÜViT) des TÜV Nord untersuchen seit gut zwei Wochen die Tracing-App, die im Kampf gegen die Ausbreitung des Coronavirus helfen soll. TÜViT sieht „noch Nachholbedarf“, sodass der geplante Start am Dienstag, den 16. Juni, zu früh kommen würde.

TÜVit-Geschäftsführer Dirk Kretzschmar äußerte sich bereits letzte Woche gegenüber Heise kritisch hinsichtlich des geplanten Starttermins der App.

Der TÜV Nord hätte sich den Start der von SAP und der Deutschen Telekom entwickelten App frühestens am 30. Juni oder „besser noch etwas später“ gewünscht. Der TÜV fand während seiner Prüfungen mehrere Sicherheitslücken in der für rund 20 Millionen Euro entwickelten App.

Es besteht noch Nachholbedarf.

Dirk Kretzschmar, TÜViT-Geschäftsführer

Eine Gefahr für Spionage durch Unbefugte sieht der TÜV Nord indes nicht, wie das Redaktionsnetzwerk Deutschland Kretzschmar zitiert. Die Tracing-App laufe „stabil und sicher“.

Die Anwender müssen keine Angst vor Überwachung haben.

Dirk Kretzschmar, TÜViT-Geschäftsführer

Auch hätten die Entwickler sehr schnell auf etwaige Sicherheitshinweise der Forscher reagiert, so Kretzschmar.

Die Tester hatten zum Schluss aber ein sehr positives Bild, weil inzwischen alles sehr stabil läuft. Sie waren auch ziemlich begeistert davon, wie schnell und in welcher Qualität die Entwickler auf noch entdeckte Schwachstellen reagiert haben.

Dirk Kretzschmar, TÜViT-Geschäftsführer

TAN-Sicherheitslücke und De-Anonymisierung

Eine gravierende TAN-Sicherheitslücke, die bis zur Veröffentlichung geschlossen werden soll, ließ zu, dass sich der Algorithmus, mit dem die TANs generiert wurden, relativ leicht von den Forschern knacken ließ. Damit hätten die Testergebnisse der App gefälscht werden können, weshalb die TÜViT-Forscher diese Schwachstelle umgehend den Entwicklern meldeten.

Am selben Tag warnte die Technische Universität Darmstadt vor einer De-Anonymisierung von infizierten Personen. Die Fakultät weißt auf eine Sicherheitslücke im Google-Apple-Protokoll (GAP) hin, dem sogenannten Privacy-Preserving Contact Tracing Project, einer Schnittstelle zum Betriebssystem für behördliche Tracing-Apps.

Wie die FAZ berichtet, haben die TU Darmstadt und die Universität Würzburg eine Schwachstelle bei Bluetooth-Benutzer-IDs gefunden. Den Forschern gelang es, eine dieser Benutzer-IDs zwischen zwei Städten zu übertragen, die 40 Kilometer voneinander entfernten sind.

Kanzleramtschef gesteht Versäumnisse ein

Derweil hat Kanzleramtschef Helge Braun Versäumnisse bei den Planungen der Corona-Warn-App eingeräumt. Gegenüber der Welt am Sonntag sagte der CDU-Politiker:

Aus heutiger Sicht hätten wir die Entscheidung, die Unternehmen mit der technischen Umsetzung der Corona-App zu betrauen, zehn Tage früher treffen sollen. Die Gruppe war so bunt, dass sie leider einen Richtungsstreit hatte, der den schnellen Erfolg verhinderte.

Helge Braun (CDU)

Die Entwickler der App sind zuversichtlich und blicken dem morgigen Start optimistisch entgegen. „Inzwischen sind wir überzeugt, dass wir eine gute Lösung haben, mit der man starten kann“, sagte ein SAP-Manager und ergänzte: „auch wenn wir wissen, dass sie nicht perfekt ist“.

Die Debatte über ein Corona-App-Gesetz sowie ein mögliches Anreizsystem sind nach wie vor im vollen Gange.

Update 15.06.2020 12:32 Uhr

Schwachstellen wurden laut TÜV Nord behoben

Wie der Journalist Johannes Kuhn vom Deutschlandfunk über seinen Twitter-Account mitteilte, sollen alle vom TÜV Nord bemängelten Schwachstellen an der Corona-Warn-App durch die Entwickler behoben worden sein. Dies bestätigte TÜViT-Geschäftsführer Dirk Kretzschmar in einer von Johannes Kuhn veröffentlichten Sprachnachricht.