• IT-Karriere:
  • Services:

TÜV: Probleme bei TAN-Generierung entdeckt

Was die Sicherheit der App betrifft, so äußerte sich der Dienstleister TÜV Informationstechnik aus Essen zuletzt positiv. Der dpa sagte TÜV-IT-Chef Dirk Kretzschmar am Samstag, die App werde stabil und sicher laufen, ohne die Anwender auszuspionieren. Das habe eine Prüfung der App im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ergeben.

Stellenmarkt
  1. Duravit AG, Hornberg
  2. Hughes Network Systems GmbH, Griesheim

Bei der Überprüfung der App habe man unter anderem kontrolliert, ob Unbefugte Daten abgreifen könnten. "Das ist nicht der Fall. Die Anwender müssen keine Angst vor Überwachung haben." Die Entwickler von SAP und T-Systems hätten auch sichergestellt, dass niemand über die App Zugriff auf andere Daten erhalte.

Frühe Versionen der App seien noch instabil gewesen, sagte Kretzschmar. "Die Tester hatten zum Schluss aber ein sehr positives Bild, weil inzwischen alles sehr stabil läuft. Sie waren auch ziemlich begeistert davon, wie schnell und in welcher Qualität die Entwickler auf noch entdeckte Schwachstellen reagiert haben."

Bei dem Prüfprozess habe man sich auch intensiv mit der Frage beschäftigt, wie in der App die Eingabe einer Infektion abgesichert werden solle. Diese erfolgt über einen QR-Code aus dem Testlabor oder mit Hilfe einer TAN, die Betroffene von einer Telefon-Hotline erhalten. Hier sei es zum Beispiel darum gegangen, ein sicheres Verfahren anzuwenden, bei dem die TAN nicht leicht erraten oder die Status-Eingabe durch einen Brute-Force-Anfgriff durch erzwungen werden könne.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

In einem Interview mit Heise.de sagte Kretzschmar, dass der TÜV bei den Tests eine Sicherheitslücke bei der Generierung der TANs entdeckt habe. Denn der Algorithmus, mit dem diese TANs generiert worden seien, sei relativ leicht zu knacken gewesen, so dass sich jeder solche TANs beliebig hätte erstellen können.

Inwieweit dies eine Sicherheitslücke darstellt, ist aber nicht ganz nachvollziehbar. Denn die TANs werden zentral vom Server generiert, freigeschaltet und überprüft. Dazu gibt es einen speziellen Verifikationsserver. Daher hätte die Lücke nur durch einen Brute-Force-Angriff ausgenutzt werden können. Dies wäre jedoch nur möglich, wenn App und Server dies zuließen. Allerdings wurde im Laufe der Entwicklung offenbar entschieden, statt siebenstellige nun zehnstellige TANs vorzuschreiben. Das geht zumindest aus dem auf Github veröffentlichten Code hervor.

Kritik an schneller Entwicklung

Kretzschmar monierte zudem, dass der Starttermin auf Mitte Juni gelegt worden sei. Man hätte sich den 30. Juni "oder besser noch etwas später" als Starttermin gewünscht. Die vom TÜV vorgeschlagene Prüfdauer sei von vier Wochen auf eine Woche gekürzt worden, sagte Kretzschmar Heise.de. Man habe es dann geschafft, eine zweite Woche dranzuhängen. Es bestehe aber weiterhin Nachholbedarf.

Die Entwicklung der Corona-Warn-App durch die Deutsche Telekom und SAP kostete netto 20 Millionen Euro. Für den Betrieb der App sowie für die Bereithaltung mehrsprachiger Telefon-Hotlines werden monatlich etwa 2,5 bis 3,5 Millionen Euro veranschlagt. Dabei hängen die Kosten von der konkreten Inanspruchnahme der Hotlines ab.

Die wichtigsten Details zur App hat Golem.de in einem ausführlichen FAQ zusammengefasst.

Nachtrag vom 15. Juni 2020, 15:02 Uhr

Wir haben die Angaben zur Präsentation der App in den ersten beiden Absätzen ergänzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Bundesregierung: Corona-App soll am Dienstag starten
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (u. a. Alita - Battle Angel + 3D für 21,99€, Le Mans 66: Gegen jede Chance für 19,99€, Der...
  2. 689€ (Bestpreis)
  3. (u. a. WD Elements 10TB für 169€ (inkl. Direktabzug), Toshiba Canvio 4TB für 79€, Roccat Elo...
  4. (u. a. Darksiders 3 für 11,99€, Dirt Rally 2.0 für 4,50€, We Happy Few für 7,99€)

smonkey 16. Jun 2020

Was sind denn das für Arbeitgeber? Jeder halbwegs vernünftige AG wird doch keinen...

treysis 16. Jun 2020

Sideloading... Aber ja, das Problem wurde auf github schon gemeldet.

scrumdideldu 16. Jun 2020

Das stimmt. BISHER! Allerdings hatten (in Deutschland) je nach Schätzung erst 1-4% der...

smonkey 16. Jun 2020

Die Abbildung stammt aus der britischen Studie und bildet die Lebenserwartung der...

smonkey 15. Jun 2020

Ich habe hier noch keine "Popup" und keine "Paywall" gesehen. Und über die politische...


Folgen Sie uns
       


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /