Nachdem der Geschäftsführer der TÜV Informationstechnik (TÜVit) Dirk Kretzschmar im Gespräch mit heise online dem Veröffentlichungstermin der Corona-Warn-App der Bundesregierung durchaus kritische Aspekte abgewinnen konnte, betonte er nun gegenüber der Deutschen Presse-Agentur (dpa), die App werde "stabil und sicher laufen, ohne die Anwender auszuspionieren." Der Veröffentlichungstermin der App, angesetzt für die kommende Woche, und die Frage, ob eine längere Prüfdauer der Codequalität der Corona-Warn-App eventuell gutgetan hätten, kam dabei nicht zur Sprache.

Eine Beseitigung der von den TÜVit-Prüfern gefundene Schwachstelle im Pseudozufallszahlengenerator für das TAN-System, mit dem Erkrankte ein positives SARS-CoV-2-Testergebnis in der App übermitteln können, wird in der Meldung der dpa ebenfalls nicht direkt erwähnt. Allerdings sagte Kretzschmar schon gegenüber heise online, dass die Entwickler daran arbeiten, dieses System sicherer zu machen. Ein Angriff auf das unsichere TAN-System hätte dazu führen können, dass Angreifer das System mit falschen Positivergebnissen überfluten und so lahmlegen oder das Vertrauen in die App kompromittieren könnten.

Positives Bild bei den Testern

Gegenüber der dpa zeigte sich Kretzschmar zuversichtlich, dass die App bei ihrer Veröffentlichung frühere Instabilitäten überwunden haben wird. "Die Tester hatten zum Schluss aber ein sehr positives Bild, weil inzwischen alles sehr stabil läuft. Sie waren auch ziemlich begeistert davon, wie schnell und in welcher Qualität die Entwickler auf noch entdeckte Schwachstellen reagiert haben." Diese Aussage über die Entwickler von SAP und Telekom deckt sich mit dem Eindruck, den wir beim Blick in den Quellcode und die dazugehörigen Diskussionen auf der Code-Sharing-Plattform GitHub erhielten.

Im Gespräch mit heise online hatte Kretzschmar betont, dass sich Nutzer der App keine Sorgen um die Privatheit ihrer Daten machen müssen. Das wiederholte er noch einmal gegenüber der dpa. Unbefugte können demnach keine Daten abgreifen. "Die Anwender müssen keine Angst vor Überwachung haben", versicherte Kretzschmar erneut. Der TÜV hatte vor allem die Privatsphäre-Aspekte der App gründlich durchleuchtet, da dies als wichtiger Faktor für die Akzeptanz in der Bevölkerung angesehen wird.

Die Grenzen des Testauftrages

Im Gespräch mit heise online hatte Kretzschmar gesagt, man habe sich zuerst eine längere Testphase gewünscht, als vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anberaumt wurde. Eine Veröffentlichung der App frühestens am 30. Juni oder sogar später sei wünschenswert gewesen. Auch machte er deutlich, dass ein Test der Verschlüsselung, mit der die App Daten auf dem Smartphone der Nutzer speichert, außerhalb des Testauftrages gewesen sei. Genau wie etwaige Angriffe auf die von der App genutzte Contact-Tracing-Schnittstelle von Apple und Google. Das grenzt die gegenüber der dpa geäußerte Einschätzung der Prüfer, die App werde "stabil und sicher laufen", dann doch etwas ein, da große und wichtige Teile der mit der App verbundenen Funktionalität (Betriebssystem-API, SQLCipher-Bibliothek) gar nicht auf ihre Sicherheit untersucht wurden.

Mit Blick auf die kurze Entwicklungszeit der App und den damit verbundenen Zeitdruck der Prüfer ist das verständlich. Als externer Beobachter, der lediglich den Quellcode und Entwicklerdiskussionen auf der Code-Sharing-Plattform GitHub verfolgen kann, fragt man sich allerdings schon, warum eine – augenscheinlich politisch motivierte – Entscheidung getroffen wurde, die Corona-Warn-App unbedingt in der kommenden Woche zu veröffentlichen. Anstatt Sicherheitsforschern bei der TÜVit und bei anderen Institutionen mehr Zeit zu geben, alle Aspekte der App eingehend abzuklopfen.

