Bundesregierung: Corona-App soll am Dienstag starten
Die Corona-Warn-App der Bundesregierung soll am Dienstag vorgestellt werden. Nach Angaben der Nachrichtenagentur dpa dürfte die App bereits am Montagabend in den App-Stores von Google und Apple zum Herunterladen bereitstehen. Letzte Tests seien positiv verlaufen, hieß es weiter. Dem Bericht zufolge soll die App am Dienstagvormittag von Gesundheitsminister Jens Spahn (CDU), Innenminister Horst Seehofer (CSU), Verbraucherschutzministerin Christine Lambrecht (SPD), Digitalstaatsministerin Dorothee Bär (CSU) und Kanzleramtschef Helge Braun (CDU) vorgestellt werden.
An der Präsentation sollen zudem der Chef der Deutschen Telekom, Timotheus Höttges, und der CTO von SAP, Jürgen Müller, teilnehmen. Beide Firmen haben die App in den vergangenen Wochen für eine Summe von 20 Millionen Euro entwickelt . Der Präsident des Robert-Koch-Instituts, Lothar Wieler, ist ebenfalls anwesend.
Die Warn-App ist dazu gedacht, die Ausbreitung des Sars-Cov-2-Virus einzudämmen. Sie nutzt das Prinzip der Kontaktverfolgung (Proximity Tracing), um bei einem Kontakt mit einer mit dem Virus infizierten Person zu warnen. Über den Standard Bluetooth Low Energy (BLE) tauschen Smartphones temporäre Identifikationsnummern (IDs) mit anderen Geräten aus. Die entsprechende Schnittstelle stellten Google und Apple den Entwicklern zur Verfügung .
Zu spät beauftragt?
Kanzleramtschef Braun räumte Versäumnisse bei der Entwicklung der App ein. "Aus heutiger Sicht hätten wir die Entscheidung, die Unternehmen mit der technischen Umsetzung der Corona-App zu betrauen, zehn Tage früher treffen sollen" , sagte der CDU-Politiker der Welt am Sonntag. Die Entscheidung für die beiden Firmen war Ende April gefallen .
Bei der App wurde ein mehrstufiges Datenschutzkonzept umgesetzt. Der Bundesdatenschutzbeauftragte, Ulrich Kelber, lobte die App. "Was vorliegt, macht insgesamt einen soliden Eindruck" , sagte er der Saarbrücker Zeitung und fügte hinzu: "Mir ist besonders wichtig, dass die relevanten Dokumente zum Datenschutz, insbesondere die Datenschutzfolgeabschätzung, zum Start der App fertig sind." Sie sollten ab dem ersten Tag öffentlich sein, um in der Bevölkerung Vertrauen und Akzeptanz zu schaffen, sagte Kelber.
Die Entwickler der Corona-Warn-App sind nach ausführlichen Tests zuversichtlich, dass die geplante Entfernungsmessung per Bluetooth-Funk auch im Alltag funktionieren wird. "Inzwischen sind wir überzeugt, dass wir eine gute Lösung haben, mit der man starten kann - auch wenn wir wissen, dass sie nicht perfekt ist" , sagte SAP-Manager Müller.
Getestet wurde die App unter anderem vom TÜV.
TÜV: Probleme bei TAN-Generierung entdeckt
Was die Sicherheit der App betrifft, so äußerte sich der Dienstleister TÜV Informationstechnik aus Essen zuletzt positiv. Der dpa sagte TÜV-IT-Chef Dirk Kretzschmar am Samstag, die App werde stabil und sicher laufen, ohne die Anwender auszuspionieren. Das habe eine Prüfung der App im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ergeben.
Bei der Überprüfung der App habe man unter anderem kontrolliert, ob Unbefugte Daten abgreifen könnten. "Das ist nicht der Fall. Die Anwender müssen keine Angst vor Überwachung haben." Die Entwickler von SAP und T-Systems hätten auch sichergestellt, dass niemand über die App Zugriff auf andere Daten erhalte.
Frühe Versionen der App seien noch instabil gewesen, sagte Kretzschmar. "Die Tester hatten zum Schluss aber ein sehr positives Bild, weil inzwischen alles sehr stabil läuft. Sie waren auch ziemlich begeistert davon, wie schnell und in welcher Qualität die Entwickler auf noch entdeckte Schwachstellen reagiert haben."
Bei dem Prüfprozess habe man sich auch intensiv mit der Frage beschäftigt, wie in der App die Eingabe einer Infektion abgesichert werden solle. Diese erfolgt über einen QR-Code aus dem Testlabor oder mit Hilfe einer TAN, die Betroffene von einer Telefon-Hotline erhalten. Hier sei es zum Beispiel darum gegangen, ein sicheres Verfahren anzuwenden, bei dem die TAN nicht leicht erraten oder die Status-Eingabe durch einen Brute-Force-Anfgriff durch erzwungen werden könne.
In einem Interview mit Heise.de(öffnet im neuen Fenster) sagte Kretzschmar, dass der TÜV bei den Tests eine Sicherheitslücke bei der Generierung der TANs entdeckt habe. Denn der Algorithmus, mit dem diese TANs generiert worden seien, sei relativ leicht zu knacken gewesen, so dass sich jeder solche TANs beliebig hätte erstellen können.
Inwieweit dies eine Sicherheitslücke darstellt, ist aber nicht ganz nachvollziehbar. Denn die TANs werden zentral vom Server generiert, freigeschaltet und überprüft. Dazu gibt es einen speziellen Verifikationsserver(öffnet im neuen Fenster) . Daher hätte die Lücke nur durch einen Brute-Force-Angriff ausgenutzt werden können. Dies wäre jedoch nur möglich, wenn App und Server dies zuließen. Allerdings wurde im Laufe der Entwicklung offenbar entschieden, statt siebenstellige nun zehnstellige TANs vorzuschreiben. Das geht zumindest aus dem auf Github veröffentlichten Code(öffnet im neuen Fenster) hervor.
Kritik an schneller Entwicklung
Kretzschmar monierte zudem, dass der Starttermin auf Mitte Juni gelegt worden sei. Man hätte sich den 30. Juni "oder besser noch etwas später" als Starttermin gewünscht. Die vom TÜV vorgeschlagene Prüfdauer sei von vier Wochen auf eine Woche gekürzt worden, sagte Kretzschmar Heise.de. Man habe es dann geschafft, eine zweite Woche dranzuhängen. Es bestehe aber weiterhin Nachholbedarf.
Die Entwicklung der Corona-Warn-App durch die Deutsche Telekom und SAP kostete netto 20 Millionen Euro. Für den Betrieb der App sowie für die Bereithaltung mehrsprachiger Telefon-Hotlines werden monatlich etwa 2,5 bis 3,5 Millionen Euro veranschlagt. Dabei hängen die Kosten von der konkreten Inanspruchnahme der Hotlines ab.
Die wichtigsten Details zur App hat Golem.de in einem ausführlichen FAQ zusammengefasst.
Nachtrag vom 15. Juni 2020, 15:02 Uhr
Wir haben die Angaben zur Präsentation der App in den ersten beiden Absätzen ergänzt.