Original-URL des Artikels: https://www.golem.de/news/bsi-sicherheitstests-von-pepp-pt-bleiben-geheim-2007-149502.html    Veröffentlicht: 07.07.2020 15:15    Kurz-URL: https://glm.io/149502

BSI

Sicherheitstests von PEPP-PT bleiben geheim

Das Bundesamt für Sicherheit in der Informationstechnik will Sicherheitsaudits zur gescheiterten zentralisierten Corona-App nicht herausrücken.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verweigert die Herausgabe von Dokumenten zur Sicherheit des zentralisierten Corona-App-Konzepts von PEPP-PT. Golem.de hatte die Dokumente im April angefragt, als erste Konflikte um die verschiedenen App-Ansätze bekanntwurden. Das zentralisierte Konzept wurde letztendlich nicht umgesetzt, die vor kurzem veröffentlichte Corona-Warn-App basiert auf einem anderen, dezentralen technischen Ansatz.

Ein Rückblick: Im Rahmen des Projekts PEPP-PT wurden im April verschiedene Ansätze zur Umsetzung einer Contact-Tracing-App diskutiert. Einige Wissenschaftler hatten dabei einen dezentralen Ansatz vorgestellt, während der Unternehmer Christoph Boos einen zentralisierten Ansatz verfolgte.

Zunächst kaum Informationen zum zentralen Ansatz

Nach kurzer Zeit kam es zu einem heftigen Streit. Informationen über den dezentralen Ansatz wurden von der Webseite von PEPP-PT entfernt und zunächst sah es so aus, als ob die Bundesregierung sich bereits auf den zentralisierten Ansatz festgelegt hätte. Über den gab es zum damaligen Zeitpunkt aber kaum öffentlich verfügbare Informationen.

Indirekt bekamen wir bei unseren Recherchen mit, dass zu diesem Zeitpunkt das BSI bereits eine Testversion einer App mit dem zentralisierten Konzept testen ließ. Um mehr herauszubekommen, hatten wir daher über die Plattform "Frag den Staat" zwei Anfragen nach dem Informationsfreiheitsgesetz an das BSI gestellt. Dieses Gesetz sieht vor, dass Behörden ihnen vorliegende Dokumente im Normalfall auf Anfrage herausgeben müssen, allerdings gibt es dabei eine Reihe von Ausnahmeregeln.

Zum einen wollten wir vom BSI die Designdokumente für das PEPP-PT-Konzept erhalten. Inzwischen sind viele dieser Dokumente öffentlich verfügbar, aber zum damaligen Zeitpunkt war noch komplett unklar, wie das Konzept im Detail überhaupt aussieht. Zum anderen wollten wir auch die vom BSI beauftragten Sicherheitsaudits erhalten.

Anfrage abgelehnt wegen Urheberrechten und Geschäftsgeheimnissen

Beide Anfragen hat das BSI vor kurzem abgelehnt. "Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kann nicht ausschließen, dass in den gewünschten Informationen Betriebs- und Geschäftsgeheimnisse oder Urheberrechte Dritter enthalten sind", schreibt das BSI dazu.

Arne Semsrott von "Frag den Staat" geht davon aus, dass das BSI die Anfrage nicht so pauschal hätte ablehnen dürfen. "Wenn Urheberrechte oder Betriebs- und Geschäftsgeheimnisse betroffen sind, hätte das BSI die entsprechenden Stellen schwärzen können. Das BSI muss zudem darlegen, warum es selbst der Überzeugung ist, dass solche Rechte vorliegen. Dass ein Dritter das sagt, reicht nicht."

Rechtlich vorgehen werden wir gegen die Entscheidung nicht. Letztendlich hat sich die Bundesregierung entschieden, das zentralisierte Konzept von PEPP-PT nicht umzusetzen. Stattdessen wurde eine App auf Basis des dezentralen Konzepts D3PT, das auch von Google und Apple mit einer API unterstützt wurde, umgesetzt. Daher ist das Interesse an den entsprechenden Sicherheitsaudits nur noch gering.  (hab)


Verwandte Artikel:
Corona-App: Apple gibt Frankreichs Forderungen nicht nach   
(05.05.2020, https://glm.io/148287 )
Foto-Morphing: Regierung macht digitale Passfotos zur Pflicht   
(03.06.2020, https://glm.io/148886 )
Rückwirkend ab Juni: Erhöhte Kaufprämie für Elektroautos tritt in Kraft   
(07.07.2020, https://glm.io/149503 )
Jens Spahn: Bislang 300 Infektionsmeldungen über Corona-Warn-App   
(05.07.2020, https://glm.io/149460 )
Trotz Updates: Tagesanzeige von Corona-App verwirrt Nutzer   
(03.07.2020, https://glm.io/149435 )

© 1997–2020 Golem.de, https://www.golem.de/