Suchen

Corona-Warn-Apps haben Defizite bei Sicherheit und Datenschutz

| Redakteur: Sebastian Gerstl

Der von Google und Apple vorgeschlagene Ansatz für Corona-Apps weist unter praktischen Bedingungen Datenschutz- und Sicherheitsrisiken auf, haben Forscher der Universitäten Darmstadt, Marburg und Würzburg nachgewiesen. Die Deutsche Telekom und SAP, die im Auftrag der Bundesregierung die Corona-Warn-App auf genau dieser Basis entwickeln, sind dagegen zuversichtlich.

Firma zum Thema

Contact Tracing Apps sollen für mehr Sicherheit in der Bevölkerung hinsichtlich der Verbreitung von Covid-19. Doch Sicherheitsforscher bestätigen, dass diese Apps bezüglich Datenschutz und Security massiv angreifbar sind.
Contact Tracing Apps sollen für mehr Sicherheit in der Bevölkerung hinsichtlich der Verbreitung von Covid-19. Doch Sicherheitsforscher bestätigen, dass diese Apps bezüglich Datenschutz und Security massiv angreifbar sind.
(Bild: gemeinfrei / Pixabay )

Smartphone-Apps sollen durch sogenanntes Contact Tracing eine Kontrolle über die Verbreitung der durch den Coronavirus Sars-CoV-2 verbreiteten Krankheit Covid-19 ermöglichen und die mögliche Betroffene frühzeitig warnen können, wenn sie mit einem bereits Erkrankten in Kontakt gekommen sein könnten. Schon vor mehreren Wochen hatten Google und Apple ein gemeinsames Konzept für eine Solche Corona-Warn-App vorgelegt, das mit Hilfe der in Smartphones verbauten Bluetooth- und GPS-Funktionalitäten eine solche Kontaktnachverfolgen ermöglichen sollen. Auf Basis dieses Lösungsvorschlag setzt nicht nur die von der deutschen Bundesregierung in Auftrag gegebene Corona-App auf. Auch die schweizerischen und italienischen Kontaktnachverfolgungs-Apps nutzen diese Plattform.

App ist angreif- und manipulierbar

Doch noch bevor die deutsche Version der App richtig ins Rollen kommt soll sie bereits massive Schwächen zeigen. Ein Forschungsteam der Technischen Universität Darmstadt, der Universität Marburg und der Universität Würzburg hat jüngst in Publikationen als theoretisch möglich beschriebene Datenschutz- und Sicherheitsrisiken der Spezifikation des von Google und Apple vorgeschlagenen Ansatzes für Corona-Apps unter realistischen Bedingungen praktisch demonstriert und bestätigt. Dabei zeigte das Forschungsteam durch Experimente in realen Szenarien, dass bereits theoretisch bekannte Risiken mit gängigen technischen Mitteln ausgenutzt werden können.

/Nachtrag 16.6.: Zu Erwähnen sei an dieser Stelle, dass die Universitäten in erster Linie dem ursprünglichen, von Apple und Google vorgestellten Ansatz angesehen und analysiert haben. Nach Angaben von SAP und der Deutschen Telekom wurde ein eigenes Tool entwickelt, dass zwar auf diesen Ansätzen aufbaut, aber bereits mit den entsprechenden Sicherheitsbedenken im Hinterkopf entwickelt wurde. Mehr dazu im weiteren Verlauf des Beitrags. („Telekom und SAP nach Tests von Corona-App zuversichtlich“).

So kann zum einen ein externer Angreifer detaillierte Bewegungsprofile von mit Covid-19 infizierten Personen erstellen und unter bestimmten Umständen die betroffenen Personen identifizieren. Zum anderen ist ein Angreifer in der Lage, die gesammelten Kontaktinformationen durch sogenannte Relay-Angriffe zu manipulieren, was die Genauigkeit und Zuverlässigkeit des gesamten Kontaktnachverfolgungssystems beeinträchtigen kann.

