Covid-19-Pandemie

So testen wir die Sicherheit der Corona-Warn-Apps

2.6.2021 von Hannes Rügheimer

ca. 1:35 Min
Vergleich
VG Wort Pixel
  1. 6 Internationale Corona Warn-Apps im Sicherheits-Test
  2. Deutschland: Corona-Warn-App im Test
  3. UK: NHS Covid 19 im Test
  4. Südafrika: Covid Alert South Africa
  5. USA: Covid Alert NY im Test
  6. Kanada: Covid Alert Canada im Test
  7. Australien: Covid Safe Australia im Test
  8. So testen wir die Sicherheit der Corona-Warn-Apps
  9. Corona Warn-Apps im Sicherheits-Test: Ergebnisse & Fazit

Die Sicherheit der untersuchten internationalen Covid-Apps und ihrer Backend-Verbindungen prüfte und bewertete auch diesmal unser bewährter Partner umlaut.

Weil die Covid-Warn-Apps jeweils nur in ihrer Zielregion nutzbar sind und dort in der Regel ohne direkte Konkurrenz angeboten werden, haben wir auf eine redaktionelle Bewertung von Aspekten wie Funktionsumfang und Bedienkomfort verzichtet.

Die Sicherheit der Apps spielt hingegen eine zentrale Rolle – weshalb sie unser Partner umlaut mit seinem bewährten Testverfahren für App-Sicherheit untersucht hat. Dafür überprüfte umlaut wie in der Vergangenheit auch schon für andere App-Kategorien in den Android-Versionen der Corona-Apps vier Bereiche:

Datenschutz, Verbindungssicherheit samt Verschlüsselung, Maßnahmen gegen Integritätsverlust und Rechteausweitung sowie die Sicherheit des App-Quellcodes.

Die untersuchten Angriffsszenarien orientieren sich an den Richtlinien zur sicheren Programmierung von Apps des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Open Web Application Security Project (OWASP).

Viele Tests hat umlaut selbst entwickelt, und alle Ergebnisse wurden zur Kontrolle von zwei Ingenieuren verifiziert. Auch im vorliegenden Fall verzichten wir aus Sicherheitsgründen auf eine detaillierte Beschreibung der entdeckten Schwachstellen, um etwaigen kriminellen Handlungen vorzubeugen.

corona warn app nutzer in der naehe

Bluetooth-Scanner

Corona-Warn-App: Wie viele Nutzer gibt es in meiner Nähe?

Wie viele Nutzer der Corona-Warn-App sind eigentlich gerade in meiner Reichweite? Mit diesen Bluetooth-Scannern prüfen Sie die direkte Umgebung.

Insgesamt kann eine App in der Sicherheitsbewertung bis zu 1000 Punkte erzielen.

Schutz persönlicher Daten

Die meisten Punkte – nämlich maximal 332 – vergeben wir dabei für den Datenschutz. Geprüft wurde in dieser Kategorie, ob die Apps personenbezogene Daten wie Login- und Benutzerinformationen ausreichend geschützt im Smartphone-Speicher ablegen.

Ergebnis:

Corona-Warn-Apps-Test: Schutz persönlicher Daten
Nicht nur konzeptionell, sondern auch bei der programmiertechnischen Umsetzung hat die deutsche Corona-Warn-App in Sachen Datenschutz die Nase vorn.
© umlaut

Verbindungssicherheit und Verschlüsselung

Die Absicherung des Datenflusses zwischen App und Server trägt maximal 200 Punkte bei. Hier wurde überprüft, ob die App aktuelle Verschlüsselungsmethoden nutzt und ob sie den gesamten Datenverkehr gesichert überträgt. Zudem wurde im Test der korrekte Umgang der App mit SSL-Zertifikaten untersucht.

Ergebnis:

Corona-Warn-Apps-Test: Verbindungssicherheit und Verschlüsselung
Gemeinsam mit den Apps aus UK, USA und Australien liegt auch bei der Verbindungssicherheit die deutsche App im Spitzenfeld. Kanada und Südafrika fallen etwas zurück.
© umlaut

Integritätsverlust und Rechteausweitung

Die Kategorie Integritätsverlust wird mit maximal 268 Punkten bewertet. Hier prüft umlaut, ob sich Autorisierungsmechanismen der Apps umgehen lassen. Kritisch wäre auch, wenn eine App keinen Schutz gegen Klonung besitzt. Denn dann könnten Angreifer eine exakte Kopie der App erstellen, alle persönlichen Daten entnehmen und sich als Nutzer ausweisen.

Ergebnis:

Corona-Warn-Apps-Test: Integritätsverlust und Rechteausweitung
Beim Integritätsschutz führen die Apps aus Australien und Südafrika. Der Rest des Testfelds inklusive der deutschen Covid-App zeigt leichtes Verbesserungspotenzial.
© umlaut

Absicherung des App-Quellcodes

Der Schutz des Quellcodes schließlich schlägt mit weiteren 200 Punkten zu Buche. Hier kontrollierte umlaut, ob die Komponenten von Drittanbietern sicher implementiert wurden und ob die App wichtige Dateien verschleiert ablegt.

Ergebnis:

Corona-Warn-Apps-Test: Absicherung des App-Quellcodes
Auch wenn es noch minimal Luft nach oben gibt, liegt die deutsche Covid-App beim Schutz des Quellcodes vorn – knapp vor den Apps aus Australien, UK und Südafrika.
© umlaut

Mehr lesen

Bestenliste

Top 10: Die besten Android-Smartphones 2020

Top 10 Smartphones - Bestenliste

Die besten Smartphones bis 300 Euro

Bestenliste

Top 10 - Die zehn besten Tablets im Test

Weiter zur Startseite  

Mehr zum Thema

5 Passwort-Manager im Vergleich

Smartphone-Sicherheit

Passwort-Manager: 5 Android-Apps im Test

Mit diesen fünf Passwort-Managern für Android-Smartphones synchronisieren Sie Ihre Kennwörter über verschiedene Geräte hinweg. Sind die Apps sicher?

Service Apps vom Discounter

Service-App-Test 2019

Service-Apps der Mobilfunk-Discounter im Test

connect hat die Service-Apps einiger Mobilfunk-Discounter auf Funktion, Service und ​Sicherheit getestet. Wer hat dabei am besten abgeschnitten?

Smartphone Virus

Hacker locken mit Fake-Apps

Falsche Corona-Apps: Vorsicht vor Malware

Wer sich mit Apps über das Coronavirus informieren will, sollte aufpassen: Hacker nutzen die Pandemie, um über Fake-Apps Malware einzuschleusen.

Corona-Warn-App

Datenschutz und Privatsphäre

Corona-Warn-App im Sicherheits-Test

Die Corona-Warn-App scheint auf einem guten Weg zu sein. Doch hält sie auch dem kritischen App-Sicherheitstest stand?

Kinderschutz-Apps

Kinderschutz

Kinderüberwachungs-Apps: Untersuchung zeigt schwere…

Zum Schutz der Kinder im Umgang mit Smartphones oder Tablets setzen Eltern vermehrt auf spezielle Apps, die eine sichere Nutzung der Geräte…