• IT-Karriere:
  • Services:

TÜV: Probleme bei TAN-Generierung entdeckt

Was die Sicherheit der App betrifft, so äußerte sich der Dienstleister TÜV Informationstechnik aus Essen zuletzt positiv. Der dpa sagte TÜV-IT-Chef Dirk Kretzschmar am Samstag, die App werde stabil und sicher laufen, ohne die Anwender auszuspionieren. Das habe eine Prüfung der App im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ergeben.

Stellenmarkt
  1. Versicherungskammer Bayern, München
  2. Insight Health GmbH & Co. KG, Waldems

Bei der Überprüfung der App habe man unter anderem kontrolliert, ob Unbefugte Daten abgreifen könnten. "Das ist nicht der Fall. Die Anwender müssen keine Angst vor Überwachung haben." Die Entwickler von SAP und T-Systems hätten auch sichergestellt, dass niemand über die App Zugriff auf andere Daten erhalte.

Frühe Versionen der App seien noch instabil gewesen, sagte Kretzschmar. "Die Tester hatten zum Schluss aber ein sehr positives Bild, weil inzwischen alles sehr stabil läuft. Sie waren auch ziemlich begeistert davon, wie schnell und in welcher Qualität die Entwickler auf noch entdeckte Schwachstellen reagiert haben."

Bei dem Prüfprozess habe man sich auch intensiv mit der Frage beschäftigt, wie in der App die Eingabe einer Infektion abgesichert werden solle. Diese erfolgt über einen QR-Code aus dem Testlabor oder mit Hilfe einer TAN, die Betroffene von einer Telefon-Hotline erhalten. Hier sei es zum Beispiel darum gegangen, ein sicheres Verfahren anzuwenden, bei dem die TAN nicht leicht erraten oder die Status-Eingabe durch einen Brute-Force-Anfgriff durch erzwungen werden könne.

In einem Interview mit Heise.de sagte Kretzschmar, dass der TÜV bei den Tests eine Sicherheitslücke bei der Generierung der TANs entdeckt habe. Denn der Algorithmus, mit dem diese TANs generiert worden seien, sei relativ leicht zu knacken gewesen, so dass sich jeder solche TANs beliebig hätte erstellen können.

Inwieweit dies eine Sicherheitslücke darstellt, ist aber nicht ganz nachvollziehbar. Denn die TANs werden zentral vom Server generiert, freigeschaltet und überprüft. Dazu gibt es einen speziellen Verifikationsserver. Daher hätte die Lücke nur durch einen Brute-Force-Angriff ausgenutzt werden können. Dies wäre jedoch nur möglich, wenn App und Server dies zuließen. Allerdings wurde im Laufe der Entwicklung offenbar entschieden, statt siebenstellige nun zehnstellige TANs vorzuschreiben. Das geht zumindest aus dem auf Github veröffentlichten Code hervor.

Kritik an schneller Entwicklung

Kretzschmar monierte zudem, dass der Starttermin auf Mitte Juni gelegt worden sei. Man hätte sich den 30. Juni "oder besser noch etwas später" als Starttermin gewünscht. Die vom TÜV vorgeschlagene Prüfdauer sei von vier Wochen auf eine Woche gekürzt worden, sagte Kretzschmar Heise.de. Man habe es dann geschafft, eine zweite Woche dranzuhängen. Es bestehe aber weiterhin Nachholbedarf.

Die Entwicklung der Corona-Warn-App durch die Deutsche Telekom und SAP kostete netto 20 Millionen Euro. Für den Betrieb der App sowie für die Bereithaltung mehrsprachiger Telefon-Hotlines werden monatlich etwa 2,5 bis 3,5 Millionen Euro veranschlagt. Dabei hängen die Kosten von der konkreten Inanspruchnahme der Hotlines ab.

Die wichtigsten Details zur App hat Golem.de in einem ausführlichen FAQ zusammengefasst.

Nachtrag vom 15. Juni 2020, 15:02 Uhr

Wir haben die Angaben zur Präsentation der App in den ersten beiden Absätzen ergänzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Bundesregierung: Corona-App soll am Dienstag starten
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. 86,80€ inkl. Versand mit Gutschein: NBBBW3KINGSTON
  2. (u. a. ASUS ROG Strix XG43VQ für 799€, ASUS VG255H für 139,90€ und Thermaltake View 21...
  3. (Bis zu 40 Prozent auf ausgewählte Notebooks, Monitore, PCs, Hardware, Smartphones, Zubehör und...
  4. (u. a. Samsung Galaxy Watch Active 2 Under Armour Edition 44 mm Schwarz für 179,34€ und 40 mm...

smonkey 16. Jun 2020

Was sind denn das für Arbeitgeber? Jeder halbwegs vernünftige AG wird doch keinen...

treysis 16. Jun 2020

Sideloading... Aber ja, das Problem wurde auf github schon gemeldet.

scrumdideldu 16. Jun 2020

Das stimmt. BISHER! Allerdings hatten (in Deutschland) je nach Schätzung erst 1-4% der...

smonkey 16. Jun 2020

Die Abbildung stammt aus der britischen Studie und bildet die Lebenserwartung der...

smonkey 15. Jun 2020

Ich habe hier noch keine "Popup" und keine "Paywall" gesehen. Und über die politische...


Folgen Sie uns
       


Playstation 5: Sony macht das Rennen
Playstation 5
Sony macht das Rennen

Die Playstation 5 liegt preislich zwischen Xbox Series S und Xbox Series X. So schlägt Sony zwei Microsoft-Konsolen mit einer eigenen.
Ein IMHO von Marc Sauter

  1. Sony Weitere Playstation 5 für Vorbesteller angekündigt
  2. Spielekonsole Playstation 5 ist nicht zu älteren Spielen kompatibel
  3. Hogwarts Legacy Potter-Solo-RPG und Final Fantasy 16 angekündigt

Java 15: Sealed Classes - Code-Smell oder moderne Erweiterung?
Java 15
Sealed Classes - Code-Smell oder moderne Erweiterung?

Was bringt das Preview Feature aus Java 15, wie wird es benutzt und bricht das nicht das Prinzip der Kapselung?
Eine Analyse von Boris Mayer

  1. Java JDK 15 geht mit neuen Features in die General Availability
  2. Java Nicht die Bohne veraltet
  3. JDK Oracle will "Schmerzen" von Java beheben

Beoplay H95 im Test: Toller Klang, aber für 800 Euro zu schwache ANC-Leistung
Beoplay H95 im Test
Toller Klang, aber für 800 Euro zu schwache ANC-Leistung

Der Beoplay H95 ist ein ANC-Kopfhörer mit einem tollen Klang. Aber wer dafür viel Geld ausgibt, muss sich mit einigen Kompromissen abfinden.
Ein Test von Ingo Pakalski


      •  /