Anonymisierung der Anwender kann nicht garantiert werden

Ausgangspunkt für die Experimente der IT-Sicherheitsexperten und -expertinnen der drei Universitäten waren zuvor veröffentlichte Berichte über mögliche Datenschutz- und Sicherheitsrisiken im Zusammenhang mit den Entwicklungen des sogenannten „Google Apple Protokoll“ (GAP). Das Forschungsteam testete, ob die konzeptionell beschriebenen Angriffe in der Praxis ausgeführt werden können.

Die Experimente zeigen, dass GAP einerseits anfällig ist für die Erstellung von Profilen und so möglicherweise die De-Anonymisierung von infizierten Personen erlaubt. Andererseits sind in GAP auch so genannte Relay- oder Wurmloch-Angriffe möglich, wodurch Angreifer falsche Kontaktinformationen generieren können und somit die Genauigkeit und Korrektheit des Gesamtsystems leidet.

Angriffswerkzeuge bereits längst etabliert

Das Forschungsteam realisierte die Angriffe mithilfe handelsüblicher preiswerter Werkzeuge wie Bluetooth-Sniffer (als App auf Smartphones oder Raspberry Pis), die auch in mobilen Umgebungen eingesetzt werden können. Da die Implementierung des GAP-Ansatzes noch nicht für die breitere Wissenschafts-Community verfügbar ist, hat das Forschungsteam die Angriffe basierend auf bereits publizierten Spezifikationen konstruiert. Die Ergebnisse zeigen, dass bei Verwendung strategisch platzierter Sensoren auf Smartphones in einem bestimmten Gebiet die Bewegungen infizierter Personen, simuliert durch Testpersonen, detailliert rekonstruiert werden können. Dadurch war es möglich, sensible Aufenthaltsorte der Testpersonen sowie mögliche soziale Beziehungen zwischen ihnen zu identifizieren.

Die Anfälligkeit von GAP für sogenannte Relay- oder Wurmloch-Attacken offenbart ebenfalls Schwächen. Diese Methode versetzt einen Angreifer in die Lage, die sogenannten Bluetooth-Benutzer-IDs, die von einer Kontaktnachverfolgungs-App erzeugt werden, zu sammeln und unbemerkt an weiter entfernte Orte weiterzuleiten. Unter anderem konnten erfolgreich Bluetooth-IDs zwischen zwei 40 Kilometer voneinander entfernten Städten übertragen werden. Dadurch kann ein Angreifer das Kontaktnachverfolgungssystem als Ganzes beeinträchtigen, indem er Informationen über die Anwesenheit von Infizierten an vielen Orten fälschlicherweise dupliziert, was zu einer erheblichen Zunahme von Fehlalarmen über das potenzielle Infektionsrisiko führen könnte.

Insgesamt sieht das Forschungsteam noch deutliches Verbesserungspotenzial für den von Google und Apple vorgeschlagenen Ansatz für Corona-Apps.

Eine detaillierte Beschreibung der Experimente und ihrer Ergebnisse ist im vollständigen Studienbericht zu finden unter http://arxiv.org/abs/2006.05914.

Telekom und SAP nach Tests von Corona-App zuversichtlich

Die Entwickler der deutschen Corona-Warn-App sind dagegen nach ausführlichen Tests zuversichtlich, dass die geplante Entfernungsmessung per Bluetooth-Funk auch im Alltag funktionieren wird. „Inzwischen sind wir überzeugt, dass wir eine gute Lösung haben, mit der man starten kann - auch wenn wir wissen, dass sie nicht perfekt ist“, sagte SAP-Manager Jürgen Müller der Deutschen Presse-Agentur dpa.

Die Veröffentlichung der offiziellen deutschen App wird in den nächsten Tagen erwartet. Sie setzt auf den Smartphone-Schnittstellen von Apple und Google auf und wurde von SAP und der Deutschen Telekom entwickelt. Die App soll helfen, Ansteckungen nachzuverfolgen und Infektionsketten frühzeitig zu unterbrachen. Die App erfasst, welche Smartphones einander nahegekommen sind - und warnt dann Nutzer, wenn sich herausstellt, dass sie sich neben Infizierten aufgehalten haben. „Das Ziel ist, dass Millionen teilnehmen“, sagte Müller.

