Faktencheck: Corona-Warn-App soll heimlich Kontakte auf dem Smartphone auslesen

Lesedauer: 7 Min
Faktencheck
Chef vom Dienst Digital / stellv. Leiter Digitalredaktion

In Internet-Foren sowie Sozialen Medien wird vor der App gewarnt. Und auch ein Zeitungsartikel sorgt für Aufregung. Aber ist die tatsächlich berechtigt?

BEHAUPTUNG:

Ein aktuell kursierendes Gerücht besagt, die neue Corona-Warn-App der Bundesregierung würde das persönliche Adressbuch auf dem Smartphone ausspionieren und die Kontakte abgreifen.

FAKTENLAGE: Das Gerücht basiert auf Falschinformationen. Es handelt sich bei der Anwendung um eine sogenannte "Tracing-App", mit der nachträglich mögliche Infektionsketten zurückverfolgt werden können.

Es ist ausdrücklich keine sogenannte "Tracking-App", mit der personenbezogene Daten wie etwa der Aufenthaltsort oder persönliche Kontaktdaten abgerufen werden. Zudem hat sich die Bundesregierung nach anfänglicher Debatte für eine dezentrale Lösung entschieden.

Auch der Besitzer des Smartphones selbst bleibt anonym. Daten werden nicht zentral auf dem Server einer Behörde gespeichert, sondern dezentral auf jedem einzelnen Handy. Dabei handelt es sich um kryptische Zahlencodes, die nur dann zur Anwendung kommen, wenn der Abgleich mit einer infizierten Person erforderlich wird.

Doch auch hier bleiben alle Daten - auch die der infizierten Person - unter den App-Nutzern unbekannt. Ein Abgleich dient allein dem Ziel, im Falle eines erhöhten Infektionsrisikos durch unbewussten Kontakt mit einem Covid-19-infizierten Menschen für sich entsprechende Maßnahmen zu ergreifen.

Experten konnten Quellcode einsehen

Die entwickelnden Firmen T-Systems und SAP haben mit der Veröffentlichung des Quellcodes auf der Plattform GitHub für größtmögliche Transparenz gesorgt und dabei quasi das Innere der App nach außen gestülpt. Dadurch konnten IT-Experten die App auf ihre Sicherheit und auch datenschutzrechtliche Bedenken hin durchleuchten. 

Bei der Überprüfung der App habe man kontrolliert, ob Unbefugte Daten abgreifen könnten, erklärte etwa der IT-Dienstleisters TÜV Informationstechnik. "Das ist nicht der Fall. Die Anwender müssen keine Angst vor Überwachung haben." Es sei sichergestellt, dass niemand über die App Zugriff auf andere Daten bekomme. Ähnlich positive Signale kamen vom Verbraucherzentrale Bundesverband und dem Datenschutzbeauftragten der Bundesregierung, Ulrich Kelber.

Diese transparente Vorgehensweise stärke das Vertrauen in die App, da öffentlich nachgeprüft werden könne, ob der dezentrale Ansatz wie versprochen umgesetzt wird, bestätigt Informatikprofessor Frank Kargl vom Institut für Verteilte Systeme der Universität Ulm im Gespräch mit Schwäbische.de. "Das bedeutet, dass mit den erhobenen Daten nichts anderes gemacht wird, als Corona-Kontakte nachzuverfolgen."

FAZ-Artikel sorgt für Aufregung

Dennoch kursieren im Internet weiterhin Meldungen über Sicherheitslücken bei der App. Dabei hatte vor allem ein FAZ-Artikel für Aufsehen gesorgt, in dem unterstellt wurde, dass sich mit der App Bewegungsprofile erstellen und sogar Infizierte identifizieren lassen würden. Auf diese angebliche Sicherheitslücke hatten aber sogar ursprüngliche App-Kritiker wie der "Chaos Computer Club" mit Kopfschütteln reagiert.

So betonte CCC-Sprecher Linus Neumann in einem Video-Chat mit dem Fachmagazin "Chip" und FOCUS ONLINE, dass diese Hinweise nicht neu und auch bei der Entwicklung der App bekannt gewesen seien. Allerdings sei der technische Aufwand dafür exorbitant hoch und stünde somit für potenzielle Hacker in keinem Verhältnis zu dem überschaubaren Nutzen, den ein solcher Angriff mit sich bringen würde.

CCC-Sprecher: Mangelnde Fachkompetenz

Neumann verglich den FAZ-Artikel mit der "BILD"-Kampagne gegen den Virologen Christian Drosten, bei der sich "ein großes Medium in eine Diskussion unter Virologen eingemischt, aber nicht verstanden hat, worüber diese Virologen da gerade sprechen". Die FAZ, so Neumann, sei "jetzt auch kein Fachmedium im Bereich der IT-Sicherheit". Die FAZ habe lediglich aus einem Forschungspapier zitiert, in dem "Angriffsszenarien akademischer Natur demonstriert werden". 

Diese Szenarien seien auch in Fachkreisen diskutiert worden und bekannt gewesen. Neumann schildert, was technisch dazu nötig wäre und nennt dabei ein weltumspannendes Netz an Bluetooth-Empfängern auf engen Räumen sowie die Möglichkeit, Personen etwa per Gesichtserkennung oder Kreditkartennutzung zweifelsfrei identifizieren zu können - Daten, die mitunter erst auf einem Schwarzen Markt teuer eingekauft werden müssten. Und auch dann könnten in einem äußerst theoretischen Fall nur jene identifiziert werden, die sich über die App als infiziert melden würden.

"Hier steht ein relativ großer technischer Aufwand einem relativ schmalen Erkenntnisgewinn gegenüber", so Neumann. Dass dies für Hacker so unattraktiv sei, liege an der dezentralen Struktur der App, für die es selbst aus kritischen Kreisen Lob gegeben hatte. In einem anderen kolportierten Szenario, erläutert Neumann, könnten Hacker ebenfalls nur mit einem extrem hohen technischen Aufwand für Fehlalarme sorgen, ähnlich einem Böse-Buben-Streich. Und selbst für den Fall, dass Hacker tatsächlich einen solchen Angriff versuchen würden, bliebe der Schaden für die Betroffenen "in einem äußerst überschaubaren Rahmen".

Mehr Inhalte zum Dossier

Die Kommentarfunktion ist für Sie aktuell gesperrt. Bitte wenden Sie sich an unseren Kundenservice für weitere Infos.
Ihr Kommentar wird nach einer kurzen Prüfung durch unsere Redaktion veröffentlicht.
Kommentare werden geladen