BSI: Sicherheitstests von PEPP-PT bleiben geheim

Das Bundesamt für Sicherheit in der Informationstechnik will Sicherheitsaudits zur gescheiterten zentralisierten Corona-App nicht herausrücken.

Artikel veröffentlicht am ,
Gescheitert, aber immer noch intransparent: das Projekt PEPP-PT.
Gescheitert, aber immer noch intransparent: das Projekt PEPP-PT. (Bild: PEPP-PT)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verweigert die Herausgabe von Dokumenten zur Sicherheit des zentralisierten Corona-App-Konzepts von PEPP-PT. Golem.de hatte die Dokumente im April angefragt, als erste Konflikte um die verschiedenen App-Ansätze bekanntwurden. Das zentralisierte Konzept wurde letztendlich nicht umgesetzt, die vor kurzem veröffentlichte Corona-Warn-App basiert auf einem anderen, dezentralen technischen Ansatz.

Stellenmarkt
  1. IT-Mitarbeiter (m/w/d) First-Level-Support
    Stadtwerke Emmendingen GmbH, Emmendingen
  2. Mitarbeiter Support Labor - SAP QM / LIMS (m/w/d)
    Sachsenmilch Leppersdorf GmbH, Wachau
Detailsuche

Ein Rückblick: Im Rahmen des Projekts PEPP-PT wurden im April verschiedene Ansätze zur Umsetzung einer Contact-Tracing-App diskutiert. Einige Wissenschaftler hatten dabei einen dezentralen Ansatz vorgestellt, während der Unternehmer Christoph Boos einen zentralisierten Ansatz verfolgte.

Zunächst kaum Informationen zum zentralen Ansatz

Nach kurzer Zeit kam es zu einem heftigen Streit. Informationen über den dezentralen Ansatz wurden von der Webseite von PEPP-PT entfernt und zunächst sah es so aus, als ob die Bundesregierung sich bereits auf den zentralisierten Ansatz festgelegt hätte. Über den gab es zum damaligen Zeitpunkt aber kaum öffentlich verfügbare Informationen.

Indirekt bekamen wir bei unseren Recherchen mit, dass zu diesem Zeitpunkt das BSI bereits eine Testversion einer App mit dem zentralisierten Konzept testen ließ. Um mehr herauszubekommen, hatten wir daher über die Plattform "Frag den Staat" zwei Anfragen nach dem Informationsfreiheitsgesetz an das BSI gestellt. Dieses Gesetz sieht vor, dass Behörden ihnen vorliegende Dokumente im Normalfall auf Anfrage herausgeben müssen, allerdings gibt es dabei eine Reihe von Ausnahmeregeln.

Golem Akademie
  1. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    , Virtuell
  2. Jira für Anwender: virtueller Ein-Tages-Workshop
    10. November 2021, virtuell
Weitere IT-Trainings

Zum einen wollten wir vom BSI die Designdokumente für das PEPP-PT-Konzept erhalten. Inzwischen sind viele dieser Dokumente öffentlich verfügbar, aber zum damaligen Zeitpunkt war noch komplett unklar, wie das Konzept im Detail überhaupt aussieht. Zum anderen wollten wir auch die vom BSI beauftragten Sicherheitsaudits erhalten.

Anfrage abgelehnt wegen Urheberrechten und Geschäftsgeheimnissen

Beide Anfragen hat das BSI vor kurzem abgelehnt. "Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kann nicht ausschließen, dass in den gewünschten Informationen Betriebs- und Geschäftsgeheimnisse oder Urheberrechte Dritter enthalten sind", schreibt das BSI dazu.

Arne Semsrott von "Frag den Staat" geht davon aus, dass das BSI die Anfrage nicht so pauschal hätte ablehnen dürfen. "Wenn Urheberrechte oder Betriebs- und Geschäftsgeheimnisse betroffen sind, hätte das BSI die entsprechenden Stellen schwärzen können. Das BSI muss zudem darlegen, warum es selbst der Überzeugung ist, dass solche Rechte vorliegen. Dass ein Dritter das sagt, reicht nicht."

Rechtlich vorgehen werden wir gegen die Entscheidung nicht. Letztendlich hat sich die Bundesregierung entschieden, das zentralisierte Konzept von PEPP-PT nicht umzusetzen. Stattdessen wurde eine App auf Basis des dezentralen Konzepts D3PT, das auch von Google und Apple mit einer API unterstützt wurde, umgesetzt. Daher ist das Interesse an den entsprechenden Sicherheitsaudits nur noch gering.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
MS Satoshi
Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs

Kryptogeld-Enthusiasten kauften ein Kreuzfahrtschiff und wollten es zum schwimmenden Freiheitsparadies machen. Allerdings scheiterten sie an jeder einzelnen Stelle.
Von Elke Wittich

MS Satoshi: Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs
Artikel
  1. Gigafactory Berlin: Tesla verzichtet für Akkufertigung auf staatliche Förderung
    Gigafactory Berlin
    Tesla verzichtet für Akkufertigung auf staatliche Förderung

    Tesla verzichtet für die geplante Akkufertigung in Grünheide bei Berlin auf eine mögliche staatliche Förderung in Milliardenhöhe.

  2. Microsoft: Xbox-Spieler in Halo Infinite von Crossplay genervt
    Microsoft
    Xbox-Spieler in Halo Infinite von Crossplay genervt

    Im Multiplayer von Halo Infinite gibt es offenbar immer mehr Cheater. Nun fordern Xbox-Spieler eine Option, um gemeinsame Partien mit PCs zu vermeiden.

  3. 50 Prozent bei IT-Weiterbildung sparen
     
    50 Prozent bei IT-Weiterbildung sparen

    Die Black Week 2021 in der Golem Karrierewelt läuft weiter: 50 Prozent bei zahlreichen Live-Workshops, Coachings und E-Learnings sparen - noch bis Montag!
    Sponsored Post von Golem Akademie

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Heute ist Black Friday • Corsair MP600 Pro XT 1TB 167,96€ • Apple Watch Series 6 ab 379€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops (u. a. Lenovo Ideapad 5 Pro 16" 829€) • MS Surface Pro7+ 888€ • Astro Gaming Headsets [Werbung]
    •  /