Sicherheitsbewusstsein
Corona-Tracking-Apps – Bewertung eines Security-Experten
Von Jelle Wieringa, Security Awareness Advocate bei Knowbe4
In vielen Ländern wie Frankreich haben sie bereits einige Handy-Nutzer heruntergeladen, nun kam auch in Deutschland die Corona-Tracking-App in den App-Store. Ich möchte sehr gerne in diesem kurzen Statement meine Einschätzungen dazu geben.
In den verschiedenen Staaten wird nicht eine einheitliche App genutzt, sondern verschiedenen Anbietern vertraut. Grundsätzlich gibt es verschiedene Ansätze bei den Apps. Eine zentrale Rolle spielt der Begriff „Tracing“. Hierbei geht es darum, Infektionswege und damit ebenfalls Infektionsketten nachzuverfolgen. Ziel ist es, mehr über den Verlauf der Ausbreitung zu ermitteln und daraus abzuleiten, was das für zukünftige Infektions-Wellen bedeutet. Ein weiterer Ansatz ist das „Tracking“, hier sollen mögliche „Hotspots“ der Krankheit identifiziert werden, um dann schnellstmöglich die richtigen Maßnahmen einzuleiten und die Ausbreitung einzudämmen. Darüber hinaus soll Personen, welche nachweislich längeren Kontakt zu Infizierten hatten, die Möglichkeit geboten werden, sich schnellstmöglich testen zulassen.
Für die Meisten stellt sich bei der Entscheidung, ob die App installiert wird, die Frage nach der Speicherung der Gesundheits- und Adressdaten. Gibt es einen zentralen Server, oder bleiben sie dezentral auf den Endgeräten liegen? In Deutschland und das ist entscheidend, wird der Datenschutz sehr ernst genommen, weshalb die Informationen dezentral gespeichert werden. In Frankreich beispielsweise gibt es eine zentrale Speicherung.
Laut ESET sollen die Berührungspunkte möglicherweise infizierter Menschen nachverfolgt werden. Es wird kein GPS- oder WLAN-Tracker eingesetzt. Die Ortung der einzelnen Menschen ist nicht vorgesehen. Weder kontrolliert die App also die Menschen, noch überwacht sie diese. Tatsächlich wird hierfür keine App benötigt, denn die Mobilfunkanbieter wissen durch Funkzellen auch jetzt bereits zu jedem Zeitpunkt, wo sich jeder einzelne befindet. WLAN-Ortung und GPS würde nicht helfen, zuverlässig zu bestimmen, ob sich jemand tatsächlich in der ansteckungsrelevanten Nähe einer infizierten Person befand. Beide Methoden funktionieren über einen zu groben Radius des möglichen Standortes. Die in Deutschland verwendete Anwendung verwendet Bluetooth Low Energy Technologie. Diese verfügt über eine Reichweite von bis zu 1,5 Metern und funktioniert innerhalb dessen hervorragend. Jeder Nutzer der App wird über spezielle, anonyme Signaturen eingebettet. Sollte sich also jemand in der Nähe eines infizierten Teilnehmers aufgehalten haben und dieser diese Information auch in die App eingegeben, so erscheint lediglich ein Hinweis auf dem Endgerät. Wer infiziert ist, bleibt also unbekannt.
Aus einem Beitrag von Forbes lässt sich der Umgang mit der App in verschiedenen Ländern nachvollziehen. Wie das Magazin schreibt, zeigt der Fall Norwegen, dass in anderen Ländern grundsätzliche Datenschutzbedenken die Anwendung stoppen könnten. Dort wurde die Coronavirus-Tracking-App Smittestopp ausgesetzt. Sie hat Live- oder Near-Live-Benutzerstandorte als GPS-Koordinaten auf einen zentralen Server hochgeladen. Andere Beispiele von Forbes sind u.a. Bahrain, hier verfolgte das Land bei der Überwachung den Ansatz, dass zufällige Benutzer ausgewählt wurden und wenn die App zeigte, dass sie sich während des Ramadan zu Hause befanden, gewannen sie einen Preis. Sowohl die bahrainischen als auch die kuwaitischen Apps könnten auch mit einem Bluetooth-Armband gekoppelt werden, um sicherzustellen, dass die Bürger immer in der Nähe ihres Telefons sind. Die EHTERAZ-App aus Katar bietet die Möglichkeit, den Standort aller Nutzer oder bestimmter Personen live zu verfolgen, obwohl diese Funktion derzeit nicht aktiviert ist.
