Datenschutz und Privatsphäre

Corona-Warn-App im Sicherheits-Test

6.8.2020 von Hannes Rügheimer

Rund anderthalb Monate nach ihrer Veröffentlichung scheint die Corona-Warn-App auf einem guten Weg zu sein. Doch hält sie auch dem kritischen App-Sicherheitstest von umlaut stand?

ca. 4:00 Min
Testbericht
VG Wort Pixel
Corona-Warn-App
connect und umlaut haben die Corona-Warn-App einem Sicherheits-Test unterzogen.
© Marco.Warm / shutterstock.com

Zunächst sah alles nach einem problemlosen Start aus: Rund sechs Wochen nach ihrer Veröffentlichung zählte die Corona-Warn-App rund 16,5 Millionen Downloads – Tendenz steigend. Damit scheint die App auf einem guten Weg zu sein, die kritische Masse von rund 40 Millionen zu erreichen, die nach Einschätzung vieler Experten notwendig für ihre volle Wirksamkeit sein dürfte.

Probleme und Lösungen

Doch dann überschlugen sich die Meldungen, dass es sowohl in der Android- als auch in der iOS-Version dazu kommen konnte, dass Nutzer trotz bestätigten Kontakts zu einem potenziell Infizierten keine Benachrichtigung erhielten. Schuld waren in beiden Fällen die Stromsparmechanismen der Mobilbetriebssysteme, die im Hintergrund laufende Apps komplett stilllegen. Auch wenn in beiden Fällen die Gerätehersteller beziehungsweise Systemanbieter für diese Mechanismen verantwortlich waren und sie in künftigen Updates korrigieren wollen, reagierten die Programmierer von Telekom und SAP schnell. Binnen weniger Tage stellten sie Aktualisierungen zur Verfügung, welche die entdeckten Probleme umschiffen.

Android-User müssen in den App-Einstellungen die Funktion „Hintergrundaktualisierung priorisieren“ einschalten. Unter iOS genügt es, die App nach dem Update einmal aufzurufen.

Zu den bereits seit Mitte Juni entdeckten kleineren Funktionsfehlern kamen nun also doch noch größere Probleme. Dennoch ist anzuerkennen, dass Telekom und SAP darauf sehr schnell reagiert haben. Angesichts der häufig kritisierten Kosten (20 Millionen Euro für die Entwicklung und weitere 45 Millionen für Betrieb, Wartung und Werbekampagne in diesem und im kommenden Jahr) wurde zumindest deutlich, dass diesen Ausgaben eine solide und wenn es ernst wird auch schnell erbachte Leistung gegenübersteht.

Mehr zum Thema

Auch organisatorische Probleme

Zum Sand im technischen Getriebe kommen noch Schwierigkeiten auf der organisatorischen Ebene: Wen die App warnt, dass er einen potenziell infektiösen Kontakt hatte, der soll möglichst umgehend über seinen Hausarzt oder den ärztlichen Bereitschaftsdienst 116 117 einen Test auf das Virus durchführen lassen. Die App soll in diesem Fall auch dazu dienen, das Ergebnis solcher Tests schneller zu erfahren. Doch nach wie vor sind viele der beteiligten Testlabore und Gesundheitsämter noch nicht in der Lage, die Ergebnisse digital zu übermitteln. Das Resultat wird dann auf dem Postweg mitgeteilt, was wertvolle Zeit kostet.

Bis Anfang August wurden mehr als 1.000 „Tele-TANs“ ausgegeben – das sind die PIN- oder QR-Codes, mit denen ein App-Nutzer ein positives Testergebnis melden und verifizieren kann. Dass solch ein Code zur Plausibilitätsprüfung ausgegeben wurde, heißt allerdings nicht, dass das Testergebnis auch wirklich in die App eingegeben wurde. Wegen des politisch gewollten dezentralen Ansatzes ist nicht bekannt, wie viele Menschen mithilfe der Corona-Warn-App über eine mögliche Risikobegegnung informiert wurden.

Corona Warn App Startbildschirm

Erklärung und FAQ

Corona-Warn-App: So funktioniert die deutsche Tracing-App

Die Corona-Warn-App, die offizielle COVID-19-App für Deutschland, soll in Kürze starten. Was Sie zur App für Android und iPhone wissen müssen.

Sehr hohes Sicherheitsniveau

Ein nach wie vor aktuelles Thema ist jedoch die Sicherheit der App und der von ihr genutzten Tracing- und Benachrichtigungsverfahren. Wie es darum bestellt ist, wollte connect genauer wissen – und bat deshalb die Sicherheitsexperten von umlaut, die Corona-Warn-App ihrem intensiven Sicherheitstest zu unterziehen.

Die gute Nachricht: Sowohl die getestete Android-Version als auch ihr iOS-Pendant bieten ein sehr hohes Sicherheitsniveau. Dabei bekommt die iOS-Version noch ein paar Punkte mehr und erreicht sogar die seltene Note „überragend“. Die Android-Version erzielt ein sattes „sehr gut“.

Die Ergebnisse im Detail

Während bei der iOS-Version in der Kategorie Datensicherheit keine Auffälligkeiten zu beobachten waren, fanden die Tester in der Android-Variante eine kleine theoretische Schwäche. Bei der Sicherheit des Datenverkehrs gibt es in beiden Versionen geringfügiges Verbesserungspotenzial, das bei iOS etwas stärker ausgeprägt ist.