Fragen zum Zeitpunkt der Quellcode-Veröffentlichung

Bei einer beträchtlichen Anzahl von heise-online-Lesern kam außerdem die Frage auf, warum Kretzschmar es negativ bewertete, dass man den Quellcode der App veröffentlicht hatte, bevor die TÜV-Prüfer mit ihrer Arbeit fertig waren und den Code sicherer gemacht hatten. Dabei treffen zwei Weltsichten aufeinander, die bei Open-Source-Entwicklern und Sicherheitsforschern seit Jahren heiß diskutiert werden: Die einen wollen den kompletten Code möglichst früh offenlegen, damit möglichst viele Augen Schwachstellen finden, die anderen möchten gerne, dass der Quellcode möglichst hohe Qualität hat, bevor er veröffentlicht wird. Wohl um unnötige Dopplungen bei der Behebung von Bugs zu vermeiden, da Programmcode in der Frühphase eines Projektes meist noch vielen, zum Teil gravierenden Änderungen unterlegen ist.

Erstere Ansicht ist meist bei Open-Source-Puristen und unabhängigen Pen-Testern anzutreffen, letztere ist eher bei größeren Firmen (sowohl im Security- als auch im Open-Source-Bereich) verbreitet. Beide Seiten können schlagkräftige Argumente für sich verbuchen, am Ende bleibt es wohl Glaubenssache. Jedenfalls steht Kretzschmar mit seinem Wunsch nach einer späteren Veröffentlichung nicht so allein da, wie manch ein Kommentar im heise-Forum vermuten lassen würde.

Abschließende Einordnung der App-Sicherheit

Viele Leser hatten sich außerdem eine abschließende Einordnung von Kretzschmars Aussagen gewünscht. Eine pauschale Aussage zur tatsächlichen Sicherheit der App auf Grund der TÜVit-Prüfung zu treffen, ist sicherlich schwierig. Das liegt nicht daran, dass es Zweifel an der Gründlichkeit der TÜV-Tests gibt, sondern daran, dass vieles nicht getestet wurde. Das ist nicht die Schuld des TÜV, der ja bemerkenswerterweise diese sehr umfangreichen Tests ohne Bezahlung im Sinne der Allgemeinheit durchgeführt hat. Und auch die Entwickler bei SAP und der Deutschen Telekom trifft keine Schuld. Nach allem, was wir gesehen haben, gehen sie proaktiv mit Schwachstellen und Bedenken von Sicherheitsforschern um und geben sich alle Mühe, eventuell auftretende Probleme schnell und sehr transparent zu lösen. Was mit Blick auf die Kürze der Zeit und die beachtliche öffentliche Aufmerksamkeit, mit der sie konfrontiert sind, beeindruckend ist.

Allerdings werden sich die Entscheidungsträger auf Seiten des BSI und der Bundesregierung fragen lassen müssen, warum man sich beim geplanten Veröffentlichungstermin der Corona-App nicht etwas mehr in Geduld geübt hat. Grundsätzlich scheint es fachfremden Menschen und vor allem der Öffentlichkeit nicht klar zu sein, wie schwer es ist, innerhalb von vier bis sechs Wochen eine App zu entwickeln, die stabil auf Millionen von Geräten unter zwei grundverschiedenen Betriebssystemen laufen soll. In dieser kurzen Zeit Garantien darüber auszusprechen, dass diese App dann auch noch sicher ist und nicht aus dem einen oder anderen Winkel angegriffen werden kann, scheint fast unmöglich. Von der Frage, ob die zugrundeliegende Bluetooth-Entfernungsmessung so funktioniert, dass sie signifikant bei der Eindämmung von SARS-CoV-2-Infektionen hilft, mal ganz zu schweigen.

