Vielerorts analysieren Forscher das Angebot an Corona-Warn-Apps. In der Schweiz dient die Applikation SwissCovid zur Nachverfolgung von potenziellen Kontakten mit infizierten Personen. Die Kritik, die schon von Anfang an bestand, wird nun offenbar immer lauter. Neben IT-Security-Risiken stellt sich die Frage, ob unsere Corona-App überhaupt wirklich den gewünschten Erfolg erzielt.
Konzept von SwissCovid mehrfach geändert
Ursprünglich basierte die SwissCovid App auf dem Ansatz “PEPP-PT”. Hierbei sorgt ein zentraler Server dafür, dass die gesammelten Daten anonymisiert und ausgetauscht werden. Diesbezüglich bestand grosse Uneinigkeit unter den Kantonen: gerade aufgrund der Wahl eines zentralen Systems sprangen einige Projektteilnehmer vorzeitig ab.
Wenn es aber um eine wirksame Lösung einer Contact-Tracing-App geht, ist ein gemeinsamer Nenner unabdingbar. Daher einigten sich die Teilnehmer einige Zeit später auf eine dezentrale Lösung. SwissCovid basiert auf dem sogenannten DP-3T-Konzept.
Dieses “neue” Konzept setzt auf die von Google sowie Apple zur Verfügung gestellten Programmierschnittstellen (APIs).
Google/Apple-API angeblich unsicher
Die verfügbaren Corona-Warn-Apps stehen international auf dem Prüfstand, also nicht nur hierzulande. Während nahezu alle Lösungen so ihre Eigenarten aufweisen, dreht sich ein Grossteil der Kritik meist um den Datenschutz. Und das, obwohl die mittels Bluetooth übertragenen Daten extra anonymisiert werden.
Allerdings gibt es auch heftige Kritik in Belangen der allgemeinen IT-Sicherheit. So fanden kanadische Forscher heraus, dass es theoretisch möglich ist, über die APIs von Google und Apple Schadcode in die Corona-Apps einzuschleusen. Davon wäre also auch unsere SwissCovid Lösung potenziell betroffen.
Besonders die Datenübertragung via Bluetooth-Signalen ist immer wieder Ausgangslage für neue Diskussionen.
Bluetooth nicht so genau wie gedacht?
Schauen wir uns dazu einmal die Definition von Bluetooth an: dabei handelt es sich um den aktuellen Industriestandard für die Datenübertragung mittels Funktechnik. Die Übertragung funktioniert jedoch gemäss Definition nur auf kurze Distanz. Allein diese Umschreibung beherbergt einigen Spielraum für unterschiedliche Interpretationen – wie gross ist “kurz” genau?
Allgemein heisst es, dass Corona-Warn-Apps wie SwissCovid die Bluetooth-Signale von anderen Smartphones auf bis zu zwei Meter erfassen. Forscher widerlegten diese allgemeingültige Definition jedoch dahingehend, dass die Technologie im Grunde gar nicht wirklich in der Lage ist, den exakten Abstand zwischen Geräten zu messen. Vielmehr sei dies eine reine Schätzung.
Und wie es in technischen Innovationen leider oft der Fall ist, hat Bluetooth noch ein paar andere Schwachstellen. Sogenannte Bluetooth-Sniffer dienen eigentlich dazu, Entwicklern Erkenntnisse für Problemlösungen und Fehlerbehebungen zu verschaffen. Doch auch Kriminelle nutzen diese Programme aus. Sie ermöglichen es, empfangene Signale (also Bewegungen von Personen) nachzuverfolgen und sogar zu rekonstruieren. Dies dient nicht nur zur Aufhebung der Anonymisierung, sondern eben auch zur schädlichen Vervielfältigung falscher Signale. Die eigentlichen Empfänger der Corona-Auswertungen erkennen dann nicht mehr, wann es sich um echte Infektionsketten handelt.
SwissCovid: Fehlinvestition oder Erfolg?
Mit dieser Frage beschäftigten wir uns bereits in einem vergangenen Artikel “Corona-App – Top oder Flop?”. Bewegen wir uns einmal weg von all der Kritik rund um Sicherheitsfragen und den Datenschutz, scheint SwissCovid unter den Verbrauchern jedenfalls gut anzukommen. Die Auswertung auf Statista zeigt, dass bereits einen Tag nach Release der App über 100.000 aktive Nutzer registriert waren. Stand 22.10.2020 waren es sogar sage und schreibe 1.8 Millionen Anwender.
Davon abgesehen waren alle Erkenntnisse der Forscher (grösstenteils Technische Universität Darmstadt, Deutschland, in Zusammenarbeit mit System Security Lab) eher aufgestellte Theorien. Ein Datenmissbrauch von Bluetooth-Signalen ist theoretisch möglich. In der Praxis nachgewiesen wurden derlei Fälle hingegen bis dato nicht.
Im gleichen Zug geben die Urheber der Studie ausserdem zu, dass die SwissCovid App im Vergleich mit anderen Corona-Tracing-Apps recht günstig in der Entwicklung war.
Viele aktive Nutzer: Check. Kosten-Nutzer-Faktor erfüllt: Check. Das einzige Hemmnis für SwissCovid bildet scheinbar allein die Tatsache, dass Daten zwischen Ämtern vorrangig via Email ausgetauscht werden. Das zeigte eine Nachfrage bei den Direktionen für Gesundheit der einzelnen Kantone. Der Umstand erschwert nicht nur den Datenaustausch in Echtzeit, sondern auch die letztliche Auswertung der SwissCovid Ergebnisse.