Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages

IT-Security-Expertin Christine Deger: „Der Nutzen liegt darin, frühzeitig neue Hotspots zu identifizieren und so einer eventuellen zweiten Welle entgegenzuwirken.“

Gefällt dir? Vielen Dank fürs Teilen!

Interview: Isolde Hilt

Über eine Corona-Warn-App wurde in den letzten Wochen viel und auch hitzig diskutiert – begleitet von Spekulationen, Erwartungen, Ängsten. Dieser Prozess war notwendig und hilfreich: Nach anfänglichem Zögern fanden die Kritik und Appelle der Datenschützer Gehör, wie IT-Security-Expertin Christine Deger bestätigt. Nun ist vor wenigen Tagen eine Version freigegeben worden, gegen die auch der Chaos Computer Club* nichts einzuwenden hat. Am 17. Juni hatten bereits 8 Millionen Menschen in Deutschland** seit der Freigabe die App heruntergeladen. Was die Corona-Warn-App leistet, wie sie funktioniert und worauf man achten sollte, erklärt Christine Deger in diesem Interview.

 

Was macht die Corona-Warn-App? Wie funktioniert sie?

Die App generiert mit kryptographischen Mitteln (verschlüsselt) jede halbe Stunde eine neue temporäre, also per Zufall generierte ID für dein Smartphone. So bleibst du als Person tatsächlich geschützt. Sobald ein anderes Handy mit der App in unmittelbarer Nähe ist, empfangen beide Handys die temporäre ID der jeweils anderen App-Installation und speichern diese. Diese Liste mit IDs anderer App-Installationen wird auf beiden Handys lokal und verschlüsselt gespeichert.

Sobald eine*r der App-Nutzenden eine Coronavirus-Infektion hat, wird ein Code in die APP eingetragen. Mit dem Eintrag werden die lokal gespeicherten Daten an den zentralen Corona App- Server übertragen. Dazu musst du als Nutzende zustimmen, damit der zentrale Server erfährt, mit welchen anderen temporären IDs dein Smartphone in Kontakt war. Der Server kann aus diesen IDs nicht entschlüsseln, welche Menschen sich dahinter verbergen. Er kann aber alle betroffenen Smartphones informieren. Diese Benachrichtigung kann verschickt werden, ohne dass deine Personendaten bekannt werden. Für das Anzeigen einer Nachricht auf dem Smartphone sind keine personenbezogenen Daten erforderlich.

Damit die App funktioniert, benötigt man ein Smartphone. Funktioniert jedes Smartphone?

Leider nein. Die App benötigt für IOS-Geräte das Betriebssystem 13.5.x und für Android-Geräte mindestens die Version 6.xx. Das heißt, ältere Geräte funktionieren nicht. Für Huawei-Geräte gibt es das im Moment noch nicht. Das Unternehmen hat aber angekündigt, dass es die Covid-19-Schnittstelle, die Apple und Google programmiert und eingerichtet haben, „nachbaut“. Das kann aber noch dauern und ist dann eine Eigenentwicklung eines Herstellers aus China.

Was ist beim Installieren zu beachten? Welche Funktionen müssen eingeschaltet sein?

Die Kommunikation geht über das Bluetooth-Protokoll und ein sogenanntes Covid-19-Protokoll. Diese beiden Einstellungen müssen aktiviert sein, damit das Senden und der ID-Datenaustausch funktionieren. Beide Protokolle können auch einzeln deaktiviert werden.

Die App war schon lange im Gespräch. Viele hatten und haben – sicher nicht zu Unrecht – Angst vor dem Missbrauch ihrer Daten. Oft erfährt man z. B. erst viel später, was so alles auf dem eigenen Handy aktiv ist und Daten abgreift, ohne es zu wissen. Die Daten seien bei dieser App aber geschützt. Wie schätzt du das ein?

Das ist so. Das Team, das die App entwickelt hat, hat sehr offen und transparent gearbeitet. Jeder Fortschritt kann auf der Entwickler-Plattform nachverfolgt werden. Die Kritik und Appelle der Datenschützer wurden anfangs zögerlich, aber dann mit der notwendigen Ernsthaftigkeit aufgenommen und berücksichtigt. Alle Verfahren sind durchdacht, der Datenaustausch der IDs erfolgt ohne Rückschluss auf die Person. Das ist schon einmal sehr gut. Ich halte die App aktuell für sicher, beobachte das aber weiter kritisch.

