Mit einiger Verspätung soll am Dienstag die Corona-Warn-App der Bundesregierung vorgestellt und freigeschaltet werden. Wohl kaum ein Projekt wurde in den vergangenen Wochen von Datenschützern kritischer beäugt. Im TÜV-Test hat sich die App aber ziemlich gut geschlagen, wie Dirk Kretzschmar, Geschäftsführer der TÜV Informationstechnik, betont.

Die TÜV-IT ist für Hardware und Software das, was der normale TÜV für Autos ist - eine Prüfung und ein Qualitätssiegel gleichermaßen. Im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) haben Dirk Kretzschmar und seine Prüfer die Corona-Warn-App genau unter die Lupe genommen und auf Schwachstellen untersucht. Die App soll dabei helfen, Ansteckungen nachzuverfolgen und Infektionsketten frühzeitig zu unterbrechen. Dazu erfasst die App, welche Smartphones einander nahegekommen sind - und warnt Nutzer, wenn sich herausstellt, dass sie sich neben Infizierten aufgehalten haben. Ziel ist es, dass die App möglichst großflächig heruntergeladen und auch genutzt wird, um zur Eindämmung der Pandemie beizutragen.

Auf entdeckte Schwachstellen schnell reagiert

Dementsprechend hoch sind natürlich auch die technischen Anforderungen an die App. Mit der Umsetzung beauftragt wurden von der Bundesregierung die Unternehmen SAP und Telekom. Die Zusammenarbeit mit den Entwicklern und dem BSI beschreibt Dirk Kretzschmar dabei als "unerwartet hervorragend". Es seien bei der Prüfung zwar Mängel gefunden worden, das sei allerdings nicht ungewöhnlich. "Es ist völlig normal, dass Schwachstellen gefunden und geschlossen werden", so Kretzschmar. "Die Tester hatten zum Schluss aber ein sehr positives Bild, weil inzwischen alles sehr stabil läuft. Sie waren auch ziemlich begeistert davon, wie schnell und in welcher Qualität die Entwickler auf noch entdeckte Schwachstellen reagiert haben."

Auf welche Kritikpunkte die Prüfer genau gestoßen sind, möchte Kretzschmar nicht verraten. "Kritikpunkte kann ich nicht benennen. Wir reden bei Prüfungen der IT Sicherheit von gefundenen Schwachstellen, die möglicherweise von Hackern zum Datendiebstahl oder zur Manipulation ausgenutzt werden könnten. Diese zu finden und über die Entwickler schnell wieder zu schließen, ist das Ziel dieser Prüfungen." Intensiv beschäftigt habe man sich aber etwa mit der Frage, wie in der App die Eingabe einer Infektion abgesichert werden kann. Diese erfolgt über einen QR-Code aus dem Testlabor oder mit Hilfe einer TAN, die der Betroffene von einer Telefon-Hotline erhält. Hier sei es zum Beispiel darum gegangen, ein sicheres Verfahren anzuwenden, bei dem die TAN nicht leicht erraten oder die Status-Eingabe durch einen "Brute-Force-Angriff" durch massenhafte Eingaben erzwungen werden kann.

"Anwender müssen keine Angst vor Überwachung haben"

Bei der Überprüfung der App habe man auch kontrolliert, ob Unbefugte Daten abgreifen könnten. "Das ist nicht der Fall. Die Anwender müssen keine Angst vor Überwachung haben", betont Kretzschmar. Die Entwickler von SAP und T-Systems hätten auch sichergestellt, dass niemand über die App Zugriff auf andere Daten bekomme.

Dass der Quellcode der Open-Source-App bereits vorzeitig im Netz zu finden war, bewertet Kretzschmar grundsätzlich positiv: "Es ist allen Beteiligten sehr wichtig, völlige Transparenz aufzuzeigen. Den Quellcode von Beginn an zu veröffentlichen ist deshalb eine gute Möglichkeit, dass sich wirklich jeder selbst davon überzeugen kann, ob eventuell bestehende Verdächtigungen zutreffen oder ausgeschlossen sind. Das zum Beispiel von vielen Kritikern befürchtete Tracking würde über die Offenlegung des Quellcodes sofort erkannt werden." Gleichzeitig gibt Kretzschmar aber auch zu, dass er und seine Kollegen als Prüfer den Code gerne erst etwas später - nach den eigenen Tests - im Netz gesehen hätten.

Insgesamt kommen die TÜV-Prüfer jedoch zu einem sehr positiven Resümee. "Ich kann die Nutzung der Corona Warn App nach unseren Tests der IT Sicherheit und des Datenschutzes empfehlen", fasst Kretzschmar zusammen. Er wünsche sich, "dass nun sehr viele Menschen Verantwortung zeigen und die App nutzen, damit wir künftig besser vorbereitet sind und noch mehr Lockerungen aushalten."