TÜV-Prüfung der Corona-App: TAN-Verfahren ist ein Sicherheitsproblem

Von Nadine Juliana Dressler am 14.06.2020 15:47 Uhr
36 Kommentare
"Es besteht noch Nachholbedarf" in Sachen Sicherheit und Datenschutz bei der deutschen Corona-Warn-App. Das verriet der mit der Prüfung der App beauftragte TÜV-Geschäftsführer in einem Interview. Wo noch Probleme bestehen, haben wir uns angesehen.

Im Auftrag der Bundesregierung untersucht die TÜVit (TÜV Informationstechnik) die Corona-Warn-App auf IT-Sicherheit und die Einhaltung des Datenschutzes. TÜVit ist ein Tochterunternehmen des TÜV Nord, das sich auf IT-Sicherheitsprüfungen spezialisiert hat. Die Corona-App soll am Dienstag, 16. Juni, starten - doch bisher konnte TÜVit noch gar nicht alle Bereiche der App grundlegend prüfen.

Corona-Warn-App
In der App gibt es eine ...


Corona-Warn-App
... tägliche Risikobewertung

Nicht vollständig geprüft, Sicherheitslücke entdeckt

In einem Gespräch mit dem Online-Magazin Heise verriet der TÜVit-Geschäftsführer Dirk Kretzschmar daher, dass er sich einen Termin Ende Juni oder noch später gewünscht hätte. Hintergrund ist nicht nur, dass der TÜV noch nicht umfangreich geprüft hat, sondern vor allem, dass Kretzschmar in einigen Bereichen noch Nachholbedarf sieht, wie er es diplomatisch ausdrückte.

Bislang hatte die Überprüfung mehrere Probleme offenbart. Ein Problem wurde dabei als "recht schwerwiegend eingestuft", schreibt Heise. Die Sicherheitslücke liegt bei dem TAN-Verfahren, das genutzt wird, um einen positiven SARS-CoV-2-Test in der App einzugeben und zu bestätigen. Der Algorithmus soll zu leicht zu knacken sein, sodass theoretisch TANs selbst erstellt und falsche Ergebnisse bestätigt werden könnten - damit würde man die ganze Arbeit der App ad absurdum führen.

Probleme können gelöst werden

Kretzschmar erläuterte auch weitere Probleme, die sein Team bereits gefunden und gemeldet hat. Inwiefern sie auch schon behoben wurden ist nicht bekannt. Insgesamt ist der TÜV aber zuversichtlich, dass größere Probleme noch vor dem Start oder durch anschließende Updates behoben werden können. Schließlich steht der TÜV im regen Kontakt mit den Entwicklern von SAP und Telekom, um sich schnell zu den Sicherheitslücken auszutauschen.

Coronavirus-Special Alle WinFuture-Meldungen zu Covid-19
Mehr zur deutschen Corona-App:
36 Kommentare lesen & antworten
whatsapp
Jede Woche neu: Top-News per E-Mail
Verwandte Themen
Coronavirus
Desktop-Version anzeigen
Hoch © 2020 WinFuture Impressum Datenschutz Cookies