Keinerlei Beanstandungen hatten die Tester beim Identitätsschutz – er erzielt in beiden Versionen die volle Punktzahl. Bei der Ermittlung der Quellcode-Sicherheit kam den umlaut-Experten entgegen, dass Telekom und SAP die Apps ohnehin als öffentlich einsehbares „Open Source“-Projekt angelegt haben. Bei der Analyse der fertig kompilierten Apps fiel jedoch auf, dass beide Apps die jeweils jüngsten Versionen der eingesetzten Libraries nutzen sollten, bei Android kommt noch eine weitere Verbesserungsempfehlung hinzu.

Wie immer bei unseren App-Sicherheitstests nennen wir die gefundenen Schwächen bewusst nicht konkreter – informieren aber natürlich die Entwickler darüber. Ein Grund zur Freude sind die Top-Ergebnisse auf jeden Fall.

Corona-Warn-App Android und iOS
Android-Version links: Selbst im Detail sind die Unterschiede zur iOS- Version nur gering. Der Sicherheitstest ergab allerdings ein klein wenig mehr Verbesserungsvorschläge unter dem Google-System. iOS-Version rechts: iOS-Version: Sie schneidet in der Sicherheitsbewertung noch etwas besser ab. Allerdings gab es im Zusammenspiel mit iOS kleinere Unstimmigkeiten, die iOS 13.6 völlig beheben soll.
© Screenshot: connect

Corona-Warn-App: Testwertung Sicherheit

Corona-Warn-App iOS: getestete Version 1.0.1 (2) unter iOS 13.5.1

  • Datensicherheit (Data Privacy): 100 Prozent
  • Datenverkehrssicherheit (Traffic Protection): 92 Prozent
  • Identitätssicherheit (Impersonation Attacks): 100 Prozent
  • Quellcode-Sicherheit (Secure Code Practices): 95 Prozent

connect-Testurteil: überragend (976 von 1000 Punkten)

Corona-Warn-App Android: getestete Version 1.0.4 unter Android 8 (Sicherheitspatch-Ebende 1. Mai 2020)

  • Datensicherheit (Data Privacy): 88 Prozent
  • Datenverkehrssicherheit (Traffic Protection): 96 Prozent
  • Identitätssicherheit (Impersonation Attacks): 100 Prozent
  • Quellcode-Sicherheit (Secure Code Practices): 90 Prozent

connect-Testurteil: sehr gut (932 von 1000 Punkten)

Fazit

Selten haben wir uns über gute Testergebnisse so gefreut wie in diesem Fall: Dass die unter starker kritischer Beobachtung stehende Corona-Warn-App im intensiven Sicherheitstest so gut abschneidet, ist eine gute Nachricht – und für die Verbreitung der App ein sehr wichtiges Ergebnis.

Die in ihrer Größenordnung wirklich nur geringfügigen Verbesserungsmöglichkeiten hat umlaut den für die App zuständigen Ansprechpartnern bei Telekom und SAP umgehend mitgeteilt. Denn hier ist uns ganz besonders daran gelegen, dazu beizutragen, dass die wichtige Corona-Warn-App schnell rundum perfekt wird.

Mehr lesen

Bestenliste Smartphones mit Android

Top 10: Die besten Android-Handys

Kopfhörer-Bestenliste

Die besten In-Ear-Kopfhörer

Welches Handy hat die beste Kamera?

Die Smartphones mit den besten Kameras

Weiter zur Startseite  

Mehr zum Thema

Sicher Shoppen

Ratgeber

Online-Shoppen: Tipps für mehr Sicherheit

Online-Shopping ist schnell, oft günstiger und wurde in der Zeit der Corona-Pandemie noch beliebter. Mit unseren Tipps bringen Sie Ihre Einkäufe…

Smartphone Virus

Hacker locken mit Fake-Apps

Falsche Corona-Apps: Vorsicht vor Malware

Wer sich mit Apps über das Coronavirus informieren will, sollte aufpassen: Hacker nutzen die Pandemie, um über Fake-Apps Malware einzuschleusen.

6 Internationale Corona-Warn-Apps im Test

Covid-19-Pandemie

6 Internationale Corona Warn-Apps im Sicherheits-Test

Rund ein Jahr nach Start der Corona-Warn-App in Deutschland ist es Zeit für eine Bestandsaufnahme und einen Blick ins Ausland.

S21 Ultra vs. GFX 100s im 100-MP-Vergleich Aufmacher

Wer macht die besseren Fotos?

Samsung S21 Ultra vs. Fuji GFX 100s: 100-Megapixel-Shootout

Kann es das Samsung S21 Ultra bei der Fotoqualität mit der Profikamera Fuji GFX 100s aufnehmen? Der 100-MP-Vergleich hat ein erstaunliches Ergebnis.

Smartphone Daten löschen

Smartphone und Tablet zurücksetzen

Android und iPhone: Handy-Daten sicher löschen

Wer sein Handy, Smartphone oder Tablet gebraucht verkaufen will, sollte die darauf gespeicherten Daten sicher und zuverlässig löschen.