Datenschutz und Privatsphäre

Corona-Warn-App im Sicherheits-Test

Rund anderthalb Monate nach ihrer Veröffentlichung scheint die Corona-Warn-App auf einem guten Weg zu sein. Doch hält sie auch dem kritischen App-Sicherheitstest von umlaut stand?

© Marco.Warm / shutterstock.com

connect und umlaut haben die Corona-Warn-App einem Sicherheits-Test unterzogen.

Zunächst sah alles nach einem problemlosen Start aus: Rund sechs Wochen nach ihrer Veröffentlichung zählte die Corona-Warn-App rund 16,5 Millionen Downloads – Tendenz steigend. Damit scheint die App auf einem guten Weg zu sein, die kritische Masse von rund 40 Millionen zu erreichen, die nach Einschätzung vieler Experten notwendig für ihre volle Wirksamkeit sein dürfte.

Probleme und Lösungen

Doch dann überschlugen sich die Meldungen, dass es sowohl in der Android- als auch in der iOS-Version dazu kommen konnte, dass Nutzer trotz bestätigten Kontakts zu einem potenziell Infizierten keine Benachrichtigung erhielten. Schuld waren in beiden Fällen die Stromsparmechanismen der Mobilbetriebssysteme, die im Hintergrund laufende Apps komplett stilllegen. Auch wenn in beiden Fällen die Gerätehersteller beziehungsweise Systemanbieter für diese Mechanismen verantwortlich waren und sie in künftigen Updates korrigieren wollen, reagierten die Programmierer von Telekom und SAP schnell. Binnen weniger Tage stellten sie Aktualisierungen zur Verfügung, welche die entdeckten Probleme umschiffen.

Android-User müssen in den App-Einstellungen die Funktion „Hintergrundaktualisierung priorisieren“ einschalten. Unter iOS genügt es, die App nach dem Update einmal aufzurufen.

Zu den bereits seit Mitte Juni entdeckten kleineren Funktionsfehlern kamen nun also doch noch größere Probleme. Dennoch ist anzuerkennen, dass Telekom und SAP darauf sehr schnell reagiert haben. Angesichts der häufig kritisierten Kosten (20 Millionen Euro für die Entwicklung und weitere 45 Millionen für Betrieb, Wartung und Werbekampagne in diesem und im kommenden Jahr) wurde zumindest deutlich, dass diesen Ausgaben eine solide und wenn es ernst wird auch schnell erbachte Leistung gegenübersteht.

Mehr zum Thema

Auch organisatorische Probleme

Zum Sand im technischen Getriebe kommen noch Schwierigkeiten auf der organisatorischen Ebene: Wen die App warnt, dass er einen potenziell infektiösen Kontakt hatte, der soll möglichst umgehend über seinen Hausarzt oder den ärztlichen Bereitschaftsdienst 116 117 einen Test auf das Virus durchführen lassen. Die App soll in diesem Fall auch dazu dienen, das Ergebnis solcher Tests schneller zu erfahren. Doch nach wie vor sind viele der beteiligten Testlabore und Gesundheitsämter noch nicht in der Lage, die Ergebnisse digital zu übermitteln. Das Resultat wird dann auf dem Postweg mitgeteilt, was wertvolle Zeit kostet.

Bis Anfang August wurden mehr als 1.000 „Tele-TANs“ ausgegeben – das sind die PIN- oder QR-Codes, mit denen ein App-Nutzer ein positives Testergebnis melden und verifizieren kann. Dass solch ein Code zur Plausibilitätsprüfung ausgegeben wurde, heißt allerdings nicht, dass das Testergebnis auch wirklich in die App eingegeben wurde. Wegen des politisch gewollten dezentralen Ansatzes ist nicht bekannt, wie viele Menschen mithilfe der Corona-Warn-App über eine mögliche Risikobegegnung informiert wurden.

Erklärung und FAQ

Die Corona-Warn-App, die offizielle COVID-19-App für Deutschland, soll in Kürze starten. Was Sie zur App für Android und iPhone wissen müssen.

Sehr hohes Sicherheitsniveau

Ein nach wie vor aktuelles Thema ist jedoch die Sicherheit der App und der von ihr genutzten Tracing- und Benachrichtigungsverfahren. Wie es darum bestellt ist, wollte connect genauer wissen – und bat deshalb die Sicherheitsexperten von umlaut, die Corona-Warn-App ihrem intensiven Sicherheitstest zu unterziehen.

Die gute Nachricht: Sowohl die getestete Android-Version als auch ihr iOS-Pendant bieten ein sehr hohes Sicherheitsniveau. Dabei bekommt die iOS-Version noch ein paar Punkte mehr und erreicht sogar die seltene Note „überragend“. Die Android-Version erzielt ein sattes „sehr gut“.