Das Fraunhofer Institut IIS in Erlangen habe bei Tests der deutschen konkrete Szenarien durchgespielt: Sitzen in einem Restaurant, Schlangestehen, Aufenthalt in öffentlichen Verkehrsmitteln. Dabei wurde gemessen, wie präzise die Smartphones die Entfernung erkannten. „Beim realen Einsatz werden wir noch mehr lernen“, sagte Müller.

Von der Deutschen Telekom bekamen Google und Apple eine Liste der 50 meistgenutzten Smartphone-Modelle in Deutschland, sagte der Chef der Telekom-Geschäftskundentochter T-Systems, Adel Al-Saleh. Das war nötig, um die Algorithmen zur Entfernungsschätzung auf die einzelnen Geräte anzupassen. Wichtig ist das vor allem beim Google-Betriebssystem Android, wo es eine Vielzahl von Geräten verschiedener Hersteller mit unterschiedlichen Bauteilen und Software gibt. So wie das Verfahren aufgebaut ist, soll es kaum Auswirkungen auf die Batterielaufzeit haben. Das Bluetooth LE (Low Energy), das zum Einsatz kommt, verbraucht ohnehin wenig Strom. Eine größere Belastung der Batterie gäbe es erst, wenn der Hauptprozessor aktiviert würde und damit auch andere Anwendungen wie E-Mail oder Social-Media-Apps anspringen.

Für die Warnfunktion tauschen die Geräte via Bluetooth zufällig erzeugte Krypto-Schlüssel aus. Diese Schlüssel werden nicht permanent verschickt, sondern in Abständen von zweieinhalb bis fünf Minuten als Salve von 16 Schlüsseln binnen vier Sekunden. Auf Basis der Signalstärke wird dabei die Entfernung geschätzt. Ein Problem bei der Bluetooth-Technologie ist, dass die Smartphones nicht erkennen, wenn zwischen zwei Nutzern eine Glasscheibe ist und sie sich gar nicht gegenseitig anstecken können. Genauso gehen Bluetooth-Signale nicht durch Wasser - dadurch können sich zwei Telefone möglicherweise nicht sehen, wenn menschliche Körper dazwischen sind.

Ein zentrales Element der Corona-Warn-Apps ist das Verfahren, mit dem Infizierte ein positives Testergebnis in der App teilen können, damit Nutzer, die sich angesteckt haben könnten, informiert werden. Die App-Partner hätten ein Formblatt entwickelt, das alle Testlabore in Deutschland nutzen sollen, damit die Ergebnisse standardisiert erfasst werden. Beim Test erhält jeder einen QR-Code. Die Registrierung damit in der App sorgt auch dafür, dass man das Testergebnis auf dem Telefon erhält. Bei positiven Ergebnissen werden Nutzer ausdrücklich gefragt, ob sie das zur Kontakt-Nachverfolgung teilen wollen. Alternativ zu der digitalen Übertragung steht eine Validierung über ein Call Center der Telekom zur Verfügung.

Unterstützung erhielten die Entwickler durch den IT-Dienstleister. TÜV Informationstechnik. Die App werde stabil und sicher laufen, ohne die Anwender auszuspionieren, sagte TÜV-IT-Chef Dirk Kretzschmar am Samstag der dpa. Das habe eine Prüfung der App im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ergeben.

Bei der Überprüfung der App habe man auch kontrolliert, ob Unbefugte Daten abgreifen könnten. „Das ist nicht der Fall,“ beteuert Müller, im Widerspruch zu den Ergebnissen der TU Darmstadt. „Die Anwender müssen keine Angst vor Überwachung haben.“ Die Entwickler von SAP und T-Systems hätten ebenfalls sichergestellt, dass niemand über die App Zugriff auf andere Daten bekomme.

(ID:46646726)