Ein Forschungsteam der Universität Würzburg, der Technischen Universität Darmstadt und der Universität Marburg weist auf mögliche Datenschutz- und Sicherheitsrisiken der Corona-Warn-App der Bundesregierung hin. Die Würzburger Informatik-Professorin Alexandra Dmitrienko erklärt, welche Schwächen die App hat und warum sie mit einem Forscherteam eine eigene Corona-Warn-App mitentwickelt hat.

Alexandra Dmitrienko: Beide Apps zielen auf die Pandemie-Kontaktverfolgung ab. Beide Apps sind dezentral gestaltet und sammeln anonymisierte Daten, um die Privatsphäre der Nutzer zu schützen. Beide Systeme wurden jedoch unterschiedlich konzipiert. "TraceCorona" wurde von Teams an der TU Darmstadt und der Julius-Maximilians-Universität Würzburg entwickelt. Die Warn-App-Lösung der Bundesregierung wurde von der deutschen Telekom und SAP entwickelt und basiert auf dem Ansatz von Google und Apple für Contact Tracing, den wir GAP nennen. 

Dmitrienko: Unsere App unterscheidet sich in der Funktionsweise, aber auch in deren Sicherheits- und Privatheitseigenschaften. Wir denken, dass unsere "TraceCorona"-App dadurch gewisse Vorteile gegenüber dem Google/Apple-Ansatz hat.

• Lesen Sie auch: So funktioniert die Corona-Warn-App
• Kommentar: Wie kann uns eine App vor Corona schützen?

Dmitrienko: Wir haben durch Experimente gezeigt, dass theoretisch bekannte Risiken mit gängigen technischen Mitteln ausgenutzt werden können. So kann zum einen ein externer Angreifer detaillierte Bewegungsprofile von mit Covid-19 infizierten Personen erstellen und unter bestimmten Umständen die betroffenen Personen identifizieren. Zum anderen ist ein Angreifer in der Lage, die gesammelten Kontaktinformationen durch sogenannte Relay-Angriffe zu manipulieren, was die Genauigkeit und Zuverlässigkeit des Kontaktnachverfolgungssystems beeinträchtigen kann.

Dmitrienko: Die Corona-Warn-App nutzt die Google/Apple-Spezifikation für eine Bluetooth-Schnittstelle, die wir GAP nennen. Diese birgt jedoch Sicherheits- und Privatheitsrisiken, welche wir in unseren Experimenten unter realen Bedingungen zeigten. GAP ist einerseits anfällig für die Erstellung von Profilen, was so die De-Anonymisierung von infizierten Personen erlaubt. Andererseits sind auch sogenannte Relay- oder Wurmloch-Angriffe möglich.

Dmitrienko: Diese Methode versetzt einen Angreifer in die Lage, die sogenannten Bluetooth-Benutzer-IDs, die von einer Kontaktnachverfolgungs-App erzeugt werden, zu sammeln und unbemerkt an weiter entfernte Orte weiterzuleiten. Unter anderem konnten erfolgreich Bluetooth-IDs zwischen zwei 40 Kilometer voneinander entfernten Städten übertragen werden. Dadurch kann ein Angreifer das Kontaktnachverfolgungssystem als Ganzes beeinträchtigen, indem er Informationen über die Anwesenheit von Infizierten an vielen Orten fälschlicherweise vervielfacht, was zu einer erheblichen Zunahme von Fehlalarmen über das potenzielle Infektionsrisiko führen könnte.

Dmitrienko: Ihr Konzept sieht vor, die sogenannten Tagesschlüssel der infizierten Personen über das System – also durch den Server – anderen Nutzern mitzuteilen. Genau hier liegt eine Bedrohung für die infizierten Personen, da diese Schlüssel praktisch öffentliche Informationen sind – alle Nutzer müssen diese erhalten, damit die App ihnen sagen kann, ob sie Kontakt mit Infizierten hatten. Mit Hilfe dieses Tagesschlüssels und der Tatsache, dass er über einen Tag gültig bleibt, kann man Bewegungsprofile erstellen.

Dmitrienko: Warum man sich nicht für eine eigene Lösung entschieden hat, verstehen wir auch nicht. Vielleicht war dies der schnellste Weg, um die App sowohl auf Android- als auch auf iPhone-Geräte zu bringen. Insbesondere Apps die ständig im Hintergrund laufen müssen, wie Corona-Apps, benötigen eine explizite Berechtigung von iOS. Bei Verwendung von GAP wird eine solche Berechtigung jedoch automatisch erteilt.

Dmitrienko: Derzeit nicht, für mich stellt sie nicht die beste Lösung dar. 

Dmitrienko: Wir informieren die Öffentlichkeit über die Ergebnisse unserer Analyse. Jeder muss für sich selbst entscheiden, ob er die App nutzen möchte oder nicht.

Dmitrienko: Die Entwickler sollten nach einer Alternative zur GAP-Schnittstelle suchen.

Dmitrienko: Einen direkten Auftrag dazu gab es nicht. Die Universitäten werden öffentlich für unabhängige Forschung finanziert. Wir fanden das Thema Kontaktverfolgung wichtig und wollten unseren Beitrag leisten. Daher haben wir unsere internen Ressourcen investiert plus eine Menge Enthusiasmus, der Wunder bewirken kann. Wir haben innerhalb von drei Wochen eine anonyme und dezentrale Contact Tracing App für Android entwickelt und zum Betatesten veröffentlicht. Wir sehen unsere App als Alternative mit vielen Vorteilen gegenüber den bisher entwickelten Apps.

Dmitrienko: Wir hoffen, dass daraus Lehren gezogen werden, und selbst wenn "TraceCorona" nicht zur Rückverfolgung von Corona-Infektionen verwendet wird, werden Mängel von GAP besser verstanden. Von unserer Seite aus werden wir die auf dem "TraceCorona"-Design basierende Kontaktverfolgungstechnologie weiterentwickeln und in anderen Anwendungen einsetzen.