Amnesty hatte zuvor eine, wie sie es nannte, ernsthafte Schwachstelle in der Qatar-App entdeckt, die es Hackern ermöglicht hätte, den Namen, die nationale ID, den Gesundheitszustand und den ausgewiesenen Quarantäne-Standort von Benutzern zu ermitteln. Ein besseres, wenn auch nicht perfektes Modell sei es, die Standorte der Nutzer zu verfolgen, wenn sie sich entscheiden und sich der Überwachung unterwerfen. Solche Anwendungen sind jetzt für die britische und US-amerikanische Bevölkerung verfügbar und haben sich als recht populär erwiesen, da sie die Lücke füllen, die von den Regierungsinstrumenten hinterlassen wurde, die sich noch nicht für den öffentlichen Gebrauch materialisiert haben.
Natürlich nutzen Cyberkriminelle jede globale Katastrophe für Spam- und Phishing und Malware-Kampagnen aus. Das ist bei der Corona-Pandemie nicht anders. Das sieht man an den gefälschten Mails, die seit Beginn des Jahres zu Zigtausenden kursieren, das sieht man an gefälschten oder einfach dreisten Werbeangeboten oder gefälschte Webseiten. Die Diskussion um eine mögliche Corona-App bleibt Onlinekriminellen nicht verborgen. In den App-Stores und auf Drittanbieterwebseiten gibt es alle möglichen Apps mit Corona-Bezug , nicht alle davon aus seriösen Quellen, wie der WHO oder dem Robert-Koch-Institut. Außerdem müssen einer offiziellen Corona-App einige Rechte auf dem Smartphone gewährt werden. Arglose Anwender werden bei diesem Schritt noch nicht einmal stutzig.
Eine andere Gefahr lauert in Schwachstellen des Bluetooth Protokolls selbst. Erst kürzlich wieder ist eine gravierende Lücke entdeckt worden, die es Angreifern erlaubt, Daten unerlaubt abzufangen.
Am Ende geht es auch darum, welches Cyberrisiko ein jeder eingehen möchte. Es ist ein ständiges Abwägen zwischen Gesundheit und Cybersicherheit. Wenn Sie die App benutzen, besteht die Möglichkeit des Missbrauchs. Cyberkriminelle sind immer darauf aus, Daten auszunutzen. Eine App wie diese ist nur ein weiterer Bedrohungsvektor. Abgesehen von allen Vorsichtsmaßnahmen (wie der lokalen Speicherung von Daten) handelt es sich immer noch um Software. Als solche kann sie Schwachstellen enthalten. Ob sich ein jeder also für oder gegen die Verwendung dieser Anwendung entscheidet, hängt von dem Risiko ab, das man bereit ist einzugehen.
Die Entscheidung, die App zu benutzen, könnte gut für die Gesundheit der Allgemeinheit sein. Es bedeutet aber auch, dass man akzeptiert, dass die eigenen Daten gehackt werden könnten. Schließlich gibt es keine hundertprozentige Sicherheit. Ich als Cybersicherheitsspezialist brauche mehr Informationen, bevor ich einen weiteren Zugangspunkt zu meinen persönlichen Daten akzeptiere
Auf der offiziellen Informationsseite der Bundesregierung, sowie der Projektseite https://www.coronawarn.app/de/ wird direkt auf den sicheren Download der Anwendung im AppStore und dem Google Play Store verlinkt. Doch reicht die Installation alleine nicht aus. Infizierte müssen in jedem Fall melden, dass sie sich angesteckt haben. Geschieht das nicht, hat die App praktisch keinen Nutzen. Durch den logischen Zeitdruck in der Entwicklung des Codes der Software, unterschiedlichen Pandemie-Verläufen und Datenschutzanforderungen ist davon auszugehen, dass sich die ein oder andere Stunde-Null-Schwachstelle in die Anwendung eingeschlichen haben könnte. Des Weiteren gibt es in den verschiedenen Ländern unterschiedliche, miteinander nicht kompatible Apps, weshalb Grenzpendler nicht immer erfasst werden können. Diese müssen sich unbedingt in beiden Apps registrieren, sich auf dem Laufenden halten und diese mit dem eigenen Status aktuell halten.
Fazit
Es ist klar, dass die App nur dann helfen kann, wenn sie auch von einer Vielzahl der Menschen verantwortungsvoll genutzt und gepflegt wird. Im Kampf gegen die Covid-19-Pandemie ist sie ein wichtiger Schlüssel, um den Menschen aus technologischer Sicht zu helfen. Selbstverständlich kann sie die Infektion nicht verhindern, aber vielleicht dem ein oder anderen Menschen, der diese zu spät bemerken könnte, das Leben retten.