Bereits kurz vor Veröffentlichung der Corona-Warn-App hat ein Forscherteam der TU Darmstadt in einem Forschungsbericht (PDF-Datei; Link öffnet sich in einem neuen Fenster) auf Anzeichen möglicher Risiken hingewiesen. Dinge wie Replay-Attacken seien unter realistischen Bedingungen durchführbar. Dadurch ließe sich die Anonymisierung in den Apps umgehen, indem ein „entschlossener Angreifer Bewegungsprofile der Anwender erstellt. Diese Profile lassen sich aus den Informationen ableiten, die die App generiert - welche anderen Nutzer der App sich wann in der Nähe befinden. Dazu ist es jedoch nicht notwendig, Dienste wie GPS zu nutzen oder überhaupt Namen zu kennen, denn Bewegungsprofile können immer recht eindeutig einer Person zugeordnet werden. Zudem sei es möglich, mit einer so genannten Wurmloch-Attacke (einer Unterart eines Replay-Angriffs, bei der Daten zu einem anderen geographischen Punkt gesendet und dort wiederverwendet werden) den in der App angezeigten Risikowert bei vielen Nutzern der App zu verfälschen. Das Ergebnis: Test-Ressourcen werden unnötig belastet oder Menschen begeben sich unnötigerweise in Quarantäne.
Was ist ein "Replay-Angriff"?
Bei dieser Art des Angriffs geht es meist darum, Zugriff auf eine bestimmten Ressource zu erlangen oder eine bestimmte Antwort von einem System zu bekommen. Ein klassisches Beispiel für einen Replay-Angriff taucht seit Jahrzehnten immer wieder in Filmen auf – so nimmt ein Protagonist mit einem Recorder zum Beispiel ein gesprochenes Passwort auf und spielt es später unbeobachtet ab, um irgendwo hinein oder heraus zu kommen. Im Fall der Corona-App lassen sich die ausgesendeten Bluetooth-Signale aufzeichnen und an anderer Stelle wiedergeben.
Ist das ein Fehler in der Corona-Warn-App selbst?
Eindeutig nein. Das Datenschutzkonzept der App ist in sich stimmig, was auch die Darmstädter Forscher bestätigen. Das Problem ist die Programmierschnittstelle, auf der die Anwendung basiert. Apple und Google haben in einem gemeinsamen Projekt eine Schnittstelle entwickelt, auf die Tracing-Apps wie die deutsche Corona-Warn-App oder auch deren Schweizer Pendant zugreifen. Hier stießen die Forscher an ihre Grenzen, denn sowohl Google also auch Apple gewähren ausschließlich staatlichen Gesundheitsbehörden Zugriff auf diese API. Sie ist im Unterschied zur deutschen Corona-Warn-App aber nicht quelloffen. Somit stand für die Versuche lediglich eine Prototyp-Test-App zur Verfügung, was die Darmstädter Forscher in ihrem Bericht auch mehrfach betonen. In der von ihnen getesteten Konstellation waren die Versuche erfolgreich.
Auch zweifeln die Forscher daran, dass sich die Google-Apple-Schnittstelle gegen solche Angriffe schützen lässt. Zumindest nicht, ohne auf weitere persönliche Daten zuzugreifen, mit denen ein Nutzer zweifelsfrei persönlich zu identifizieren ist. Das wiederum läuft dem Datenschutz zuwider.
Ist die Corona-Warn-App also unsicher?
Sollte jeder, der sie installiert hat, sie sofort wieder deinstallieren? Ein klares Nein. Erstens betonen die Forscher mehrfach selbst, dass sie keinen Zugriff auf das Live-System hatten, das der Corona-Warn-App zugrunde liegt. Ob die beschriebenen Angriffe in der Praxis genauso funktionieren, lässt sich also nicht mit allerletzter Sicherheit klären. Zweitens stellt sich die Frage, wer von einem Angriff, wie ihn das Forscherteam beschreibt, einen Vorteil hätte. Natürlich dürfen wir die Möglichkeit nicht kategorisch von der Hand weisen, denn das wäre töricht. Doch auch in der Vergangenheit äußerten Experten immer wieder Befürchtungen, dass ein neues Angriffsmodell künftig auf breiter Front Schule mache, was dann aber letzten Endes doch ausblieb. Wir erinnern uns an die KRACK-Sicherheitslücke die 2016 für Unruhe und Verunsicherung sorgte. Weltweit gab es einen Aufschrei, dass alle WLANs auf einen Schlag unsicher und eigentlich obsolet wären. Die Praxis sah jedoch anders aus – für einen erfolgreichen Angriff war es notwendig, tatsächlich selbst vor Ort zu sein und mit entsprechender Technik die Verschlüsselung des WLAN zu umgehen. Gezielte Angriffe sind aber grundsätzlich möglich.
Ähnlich verhält es sich auch hier – zwar steht keine Verschlüsselung auf dem Spiel, aber auch hier muss ein Angreifer sich zumindest initial in der Nähe befinden. Weder im Falle der Corona-Warn-App noch bei KRACK ist die technische Umsetzung besonders schwierig. Für einen Einsatz durch Kriminelle, bei denen Masse über Klasse geht, ist beides jedoch wenig praktikabel. Hier kommt der App auch wieder das Konzept der dezentralen Datenhaltung zugute:
Unterm Strich ändert sich an der Einschätzung zur Corona-App nichts. Der Einsatz der App ist sinnvoll und geeignet, Infektionsketten zu unterbrechen. Das Datenschutzkonzept ist mehrfach gelobt worden – unter anderem vom Bundesbeauftragten für den Datenschutz, Ulrich Kelber. Selbst der Chaos Computer Club (CCC), der sonst mehr als skeptisch gegenüber IT-Projekten der Regierung ist, hatte nichts zu beanstanden. Auch wir bei G DATA schließen uns hier an. Wir wollen hier nichts beschönigen und nicht als Apologeten für Versäumnisse bei der Sicherheit an anderer Stelle auftreten – die Forschungsergebnisse geben Anlass zur Sorge. Die verantwortlichen Behörden müssen sowohl Google, als auch Apple verstärkt in die Pflicht nehmen, nachzubessern, wo es geht. Das Nachbessern ist aber nicht Aufgabe der Bundesregierung, der Telekom oder von SAP.
Wie im letzten Kommentar zum Start der App bereits erwähnt: natürlich wird es Angriffe geben. Und die ersten hat es auch schon gegeben. Diese basieren allerdings weder auf den beschriebenen Replay-Angriffen noch auf Schwächen der Google-Apple-Schnittstelle, oder überhaupt auf der App selbst, sondern wie befürchtet auf Fake-Webseiten, die die Corona-Warn-App als Vorwand nutzen – oder in Form von Fake-Apps, die tatsächlich Daten abgreifen. So hat ein Gelsenkirchener Sicherheitsunternehmen vorsorglich einen ganzen Schwung von Domainnamen für sich registriert, damit sie niemand mehr für Fakes missbrauchen kann.
Fazit
Die Corona-Warn-App bleibt trotz aller Bedenken eine gute Idee, die sich aber in der Praxis beweisen muss.
Es ist zweifelsohne richtig, eine Maßnahme zur Lösung eines Problems zu verurteilen, wenn sie offensichtlich von vorneherein unsinnig und wirkungslos ist. Sie aber zu verurteilen, weil sie weniger als 100 Prozent erzielt, ist dumm. Hier würde das sprichwörtliche Kind mit dem Bade ausgeschüttet.