Die Ergebnisse im Detail

Während bei der iOS-Version in der Kategorie Datensicherheit keine Auffälligkeiten zu beobachten waren, fanden die Tester in der Android-Variante eine kleine theoretische Schwäche. Bei der Sicherheit des Datenverkehrs gibt es in beiden Versionen geringfügiges Verbesserungspotenzial, das bei iOS etwas stärker ausgeprägt ist.

Keinerlei Beanstandungen hatten die Tester beim Identitätsschutz – er erzielt in beiden Versionen die volle Punktzahl. Bei der Ermittlung der Quellcode-Sicherheit kam den umlaut-Experten entgegen, dass Telekom und SAP die Apps ohnehin als öffentlich einsehbares „Open Source“-Projekt angelegt haben. Bei der Analyse der fertig kompilierten Apps fiel jedoch auf, dass beide Apps die jeweils jüngsten Versionen der eingesetzten Libraries nutzen sollten, bei Android kommt noch eine weitere Verbesserungsempfehlung hinzu.

Wie immer bei unseren App-Sicherheitstests nennen wir die gefundenen Schwächen bewusst nicht konkreter – informieren aber natürlich die Entwickler darüber. Ein Grund zur Freude sind die Top-Ergebnisse auf jeden Fall.

© Screenshot: connect

Android-Version links: Selbst im Detail sind die Unterschiede zur iOS- Version nur gering. Der Sicherheitstest ergab allerdings ein klein wenig mehr Verbesserungsvorschläge unter dem Google-System. iOS-Version rechts: iOS-Version: Sie schneidet in der Sicherheitsbewertung noch etwas besser ab. Allerdings gab es im Zusammenspiel mit iOS kleinere Unstimmigkeiten, die iOS 13.6 völlig beheben soll.

Corona-Warn-App: Testwertung Sicherheit

Corona-Warn-App iOS: getestete Version 1.0.1 (2) unter iOS 13.5.1

  • Datensicherheit (Data Privacy): 100 Prozent
  • Datenverkehrssicherheit (Traffic Protection): 92 Prozent
  • Identitätssicherheit (Impersonation Attacks): 100 Prozent
  • Quellcode-Sicherheit (Secure Code Practices): 95 Prozent

connect-Testurteil: überragend (976 von 1000 Punkten)

Corona-Warn-App Android: getestete Version 1.0.4 unter Android 8 (Sicherheitspatch-Ebende 1. Mai 2020)

  • Datensicherheit (Data Privacy): 88 Prozent
  • Datenverkehrssicherheit (Traffic Protection): 96 Prozent
  • Identitätssicherheit (Impersonation Attacks): 100 Prozent
  • Quellcode-Sicherheit (Secure Code Practices): 90 Prozent

connect-Testurteil: sehr gut (932 von 1000 Punkten)

Fazit

Selten haben wir uns über gute Testergebnisse so gefreut wie in diesem Fall: Dass die unter starker kritischer Beobachtung stehende Corona-Warn-App im intensiven Sicherheitstest so gut abschneidet, ist eine gute Nachricht – und für die Verbreitung der App ein sehr wichtiges Ergebnis.

Die in ihrer Größenordnung wirklich nur geringfügigen Verbesserungsmöglichkeiten hat umlaut den für die App zuständigen Ansprechpartnern bei Telekom und SAP umgehend mitgeteilt. Denn hier ist uns ganz besonders daran gelegen, dazu beizutragen, dass die wichtige Corona-Warn-App schnell rundum perfekt wird.

Mehr zum Thema

Hacker locken mit Fake-Apps

Wer sich mit Apps über das Coronavirus informieren will, sollte aufpassen: Hacker nutzen die Pandemie, um über Fake-Apps Malware einzuschleusen.
Aktuelle Download-Zahlen

Die Download-Zahlen der Corona-Warn-App für Android und iOS wachsen laut RKI langsam weiter. Wie oft wurde die App bisher heruntergeladen?
Zahlen-Schätzung zu Positiv-Fällen

Die Corona-Warn-App hat hohe Download-Zahlen. Doch wie viele Nutzer haben sich über sie als infiziert gemeldet? Hier gibt es aktuelle Schätzungen.
Top-Smartphone mit S Pen

86,0%
Samsungs Galaxy Note 20 Ultra ist ein edles Arbeitstier mit Stift und top Ausstattung. Der Preis ist mit 1266 Euro hoch.…
Neue Funktion

Nach dem Update auf iOS 14 taucht auf dem iPhone manchmal ein grüner oder oranger Punkt auf. Was steckt dahinter? Wir erklären die neue Funktion.