TÜV-Prüfung der Corona-App:
TAN-Verfahren ist ein Sicherheitsproblem

Im Auftrag der Bundesregierung untersucht die TÜVit (TÜV Informationstechnik) die Corona-Warn-App auf IT-Sicherheit und die Einhaltung des Datenschutzes. TÜVit ist ein Tochterunternehmen des TÜV Nord, das sich auf IT-Sicherheitsprüfungen spezialisiert hat. Die Corona-App soll am Dienstag, 16. Juni, starten - doch bisher konnte TÜVit noch gar nicht alle Bereiche der App grundlegend prüfen.
In der App gibt es eine ... ... tägliche Risikobewertung

Nicht vollständig geprüft, Sicherheitslücke entdeckt

In einem Gespräch mit dem Online-Magazin Heise verriet der TÜVit-Geschäftsführer Dirk Kretzschmar daher, dass er sich einen Termin Ende Juni oder noch später gewünscht hätte. Hintergrund ist nicht nur, dass der TÜV noch nicht umfangreich geprüft hat, sondern vor allem, dass Kretzschmar in einigen Bereichen noch Nachholbedarf sieht, wie er es diplomatisch ausdrückte.

Bislang hatte die Überprüfung mehrere Probleme offenbart. Ein Problem wurde dabei als "recht schwerwiegend eingestuft", schreibt Heise. Die Sicherheitslücke liegt bei dem TAN-Verfahren, das genutzt wird, um einen positiven SARS-CoV-2-Test in der App einzugeben und zu bestätigen. Der Algorithmus soll zu leicht zu knacken sein, sodass theoretisch TANs selbst erstellt und falsche Ergebnisse bestätigt werden könnten - damit würde man die ganze Arbeit der App ad absurdum führen.

Probleme können gelöst werden

Kretzschmar erläuterte auch weitere Probleme, die sein Team bereits gefunden und gemeldet hat. Inwiefern sie auch schon behoben wurden ist nicht bekannt. Insgesamt ist der TÜV aber zuversichtlich, dass größere Probleme noch vor dem Start oder durch anschließende Updates behoben werden können. Schließlich steht der TÜV im regen Kontakt mit den Entwicklern von SAP und Telekom, um sich schnell zu den Sicherheitslücken auszutauschen.

Coronavirus-Special Alle WinFuture-Meldungen zu Covid-19 Mehr zur deutschen Corona-App: