Zum Inhalt springen
Technik. Tests. Trends.
Profil
VG Wort Pixel
Covid-19-Pandemie

So testen wir die Sicherheit der Corona-Warn-Apps

Autor: Hannes Rügheimer • 2.6.2021 • ca. 1:35 Min

Inhalt
  1. 6 Internationale Corona Warn-Apps im Sicherheits-Test
  2. Deutschland: Corona-Warn-App im Test
  3. UK: NHS Covid 19 im Test
  4. Südafrika: Covid Alert South Africa
  5. USA: Covid Alert NY im Test
  6. Kanada: Covid Alert Canada im Test
  7. Australien: Covid Safe Australia im Test
  8. So testen wir die Sicherheit der Corona-Warn-Apps
  9. Corona Warn-Apps im Sicherheits-Test: Ergebnisse & Fazit

Die Sicherheit der untersuchten internationalen Covid-Apps und ihrer Backend-Verbindungen prüfte und bewertete auch diesmal unser bewährter Partner umlaut.Weil die Covid-Warn-Apps jeweils nur in ihrer Zielregion nutzbar sind und dort in der Regel ohne direkte Konkurrenz angeboten werden, haben wir...

Die Sicherheit der untersuchten internationalen Covid-Apps und ihrer Backend-Verbindungen prüfte und bewertete auch diesmal unser bewährter Partner umlaut.

Weil die Covid-Warn-Apps jeweils nur in ihrer Zielregion nutzbar sind und dort in der Regel ohne direkte Konkurrenz angeboten werden, haben wir auf eine redaktionelle Bewertung von Aspekten wie Funktionsumfang und Bedienkomfort verzichtet.

Die Sicherheit der Apps spielt hingegen eine zentrale Rolle – weshalb sie unser Partner umlaut mit seinem bewährten Testverfahren für App-Sicherheit untersucht hat. Dafür überprüfte umlaut wie in der Vergangenheit auch schon für andere App-Kategorien in den Android-Versionen der Corona-Apps vier Bereiche:

Datenschutz, Verbindungssicherheit samt Verschlüsselung, Maßnahmen gegen Integritätsverlust und Rechteausweitung sowie die Sicherheit des App-Quellcodes.

Die untersuchten Angriffsszenarien orientieren sich an den Richtlinien zur sicheren Programmierung von Apps des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Open Web Application Security Project (OWASP).

Viele Tests hat umlaut selbst entwickelt, und alle Ergebnisse wurden zur Kontrolle von zwei Ingenieuren verifiziert. Auch im vorliegenden Fall verzichten wir aus Sicherheitsgründen auf eine detaillierte Beschreibung der entdeckten Schwachstellen, um etwaigen kriminellen Handlungen vorzubeugen.

corona warn app nutzer in der naehe
Bluetooth-Scanner Corona-Warn-App: Wie viele Nutzer gibt es in meiner Nähe?

Insgesamt kann eine App in der Sicherheitsbewertung bis zu 1000 Punkte erzielen.

Schutz persönlicher Daten

Die meisten Punkte – nämlich maximal 332 – vergeben wir dabei für den Datenschutz. Geprüft wurde in dieser Kategorie, ob die Apps personenbezogene Daten wie Login- und Benutzerinformationen ausreichend geschützt im Smartphone-Speicher ablegen.

Ergebnis:

Corona-Warn-Apps-Test: Schutz persönlicher Daten
Nicht nur konzeptionell, sondern auch bei der programmiertechnischen Umsetzung hat die deutsche Corona-Warn-App in Sachen Datenschutz die Nase vorn.
© umlaut

Verbindungssicherheit und Verschlüsselung

Die Absicherung des Datenflusses zwischen App und Server trägt maximal 200 Punkte bei. Hier wurde überprüft, ob die App aktuelle Verschlüsselungsmethoden nutzt und ob sie den gesamten Datenverkehr gesichert überträgt. Zudem wurde im Test der korrekte Umgang der App mit SSL-Zertifikaten untersucht.

Ergebnis:

Corona-Warn-Apps-Test: Verbindungssicherheit und Verschlüsselung
Gemeinsam mit den Apps aus UK, USA und Australien liegt auch bei der Verbindungssicherheit die deutsche App im Spitzenfeld. Kanada und Südafrika fallen etwas zurück.
© umlaut

Integritätsverlust und Rechteausweitung

Die Kategorie Integritätsverlust wird mit maximal 268 Punkten bewertet. Hier prüft umlaut, ob sich Autorisierungsmechanismen der Apps umgehen lassen. Kritisch wäre auch, wenn eine App keinen Schutz gegen Klonung besitzt. Denn dann könnten Angreifer eine exakte Kopie der App erstellen, alle persönlichen Daten entnehmen und sich als Nutzer ausweisen.

Ergebnis:

Corona-Warn-Apps-Test: Integritätsverlust und Rechteausweitung
Beim Integritätsschutz führen die Apps aus Australien und Südafrika. Der Rest des Testfelds inklusive der deutschen Covid-App zeigt leichtes Verbesserungspotenzial.
© umlaut

Absicherung des App-Quellcodes

Der Schutz des Quellcodes schließlich schlägt mit weiteren 200 Punkten zu Buche. Hier kontrollierte umlaut, ob die Komponenten von Drittanbietern sicher implementiert wurden und ob die App wichtige Dateien verschleiert ablegt.

Ergebnis:

Corona-Warn-Apps-Test: Absicherung des App-Quellcodes
Auch wenn es noch minimal Luft nach oben gibt, liegt die deutsche Covid-App beim Schutz des Quellcodes vorn – knapp vor den Apps aus Australien, UK und Südafrika.
© umlaut
Nächste Seite
1 2 3 4 5 6 7 8 9
Nächste passende Artikel
Corona-Warn-App Impfzertifikat
Neues Update Corona-Warn-App: Zertifikate können aktualisiert werden
Corona Warn App Startbildschirm
Neues Update Corona-Warn-App geht gegen gefälschte Zertifikate vor
Corona-Warn-App Risiko Detail
Zahlen-Schätzung zu Positiv-Fällen Corona-Warn-App: So viele Infizierte haben sich gemeldet
Corona Warn App Startbildschirm
Version 1.5 für Android und iOS Corona Warn App: Update bringt zwei neue Funktionen
Corona-Warn-App
Datenschutz und Privatsphäre Corona-Warn-App im Sicherheits-Test
Corona Warn App Android Update
Samsung- und Huawei-Smartphones betroffen Corona-Warn-App: Update behebt Probleme auf Android-Handys
Corona-Warn-App Android iOS
Neue Version Corona-Warn-App: iOS-Update 1.0.5 soll knapp 30 Fehler beheben
Corona Warn App Startbildschirm
Für Android und iOS Corona-Warn-App: Download jetzt in allen EU-Ländern möglich
Mehr zum Thema
Arlo kabellose 2K-Video-Türklingel im Test
Video-Türklingel Arlo kabellose 2K-Video-Türklingel im Test
85,2%
Corona-Warn-App
Datenschutz und Privatsphäre Corona-Warn-App im Sicherheits-Test
Smartphone Virus
Hacker locken mit Fake-Apps Falsche Corona-Apps: Vorsicht vor Malware
Service Apps vom Discounter
Service-App-Test 2019 Service-Apps der Mobilfunk-Discounter im Test
Weiter zur Startseite