header-placeholder


image header
image
T  V IT 11

Gesundheit-News: TÜViT prüft die IT- und Datensicherheit der Corona-Warn-App

11. Juni 2020

Transparenz. Schnelligkeit. Sicherheit.

Corona digital bekämpfen: Mithilfe der Corona-Warn-App wird es möglich, Kontaktwege von infizierten Personen nachvollziehbar zu machen und Nutzer über potenziell kritische Kontakte zu informieren.

Ziel ist es, die weitere Ausbreitung des Corona-Virus einzudämmen.

Funktionsweise der Corona-Warn-App

Mittels Bluetooth-Low-Energy wird der Abstand zwischen Personen bzw. ihren Smartphones gemessen. Sinkt dieser für gewisse Zeit unter einen kritischen Wert, tauschen beide Geräte einen verschlüsselten Code aus. Die auf diese Weise erhobenen Daten werden anonym gespeichert. Ist ein Nutzer positiv auf Covid-19 getestet worden, kann er dies freiwillig und in gesichert anonymisierter Form tun. Über einen ausschließlich lokalen Abgleich auf dem Smartphone kann dann jeder selbst prüfen, ob es einen Kontakt zu einer infizierten Person gab und damit eine mögliche Ansteckung frühzeitig erkennen.

Vertrauen in die App durch geprüfte IT- und Datensicherheit

TÜViT ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) offiziell damit betraut worden, die Corona-Warn-App auf IT-Sicherheit und die Einhaltung des Datenschutzes zu prüfen. Auf diese Weise möchten wir unseren Beitrag dazu leisten, einerseits das Vertrauen der Bevölkerung in die App zu erhöhen und andererseits die Ausbreitung des Coronavirus auch auf digitalem Wege einzudämmen.

So prüfen wir die Corona-Warn-App

Die CORONA WARN-APP, entwickelt von SAP, der Deutsche Telekom-Tochter T-Systems und Partnern wird von TÜViT einer sicherheitstechnischen Untersuchung inklusive Datenschutzaspekte unterzogen. Dabei wird den besonderen Belangen der App, welche mit Gesundheitsdaten arbeitet, Rechnung getragen. Im Zuge der Untersuchung werden des Weiteren einschlägige Standards sowie der aktuelle Stand der Technik berücksichtigt.

Fokusaspekte der Prüfung:

Aufdeckung möglicher unbeabsichtigter / irregulärer Informationsabflüsse

Aufdeckung möglicher Schadfunktionen

Aufdeckung möglicher Sicherheitsschwachstellen

Überprüfung der sicheren Datenhaltung durch die App auf dem Gerät

Überprüfung des sicheren Umgangs mit Credentials / Schlüsselmitteln

Überprüfung der sicheren Datenübertragung

Überprüfung verwendeter Endpunkte (z.B. Tracking, Cloudanbindung)

Bewertung der Struktur der App, der Art und Zweckmäßigkeit der Realisierung

Bewertung der Einhaltung von Datenschutzaspekten

Der Prüfablauf

Im Fokus der Untersuchung stehen die Covid-19 Tracing-Apps für das iOS- und Android-Betriebssystem. Die betriebssystemseitigen Implementierungen (OS Features) auf den jeweiligen Smartphones sind nicht Bestandteil der Untersuchung. Des Weiteren sind etwaige zentrale IT-Systeme ebenfalls nicht Bestandteil der Untersuchung.

Alle Ergebnisse der Prüfung werden in Form eines deutschsprachigen Abschlussberichtes zur Verfügung gestellt. Bei Zustimmung werden diese Ergebnisse auf Github veröffentlicht. Die Ergebnisse der Prüfung werden analysiert, bewertet und untereinander priorisiert. Der Abschlussbericht enthält neben den identifizierten Schwachstellen und der entsprechenden Beschreibung weitere Informationen:

Aufbereitung und Konsolidierung der Testergebnisse

Detaillierte Beschreibung der Schwachstelle bzw. detaillierter Hinweis zur Erkennung und Nachvollziehbarkeit (Proof-of-Concept)

Referenzen auf mögliche Schwachstellendatenbanken (z. B. CVE, OWASP)

Einschätzung der Kritikalität, Maßnahmenempfehlung zur Behebung der Mängel

Zusammenfassung der Ergebnisse und die Einschätzung des allgemeinen datenschutzrechtlichen und sicherheitstechnischen Niveaus (Executive Summary)

Dokumentation von Besonderheiten während des Testablaufs

 

Text / Abbildung: TÜV Informationstechnik GmbH - Unternehmensgruppe TÜV NORD