Menü
Oberhessische Presse | Ihre Zeitung aus Oberhessen
Anmelden
Marburg Warn-Apps mit Sicherheitslücken
Marburg Warn-Apps mit Sicherheitslücken
Partner im Redaktionsnetzwerk Deutschland
21:00 16.06.2020
Die offizielle Corona-Warn-App zeigt auf einem Smartphone eine Risiko-Ermittlung an. Quelle: Sven Hoppe/dpa
Anzeige
Marburg

Die mit großem Aufwand gestartete Corona-Warn-App des Bundesgesundheitsministeriums ist seit Anfang der Woche zum Herunterladen verfügbar. Doch der Marburger Informatik-Professor Bernd Freisleben hat zusammen mit Kollegen aus Darmstadt und Würzburg auf Risiken in den Google- und Apple-Spezifikationen für Corona-Apps hingewiesen.

Verbesserungspotenzial in Sachen Datenschutz

Insgesamt sieht das Forschungsteam noch deutliches Verbesserungspotenzial in Sachen Datenschutz für den von Google und Apple vorgeschlagenen Ansatz für Corona-Apps. Eine Behebung der Schwachstellen im Datenschutz sei durch Google und Apple sinnvoll und vermutlich auch machbar. Freisleben betonte in einem Gespräch mit der OP aber auch, dass die jetzt offiziell zum Einsatz kommende Warn-App nach ordentlichen Maßgaben programmiert worden sei und keine bisher bekannten offensichtliche Fehler enthalte. Gegen eine Verwendung spreche erst einmal nichts.

Anzeige

Die von der Deutschen Telekom und SAP im Auftrag der Bundesregierung entwickelte deutsche Corona-Warn-App basiert auf dem von Google und Apple vorgeschlagenen Ansatz. Durch Experimente in realen Szenarien zeigte das Forschungsteam, dass bereits theoretisch bekannte Risiken mit gängigen technischen Mitteln ausgenutzt werden können.

Flächendeckender Angriff unwahrscheinlich

So könnte zum einen ein externer Angreifer detaillierte Bewegungsprofile von mit Covid-19 infizierten Personen erstellen und unter bestimmten Umständen die betroffenen Personen identifizieren. Mithilfe von strategisch platzierten Sensoren auf Smartphones könnten in einem bestimmten Gebiet die Bewegungen infizierter Personen, simuliert durch Testpersonen, detailliert rekonstruiert werden. Dadurch war es möglich, sensible Aufenthaltsorte der Testpersonen sowie mögliche soziale Beziehungen zwischen ihnen zu identifizieren. Allerdings schränkt Freisleben im Gespräch mit der OP ein, dass diese theoretische Möglichkeit nur mit einem sehr hohen Aufwand zu realisieren wäre. Denn dazu wäre ein sehr großes Netz von Lauschstationen notwendig. Deswegen sei die Wahrscheinlichkeit eines flächendeckenden Angriffs nicht allzu hoch.

Manipulationen durch „Relay“-Angriffe“

„Wer Personendaten von Covid-19-Erkrankten haben will, der würde wahrscheinlich eher einen Angriff auf die Server von Gesundheitsämtern oder des Roland-Koch-Institutes starten“, macht der Marburger Informatiker deutlich.

Ein potenzieller Angreifer könnte allerdings auch in der Lage sein, die gesammelten Kontaktinformationen durch „Relay-Angriffe“ manipulieren, was die Genauigkeit und Zuverlässigkeit des gesamten Kontaktnachverfolgungs-Systems beeinträchtigen könnte.

Zunahme von Fehlalarmen?

Dadurch könne ein Angreifer theoretisch Informationen über die Anwesenheit von Infizierten an vielen Orten fälschlicherweise duplizieren, was zu einer erheblichen Zunahme von Fehlalarmen über das potenzielle Infektionsrisiko führen könnte. Ausgangspunkt für die Experimente der IT-Sicherheitsexperten der drei Universitäten waren zuvor veröffentlichte Berichte über mögliche Datenschutz- und Sicherheitsrisiken, die im Zusammenhang mit den Entwicklungen des sogenannten „Google Apple Protokoll“ (GAP) stehen.

Akademische Trockenübung

Das Forschungsteam testete nun, ob die konzeptionell beschriebenen Angriffe in der Praxis ausgeführt werden können. Das Forschungsteam realisierte die Angriffe mithilfe handelsüblicher preiswerter Werkzeuge, die auch in mobilen Umgebungen eingesetzt werden können.

Die Forscher hatten allerdings bislang noch keinen Zugriff auf die reale Implementierung der Google/Apple-Schnittstelle, auf der auch die deutsche Corona-Warn-App basiert. Deswegen hatte das Forschungsteam die Schnittstelle nachgebaut und vergleichbare lauffähige Apps für ihre Versuche genutzt.

So waren die Versuche auch eine Art akademischer „Trockenübung“ in der Praxis. Freisleben vermutet, dass die Schwachstellen von Google und Apple bisher noch nicht behoben worden seien, weil die jetzt von Telekom und SAP im Auftrag des Bundesgesundheitsministerium in sehr kurzer Zeit erstellte Corona-App auch einen technischer Kompromiss zwischen Aufwand und Effizienz darstelle.

Mehr zum Thema

Gescheitert im Praxistest

Auch der Marburger Gregor Huesmann wollte am Dienstag die neue Corona-Warn-App auf seinem Smartphone installieren. Doch er musste feststellen, dass sie sich auf seinem gerade einmal vier Jahre alten „I Phone 6 +“ nicht installieren ließ. Der Grund des Problems: Sein Smartphone verfügt nicht über die für die Nutzung der App zwingend notwendige IOS-Version 13.5. „Nirgendwo steht, dass man dafür ein ganz aktuelles Gerät braucht“, kritisiert Huesmann.
Der Marburger ist verärgert, zumal er auch an der Apple-Hotline keine befriedigende Antwort bekam, was er jetzt machen sollte. Gespannt ist Huesmann, ob das Bundesgesundheitsministerium jetzt auf seine Beschwerde-Mail reagiert.
So ähnlich wie Gregor Huesmann ging es auch OP-Leser Günther Wagner. Seine Reaktion: „Das heißt also: Diejenigen, die nicht über die Version 13.5 verfügen, dürfen zwar zahlen (Entwicklungskosten etc.), aber werden keinen Nutzen davon ziehen“, wundert sich Wagner und fragt: Wie soll ich hiermit umgehen? Was macht die App so anspruchsvoll, dass alle, die nicht das entsprechende Betriebssystem haben, außen vor bleiben müssen?

von Manfred Hitzeroth

16.06.2020
16.06.2020
16.06.2020