TÜV: Probleme bei TAN-Generierung entdeckt

Was die Sicherheit der App betrifft, so äußerte sich der Dienstleister TÜV Informationstechnik aus Essen zuletzt positiv. Der dpa sagte TÜV-IT-Chef Dirk Kretzschmar am Samstag, die App werde stabil und sicher laufen, ohne die Anwender auszuspionieren. Das habe eine Prüfung der App im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ergeben.

Stellenmarkt
  1. Projekt- und Produktmanager (m/w/d) Finanzsoftware
    über Jobware Personalberatung, Berlin (Homeoffice)
  2. Softwareentwickler*in (m/w/d) Embedded Systems
    SCHOTT AG, Mitterteich
Detailsuche

Bei der Überprüfung der App habe man unter anderem kontrolliert, ob Unbefugte Daten abgreifen könnten. "Das ist nicht der Fall. Die Anwender müssen keine Angst vor Überwachung haben." Die Entwickler von SAP und T-Systems hätten auch sichergestellt, dass niemand über die App Zugriff auf andere Daten erhalte.

Frühe Versionen der App seien noch instabil gewesen, sagte Kretzschmar. "Die Tester hatten zum Schluss aber ein sehr positives Bild, weil inzwischen alles sehr stabil läuft. Sie waren auch ziemlich begeistert davon, wie schnell und in welcher Qualität die Entwickler auf noch entdeckte Schwachstellen reagiert haben."

Bei dem Prüfprozess habe man sich auch intensiv mit der Frage beschäftigt, wie in der App die Eingabe einer Infektion abgesichert werden solle. Diese erfolgt über einen QR-Code aus dem Testlabor oder mit Hilfe einer TAN, die Betroffene von einer Telefon-Hotline erhalten. Hier sei es zum Beispiel darum gegangen, ein sicheres Verfahren anzuwenden, bei dem die TAN nicht leicht erraten oder die Status-Eingabe durch einen Brute-Force-Anfgriff durch erzwungen werden könne.

Golem Akademie
  1. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    16.–17. Dezember 2021, virtuell
  2. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    , Virtuell
Weitere IT-Trainings

In einem Interview mit Heise.de sagte Kretzschmar, dass der TÜV bei den Tests eine Sicherheitslücke bei der Generierung der TANs entdeckt habe. Denn der Algorithmus, mit dem diese TANs generiert worden seien, sei relativ leicht zu knacken gewesen, so dass sich jeder solche TANs beliebig hätte erstellen können.

Inwieweit dies eine Sicherheitslücke darstellt, ist aber nicht ganz nachvollziehbar. Denn die TANs werden zentral vom Server generiert, freigeschaltet und überprüft. Dazu gibt es einen speziellen Verifikationsserver. Daher hätte die Lücke nur durch einen Brute-Force-Angriff ausgenutzt werden können. Dies wäre jedoch nur möglich, wenn App und Server dies zuließen. Allerdings wurde im Laufe der Entwicklung offenbar entschieden, statt siebenstellige nun zehnstellige TANs vorzuschreiben. Das geht zumindest aus dem auf Github veröffentlichten Code hervor.

Kritik an schneller Entwicklung

Kretzschmar monierte zudem, dass der Starttermin auf Mitte Juni gelegt worden sei. Man hätte sich den 30. Juni "oder besser noch etwas später" als Starttermin gewünscht. Die vom TÜV vorgeschlagene Prüfdauer sei von vier Wochen auf eine Woche gekürzt worden, sagte Kretzschmar Heise.de. Man habe es dann geschafft, eine zweite Woche dranzuhängen. Es bestehe aber weiterhin Nachholbedarf.

Die Entwicklung der Corona-Warn-App durch die Deutsche Telekom und SAP kostete netto 20 Millionen Euro. Für den Betrieb der App sowie für die Bereithaltung mehrsprachiger Telefon-Hotlines werden monatlich etwa 2,5 bis 3,5 Millionen Euro veranschlagt. Dabei hängen die Kosten von der konkreten Inanspruchnahme der Hotlines ab.

Die wichtigsten Details zur App hat Golem.de in einem ausführlichen FAQ zusammengefasst.

Nachtrag vom 15. Juni 2020, 15:02 Uhr

Wir haben die Angaben zur Präsentation der App in den ersten beiden Absätzen ergänzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Bundesregierung: Corona-App soll am Dienstag starten
  1.  
  2. 1
  3. 2


smonkey 16. Jun 2020

Was sind denn das für Arbeitgeber? Jeder halbwegs vernünftige AG wird doch keinen...

treysis 16. Jun 2020

Sideloading... Aber ja, das Problem wurde auf github schon gemeldet.

scrumdideldu 16. Jun 2020

Das stimmt. BISHER! Allerdings hatten (in Deutschland) je nach Schätzung erst 1-4% der...

smonkey 16. Jun 2020

Die Abbildung stammt aus der britischen Studie und bildet die Lebenserwartung der...

smonkey 15. Jun 2020

Ich habe hier noch keine "Popup" und keine "Paywall" gesehen. Und über die politische...



Aktuell auf der Startseite von Golem.de
Encrochat-Hack
"Damit würde man keinen Geschwindigkeitsverstoß verurteilen"

Der Anwalt Johannes Eisenberg hat sich die Daten aus dem Encrochat-Hack genauer angesehen und viel Merkwürdiges entdeckt.
Ein Interview von Moritz Tremmel

Encrochat-Hack: Damit würde man keinen Geschwindigkeitsverstoß verurteilen
Artikel
  1. Pornhub, Youporn, Mydirtyhobby: Gericht bestätigt Zugangsverbot für Pornoportale
    Pornhub, Youporn, Mydirtyhobby
    Gericht bestätigt Zugangsverbot für Pornoportale

    Die Landesmedienanstalt NRW hat zu Recht gegen drei Pornoportale mit Sitz in Zypern ein Zugangsverbot verhängt.

  2. Sony Xperia Pro-I mit herausragender Kamera bei Saturn
     
    Sony Xperia Pro-I mit herausragender Kamera bei Saturn

    Sony bringt mit dem Xperia Pro-I ein neues Top-Smartphone auf den Markt. Wer jetzt vorbestellt, sichert sich zusätzlich ein kostenloses Geschenk.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Luna Display: Mac als zweiter Bildschirm für Windows-Geräte
    Luna Display
    Mac als zweiter Bildschirm für Windows-Geräte

    Der kleine Funkadapter Luna Display kann jetzt in Windows-PCs gesteckt werden, um das Display eines Macs als zweiten Bildschirm nutzen zu können.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gaming-Monitore zu Bestpreisen (u. a. Samsung G9 49" Curved QLED 240Hz 1.149€) • Spiele günstiger: PC, PS5, Xbox, Switch • Zurück in die Zukunft Trilogie 4K 31,97€ • be quiet 750W-PC-Netzteil 87,90€ • Kopfhörer von Beats & Gaming-Stühle zu Bestpreisen [Werbung]
    •  /