Bluetooth – die Datenübertragung ohne Kabel – birgt aber doch auch Gefahren, oder? Können da nicht leichter Daten geortet der gar gehackt werden? Z. B. über andere Apps, die man noch installiert hat. Hacker hatten da ja schon öfter leichtes Spiel …

Da möchte ich zwei Aspekte näher ausführen:

Bluetooth ist ein Protokoll, das ausschließlich für nahe Kommunikation ausgelegt ist. Das heißt, die Reichweite beträgt maximal 100 bis 200 Meter. Das gilt für die Versionen Bluetooth 4.0 und 5.0. Ältere Versionen haben eine geringere Reichweite (zwischen 5 bis 50 Meter). Und es ist, wie jedes Funkprotokoll, angreifbar. Es gibt verschiedene Hacks dazu – leider. Das gilt es, im Auge zu behalten. Wenn kritische Sicherheitslücken auftreten, muss sich das BSI (Bundesamt für Sicherheit in der Informationstechnik) rasch darum kümmern, diese zu schließen. Das bedeutet auch, dass sie über die großen Betreiber gehen müssen, denn das Update kommt dann von Apple oder Google.

Für andere Apps gilt Folgendes: Ich kann die Nutzung des Bluetooth-Protokolls pro App einzeln erlauben. Das heißt, wenn ich diese Schnittstelle nicht benötige, dann sollte ich der App erst gar nicht die Erlaubnis erteilen, sie zu nutzen. Es gibt viele Apps, die so programmiert sind, dass sie alles nutzen wollen: Ortungsdienste, Zugriff auf die Kamera, das Mikrofon und eben auf Bluetooth. Ich empfehle, diese Nutzung nicht grundsätzlich freizugeben, sondern gut zu überlegen, ob das wirklich sein muss.

Das Covid-19-Kontaktprotokoll wird ausschließlich von der Corona Warn App verwendet. Hier ist die Gefahr also aktuell gering, dass Daten abfließen. Zudem kann ich auch dieses Protokoll ausschalten.

Christine Deger, IT-Security-Expertin, ist bundesweit in diesen Tagen besonders stark nachgefragt.

Die Corona-Warn-App in der Praxis: Angenommen, ich habe mich infiziert. Wie gehe ich vor?

Zuerst benötigst du die Bestätigung, dass du infiziert bist. Wenn das der Fall ist und du das weißt, liegt dir ein Testergebnis vor. Auf diesem Testergebnis ist entweder ein QR-Code eingetragen oder du erhältst einen Zahlencode vom Arzt. Diesen Code gibst du dann in der App ein. Deine ID nimmt die geänderte Info auf; wenn dein Gerät nun länger als 15 Minuten und näher als 2 Meter mit anderen zusammen ist, erhalten diese eine Warnmeldung.

Angenommen, ich hatte an einem Tag mehrere Treffen, z. B., weil ich Lehrerin bin … Da kommen etliche Menschen zusammen, die zu informieren sind. Auf ganz Deutschland umgerechnet, kann sich so etwas mit entsprechender Geschwindigkeit potenzieren. Gibt das nicht sehr schnell ein Chaos? Ist dieses Szenario vorher durchgespielt worden?

Ich denke, das ist eher ein Thema bei den Gesundheitsämtern. Du meldest dich dort zuerst und lässt dich beraten. Dann wird ein Test durchgeführt. Ist das Ergebnis positiv, trägst du den Code in die App ein. Wenn du befürchten musst, dich angesteckt zu haben, ist es sicher sinnvoll zu überlegen, welche dir bekannten Menschen in den letzten 14 Tagen in deiner Nähe waren und sie schon vorab zu informieren.

Weiter erhalten alle Smartphones, mit denen du in Kontakt warst und die in deiner ID-Liste gespeichert sind, automatisch eine Warnung über die App. Das gilt auch für Smartphones, die dir zukünftig begegnen. Sobald du also in ein Restaurant oder zu einer Veranstaltung gehst, erfolgt eine Warnung an Personen in deinem Umfeld, wenn sie sich länger in deiner Nähe aufgehalten haben.

Wann geht die Rechnung mit der Corona-Warn-App auf? Wie hoch muss die Akzeptanz in der Bevölkerung sein, dass sie den erhofften Nutzen bringt?

