Corona-Warn-App: Hacker stehen schon in den Startlöchern

Jetzt endlich startet auch in Deutschland die Corona-Warn-App. Es gibt aber jede Menge Stolpersteine, die Auswirkungen auf den medizinischen Nutzen haben werden. Außerdem lauern Gefahren, wenn man nicht genau hinschaut.

In über 40 Ländern gibt bereits Corona-Warn-Apps, die eines gemeinsam haben: Sie sollen die Verbreitung des Corona-Virus stoppen, indem sie helfen, Infektionsketten schnell nachzuverfolgen und Menschen zu warnen, wenn sie einem Covid-19-Träger zu nahe gekommen sind. In ihrer technologischen Funktionsweise unterscheiden sich die Apps aber grundlegend.

Zum Beispiel bei der Speicherung von Daten. In Frankreich hat man sich für eine zentrale Datenspeicherung der Nutzerdaten entschieden. In Deutschland dagegen. Hierzulande haben Bedenken von Datenschützern und besorgten Bürgern den Ausschlag gegeben, dass Daten dezentral auf den Endgeräten der Nutzer bleiben und anonymisiert werden.

Eine GPS- oder WLAN-Ortung kommt in der von Robert-Koch-Institut herausgegebenen App nicht zum Einsatz. Eine Ortung einzelner Personen über die App ist nicht möglich, dazu bräuchte es auch gar keine App. Ein Handy allein würde schon genügen, um Aufenthaltsorte zu bestimmen.

GPS- oder WLAN-Ortung wären auch gar nicht geeignet, zuverlässig zu bestimmen, ob sich jemand in der ansteckungsrelevanten Nähe eines Infizierten befunden habe, erläutert das IT-Sicherheitsunternehmen Eset. Die Genauigkeit der Methoden sei dafür zu grob. Stattdessen kommt Bluetooth-Technologie zwischen den Smartphones zu Einsatz, auf denen die Corona-Warn-App installiert ist. Bluetooth verfügt zwar über geringe Reichweite, sei aber für den Bereich bis 1,5 Meter hervorragend geeignet, erklärt Eset.

Die Teilnehmer werden nicht im Klartext, per Namen oder Telefonnummer identifiziert, sondern über spezielle, anonyme und verschlüsselte Signaturen. Sollte sich eine Person in der Nähe eines später als infiziert erkannten Teilnehmers aufgehalten haben und vermerkt dieser seine Infektion in seiner App, erhält die Person auf ihrem Gerät lediglich den Hinweis, dass sie möglicherweise Kontakt hatte und sich schnellstmöglich testen lassen sollten.

Nur wenn viele Millionen Bundesbürger die Corona-Warn-App verwenden und Infizierte diese Information in der App vermerken, kann der Zweck der 20-Millionen Euro teuren Entwicklung erreicht werden: Die Corona-Verbreitung zu stoppen.

Beim Download sollte man laut Eset besonders vorsichtig sein. Denn natürlich würden Cyberkriminelle jede globale Katastrophe für Spam- und Phishing und Malware-Kampagnen ausnutzen. Das ist bei der Corona-Pandemie nicht anders. In den App-Stores und auf Drittanbieterwebseiten gibt es bereits jetzt schon alle möglichen Apps mit Corona-Bezug, die nicht alle stammten aus seriösen Quellen, warnen die Sicherheitsexperten.

Einer offiziellen Corona-App müssen einige Rechte auf dem Smartphone gewährt werden. Arglose Anwender werden bei diesem Schritt noch nicht einmal stutzig. Eine erste Analyse von Eset bestätigt: von sechs Apps hatten nur drei Apps einen medizinischen Hintergrund.

Die offiziellen Informationsseiten der Bundesregierung, sowie die Projektseite https://www.coronawarn.app/de/ müssen laut Eset direkt auf die Apps im Apple Store und im Google Play Store verlinken. Nur so wird es gelingen, dass Nutzer auch die richtige App installieren.

Ein Schwachpunkt der deutschen Corona-Warn-App: Sie kommuniziert nicht mit Apps in anderen Ländern. Grenzgänger, etwa Pendler von und nach Frankreich, können so nicht erfasst werden.

Bildquelle: SAP

Die mit einem * markierten Felder sind Pflichtfelder.