Transparenz.
Schnelligkeit. Sicherheit.
Corona
digital bekämpfen: Mithilfe der Corona-Warn-App wird es möglich, Kontaktwege
von infizierten Personen nachvollziehbar zu machen und Nutzer über potenziell
kritische Kontakte zu informieren.
Ziel
ist es, die weitere Ausbreitung des Corona-Virus einzudämmen.
Funktionsweise
der Corona-Warn-App
Mittels
Bluetooth-Low-Energy wird der Abstand zwischen Personen bzw. ihren Smartphones
gemessen. Sinkt dieser für gewisse Zeit unter einen kritischen Wert, tauschen
beide Geräte einen verschlüsselten Code aus. Die auf diese Weise erhobenen
Daten werden anonym gespeichert. Ist ein Nutzer positiv auf Covid-19 getestet
worden, kann er dies freiwillig und in gesichert anonymisierter Form tun. Über
einen ausschließlich lokalen Abgleich auf dem Smartphone kann dann jeder selbst
prüfen, ob es einen Kontakt zu einer infizierten Person gab und damit eine
mögliche Ansteckung frühzeitig erkennen.
Vertrauen
in die App durch geprüfte IT- und Datensicherheit
TÜViT
ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) offiziell
damit betraut worden, die Corona-Warn-App auf IT-Sicherheit und die Einhaltung
des Datenschutzes zu prüfen. Auf diese Weise möchten wir unseren Beitrag dazu
leisten, einerseits das Vertrauen der Bevölkerung in die App zu erhöhen und andererseits
die Ausbreitung des Coronavirus auch auf digitalem Wege einzudämmen.
So
prüfen wir die Corona-Warn-App
Die
CORONA WARN-APP, entwickelt von SAP, der Deutsche Telekom-Tochter T-Systems und
Partnern wird von TÜViT einer sicherheitstechnischen Untersuchung inklusive
Datenschutzaspekte unterzogen. Dabei wird den besonderen Belangen der App,
welche mit Gesundheitsdaten arbeitet, Rechnung getragen. Im Zuge der
Untersuchung werden des Weiteren einschlägige Standards sowie der aktuelle
Stand der Technik berücksichtigt.
Fokusaspekte
der Prüfung:
Aufdeckung
möglicher unbeabsichtigter / irregulärer Informationsabflüsse
Aufdeckung
möglicher Schadfunktionen
Aufdeckung
möglicher Sicherheitsschwachstellen
Überprüfung
der sicheren Datenhaltung durch die App auf dem Gerät
Überprüfung
des sicheren Umgangs mit Credentials / Schlüsselmitteln
Überprüfung
der sicheren Datenübertragung
Überprüfung
verwendeter Endpunkte (z.B. Tracking, Cloudanbindung)
Bewertung
der Struktur der App, der Art und Zweckmäßigkeit der Realisierung
Bewertung
der Einhaltung von Datenschutzaspekten
Der
Prüfablauf
Im
Fokus der Untersuchung stehen die Covid-19 Tracing-Apps für das iOS- und
Android-Betriebssystem. Die betriebssystemseitigen Implementierungen (OS
Features) auf den jeweiligen Smartphones sind nicht Bestandteil der
Untersuchung. Des Weiteren sind etwaige zentrale IT-Systeme ebenfalls nicht
Bestandteil der Untersuchung.
Alle
Ergebnisse der Prüfung werden in Form eines deutschsprachigen
Abschlussberichtes zur Verfügung gestellt. Bei Zustimmung werden diese
Ergebnisse auf Github veröffentlicht. Die Ergebnisse der Prüfung werden
analysiert, bewertet und untereinander priorisiert. Der Abschlussbericht
enthält neben den identifizierten Schwachstellen und der entsprechenden
Beschreibung weitere Informationen:
Aufbereitung
und Konsolidierung der Testergebnisse
Detaillierte
Beschreibung der Schwachstelle bzw. detaillierter Hinweis zur Erkennung und
Nachvollziehbarkeit (Proof-of-Concept)
Referenzen
auf mögliche Schwachstellendatenbanken (z. B. CVE, OWASP)
Einschätzung
der Kritikalität, Maßnahmenempfehlung zur Behebung der Mängel
Zusammenfassung
der Ergebnisse und die Einschätzung des allgemeinen datenschutzrechtlichen und
sicherheitstechnischen Niveaus (Executive Summary)
Dokumentation
von Besonderheiten während des Testablaufs
Text
/ Abbildung: TÜV Informationstechnik GmbH - Unternehmensgruppe TÜV NORD