Die aktuelle Meinung dazu ist, dass 60 Prozent der Bevölkerung die App nutzen müssen, um aussagekräftige Zahlen über die Pandemie-Entwicklung zu erhalten. Liegt die Zahl niedriger, ist die Basis der realen Zahlen eben „dünner“. Normalerweise wird dann von diesen Basiszahlen hochgerechnet.

Zusammengefasst: Worin siehst du den Nutzen? Was siehst du mit Bedenken?

Der Nutzen liegt in der frühzeitigen Identifikation von neuen Hotspots. Die Gesundheitsämter registrieren die Anzahl der Tests und die positiven Ergebnisse fließen in die Statistik ein. Dies ist der Nutzen für die Gesellschaft. Sollte sich eine zweite Infektionswelle ankündigen, bekommen wir das frühzeitig mit. Ein weiterer Vorteil ist, dass jede beteiligte Person schnell für die eigene Gesundheit Klarheit erhält. Und andere Menschen, besonders ältere und Risikogruppen, werden geschützt.

Bedenken habe ich, dass die App für bestimmte Berufsgruppen verpflichtend vorausgesetzt wird. Dass die Freiwilligkeit sozusagen ausgesetzt wird und bestimmte Beteiligungen an die App-Nutzung gebunden werden. Das sollte nicht erfolgen.

Bedenken habe ich auch hinsichtlich FAKE-Apps. Wir sehen in anderen Ländern wie in Brasilien oder Singapur, dass Links mit gefakten Apps auf dem Markt sind. Also gilt auch hier: Bitte aufmerksam sein und nur die echte Corona-Warn-App – so lautet der genaue Name – am besten vom App-Store auf euer Smartphone herunterladen!

Dein Fazit: Empfehlung, sich die Corona-Warn-App herunterzuladen – ja oder nein?

Ja, ich empfehle, die App zu nutzen. In einigen Wochen werden wir sehen, wie die Entwicklung der Infektionen verläuft. Wenn wir unter anderem durch die Nutzung eine zweite Welle verhindern können, sehe ich das als Fortschritt.

Und auch das ist ein Aspekt, den wir berücksichtigen sollten: Seit Jahren lesen und hören wir, dass die Digitalisierung kommt und Deutschland den Anschluss verliert. Diese App ist ein gutes Signal, dass wir in Deutschland in der Lage sind, digitale Produkte mit den Anforderungen an eine soziale Gesellschaft ordentlich zu erstellen. Damit meine ich auch, dass Sicherheitsstandards berücksichtigt werden und der Datenschutz konsequent eingehalten wird.

 

* Der Chaos Computer Club e. V. (CCC) ist die größte europäische Hackervereinigung und seit über dreißig Jahren Vermittler im Spannungsfeld technischer und sozialer Entwicklungen. Nähere Infos unter: https://www.ccc.de/
** Quelle: https://de.statista.com/statistik/daten/studie/1125951/umfrage/downloads-der-corona-warn-app/

 

Dieser Beitrag ist urheberrechtlich geschützt.

 

Christine Deger

Cyber-Security-Expertin, Ethical Hacker

Foto: Thomas Zoerlein

Arbeitet seit knapp 20 Jahren in der IT-Branche und befasst sich seit 17 Jahren intensiv mit dem Thema IT-Sicherheit. Sie begann als Quereinsteigerin im Bereich Netzwerküberwachung und Identity Management. Dabei verantwortete sie erfolgreich die operativen und technischen Security Systeme für 30.000 Endanwender*innen von 33 Versicherungsunternehmen.

Seit 2017 ist sie mit ihrem eigenen Unternehmen selbstständig: https://www.changeboxx.de/

In Kürze geht ein weiteres Unternehmen von ihr – https://www.cyberluchs.de/ – online, das Basisinformationen liefert, wie man seine elektronischen und persönlichen Werte schützt!

 

 

 

 

 

Wissenswertes zu mehr Sicherheit im Netz!

Banner Steady

Wenn du zuversichtliche, konstruktive Nachrichten schätzt, die für alle frei zugänglich bleiben sollen, freuen wir uns sehr, wenn du good news for you mit einem Beitrag finanziell unterstützt. Wir sind auf dich als User*in angewiesen, um unsere Arbeit absichern und weiter ausbauen zu können. Herzlichen Dank!

+ + + Das good news Telegram + + + Jeden Sonntag neu + + +

Hinterlasse eine Antwort

Deine Email Adresse wird nicht veröffentlicht.

Deine Daten werden verschlüsselt übertragen. Deine IP-Adresse wird nicht erhoben.
Infos zum Datenschutz