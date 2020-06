Stephan Wiesend

Der Schweizer Datenschutzbeauftragte EDÖP hat die APIs der Covid-App getestet und hält die Sicherheit für völlig ausreichend.

Vergrößern Die Corona-App der Schweiz nutzt die gleiche API wie die deutsche App. © Bund

Die heute erschienene Covid-Warn-App beruht auf einer speziell von Google und Apple entwickelten Technologie, die auch bei anderen Apps wie der SwissCovid App zum Einsatz kommt – und wurde auch in der Schweiz ausführlich getestet. Nach einer ausführlichen Begutachtung durch das Nationale Zentrum für Cybersicherheit wurden die Ergebnisse jetzt vom EDÖB abschließend bewertet – in einer aufschlussreichen Stellungnahme. Der Eidgenössische Datenschutz und Öffentlichkeitsbeauftragte ist in der Schweiz für Datenschutz und Informationsfreiheit zuständig, Vorsteher ist aktuell Adrian Lobsiger.

Die Kritik der Tester

Es ist nicht der erste kritische Test der App, erst gestern hatten wir auf einen Test der Uni Darmstadt hingewiesen. Im Unterschied zu den Forschern aus Darmstadt hatten die Schweizer Prüfer des CSIRT BIT und GovCERT.ch allerdings Zugriff auf die aktuellsten Versionen der App und konnten die Fortschritte bei der aktuellen Version berücksichtigen. Laut dem Bericht wurden einige in ersten Tests bemängelte Sicherheitslücken bereits geschlossen. So wird eine Überwachung des Datentransfers in der aktuellen Version durch vorgetäuschte Datenpakete (fake POST requests) verhindert. Auch Man-in-the-middle-Angriffe wurden erschwert, da ein sogenanntes Zertifikat-Pinning ergänzt wurde. Neben einigen kleineren Problemen wurde aber auch auf die Gefahr von Replay-Attacks hingewiesen. Böswillige Hacker könnten versuchen, das System zu sabotieren, indem sie die ausgesandten IDs der Nutzer einfach abfangen und wiederholt aussenden. Das würde vermutlich zu Fehlalarmen führen.

Einige funktionale Probleme wurden ebenfalls genannt, so gab es offenbar mit einem alten iPhone SE Probleme, das die Warnung einer Infektion erst nach Tagen anzeigte.

Potenzielle Sicherheitsprobleme sehen die Tester aber abschließend weniger bei der App als bei den Smartphones selbst und dem Bluetooth-Protokoll. Durch die Aktivierung von Bluetooth würden sich etwa viele Anwender ungewollt zu erkennen geben, senden diese doch oft den Gerätenamen wie „Max Mustermans iPhone“. Bluetooth hat zudem einige Sicherheitslücken wie BIAS, wie etwa die TU München kürzlich offenlegte . Zudem könnte eines der Geräte in falsche Hände geraten, mit dem medizinisches Personal Infektionen bestätigt. Das könnte ebenfalls zu Unheil führen.

Das Abschlussurteil

Das EDÖB kommt deshalb abschließend zum Schluss, dass für die Nutzer durch die Verwendung der Covid App kein signifikant größeres Risiko entsteht. Als Problem wird eher noch die Plattform selbst gesehen, die aber sowieso von allen genutzt würde: Da zwar der Quellcode der APIs, aber nicht der Betriebssysteme selbst veröffentlicht wurde, müsse man im Prinzip doch auf die Versprechen von Google und Android vertrauen. Fast wie Ironie klingt allerdings die abschließende Bemerkung: „Wer diesen Herstellern generell und pauschal misstraut, müsste konsequenterweise unabhängig von der Ausgestaltung der SwissCovid App nicht nur auf deren Nutzung, sondern auf jeden Gebrauch von Smart Devices und Betriebssystemen dieser Hersteller verzichten. Die Möglichkeit dieses Verzichts ist jederzeit garantiert.“