BSI: Sicherheitstests von PEPP-PT bleiben geheim

Das Bundesamt für Sicherheit in der Informationstechnik will Sicherheitsaudits zur gescheiterten zentralisierten Corona-App nicht herausrücken.

Artikel veröffentlicht am ,
Gescheitert, aber immer noch intransparent: das Projekt PEPP-PT.
Gescheitert, aber immer noch intransparent: das Projekt PEPP-PT. (Bild: PEPP-PT)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verweigert die Herausgabe von Dokumenten zur Sicherheit des zentralisierten Corona-App-Konzepts von PEPP-PT. Golem.de hatte die Dokumente im April angefragt, als erste Konflikte um die verschiedenen App-Ansätze bekanntwurden. Das zentralisierte Konzept wurde letztendlich nicht umgesetzt, die vor kurzem veröffentlichte Corona-Warn-App basiert auf einem anderen, dezentralen technischen Ansatz.

Stellenmarkt
  1. Business Analyst Online-Shop (m/w/d)
    Lidl Digital, Neckarsulm
  2. Frontend Entwickler:in
    HUK-COBURG Versicherungsgruppe, Coburg
Detailsuche

Ein Rückblick: Im Rahmen des Projekts PEPP-PT wurden im April verschiedene Ansätze zur Umsetzung einer Contact-Tracing-App diskutiert. Einige Wissenschaftler hatten dabei einen dezentralen Ansatz vorgestellt, während der Unternehmer Christoph Boos einen zentralisierten Ansatz verfolgte.

Zunächst kaum Informationen zum zentralen Ansatz

Nach kurzer Zeit kam es zu einem heftigen Streit. Informationen über den dezentralen Ansatz wurden von der Webseite von PEPP-PT entfernt und zunächst sah es so aus, als ob die Bundesregierung sich bereits auf den zentralisierten Ansatz festgelegt hätte. Über den gab es zum damaligen Zeitpunkt aber kaum öffentlich verfügbare Informationen.

Indirekt bekamen wir bei unseren Recherchen mit, dass zu diesem Zeitpunkt das BSI bereits eine Testversion einer App mit dem zentralisierten Konzept testen ließ. Um mehr herauszubekommen, hatten wir daher über die Plattform "Frag den Staat" zwei Anfragen nach dem Informationsfreiheitsgesetz an das BSI gestellt. Dieses Gesetz sieht vor, dass Behörden ihnen vorliegende Dokumente im Normalfall auf Anfrage herausgeben müssen, allerdings gibt es dabei eine Reihe von Ausnahmeregeln.

Golem Karrierewelt
  1. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    20.-23.02.2023, Virtuell
  2. Grundlagen für Virtual Reality mit Unreal Engine: virtueller Drei-Tage-Workshop
    05.-07.12.2022, Virtuell
Weitere IT-Trainings

Zum einen wollten wir vom BSI die Designdokumente für das PEPP-PT-Konzept erhalten. Inzwischen sind viele dieser Dokumente öffentlich verfügbar, aber zum damaligen Zeitpunkt war noch komplett unklar, wie das Konzept im Detail überhaupt aussieht. Zum anderen wollten wir auch die vom BSI beauftragten Sicherheitsaudits erhalten.

Anfrage abgelehnt wegen Urheberrechten und Geschäftsgeheimnissen

Beide Anfragen hat das BSI vor kurzem abgelehnt. "Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kann nicht ausschließen, dass in den gewünschten Informationen Betriebs- und Geschäftsgeheimnisse oder Urheberrechte Dritter enthalten sind", schreibt das BSI dazu.

Arne Semsrott von "Frag den Staat" geht davon aus, dass das BSI die Anfrage nicht so pauschal hätte ablehnen dürfen. "Wenn Urheberrechte oder Betriebs- und Geschäftsgeheimnisse betroffen sind, hätte das BSI die entsprechenden Stellen schwärzen können. Das BSI muss zudem darlegen, warum es selbst der Überzeugung ist, dass solche Rechte vorliegen. Dass ein Dritter das sagt, reicht nicht."

Rechtlich vorgehen werden wir gegen die Entscheidung nicht. Letztendlich hat sich die Bundesregierung entschieden, das zentralisierte Konzept von PEPP-PT nicht umzusetzen. Stattdessen wurde eine App auf Basis des dezentralen Konzepts D3PT, das auch von Google und Apple mit einer API unterstützt wurde, umgesetzt. Daher ist das Interesse an den entsprechenden Sicherheitsaudits nur noch gering.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Neue Studie
Des Klimawandels unumkehrbare Folgen

Wer denkt, dass sich beim Klima alles wieder einrenkt, wenn wir nur langsam unseren Treibhausgas-Ausstoß reduzieren, irrt. Eine neue Studie zeigt: Es muss schnell viel passieren, denn manche Änderungen sind unumkehrbar.
Ein Bericht von Dirk Eidemüller

Neue Studie: Des Klimawandels unumkehrbare Folgen
Artikel
  1. Recruiting: Personalauswahl mit KI kann Unternehmen schaden
    Recruiting
    Personalauswahl mit KI kann Unternehmen schaden

    Software ist objektiv und kennt keine Vorurteile, das macht Künstliche Intelligenz interessant für die Personalauswahl. Ist KI also besser als Personaler? Die Bewerber sind skeptisch und die Wissenschaft liefert keinen Beweis dafür.
    Ein Bericht von Peter Ilg

  2. Dyson Zone: ANC-Kopfhörer mit eingebautem Luftreiniger kommt später
    Dyson Zone
    ANC-Kopfhörer mit eingebautem Luftreiniger kommt später

    Weiterhin hält sich Dyson bedeckt, wenn es um den Preis für den ersten ANC-Kopfhörer des Staubsaugerherstellers namens Zone geht.

  3. Kraftfahrt-Bundesamt: Elektrischer Corsa sollte zur Abgasuntersuchung
    Kraftfahrt-Bundesamt
    Elektrischer Corsa sollte zur Abgasuntersuchung

    Das Kraftfahrt-Bundesamt ruft den Opel Corsa samt der Elektro-Variante zurück, weil ein Softwarefehler im Auto eine Messung verhindert.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bei Amazon bestellbar • Tiefstpreise: Crucial SSD 4TB 319€, Palit RTX 4080 1.499€, HTC Vive Pro 2 659€ • Alternate: Team Group SSD 512GB 29,99€, AOC Curved 27" 240 Hz 199,90€ • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger • AOC Curved 34" WQHD 389€ [Werbung]
    •  /