TÜViT prüft Corona-Warn-App

Smartphone-Nutzerinnen
Smartphone-Nutzerinnen: „Das Vertrauen in der Öffentlichkeit zur Verwendung der App erheblich steigern“ (Foto: © beer5020/123rf.com)

Die IT-Sicherheit und Datenschutz-Einhaltung der Corona-Warn-App, die derzeit von SAP und T-Systems entwickelt wird, soll von unabhängiger Stelle geprüft werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierfür das Unternehmen TÜViT beauftragt.

Durch Lockerungsmaßnahmen gewinnen derzeit das gesellschaftliche Leben und die Wirtschaft wieder an Fahrt. Entstehen aber neue Corona-Infektionsketten, sind Transparenz und Geschwindigkeit die entscheidenden Faktoren, um eine erneute Ausbreitung des Virus lokal einzudämmen.

Viele Länder setzten deshalb auf den Einsatz digitaler Hilfsmittel wie Corona-Apps. In Fachkreisen ist man sich hierbei einig: Nur, wenn diese auch von rund 60 Prozent der Bevölkerung genutzt werden, lässt sich damit eine deutliche Wirkung erzielen. Die Akzeptanz weiter Bevölkerungsteile ist der Schlüssel für einen flächendeckenden Einsatz der App, weiß auch Dirk Kretzschmar, Geschäftsführer der TÜV Informationstechnik GmbH (TÜViT). Genau da setzen die IT-Security-Experten aus Essen an. „Mit einer TÜViT-Prüfung können wir das Vertrauen in der Öffentlichkeit zur Verwendung der App erheblich steigern und darüber hinaus im Gegenzug noch viel mehr Lockerungen ermöglichen“, ist Kretzschmar überzeugt.

Keine Erhebung personenbezogener Daten

Die Anbieter betonen, dass bereits in der App-Entwicklung höchstes Augenmerk auf IT-Sicherheit, Datenschutz und Persönlichkeitsrechte gelegt wird. So werden beispielsweise keine Bewegungsprofile getrackt. Deutschland setzt stattdessen auf einen dezentralen Ansatz mit Tracing per Bluetooth-Technologie. Dabei wird der Abstand zwischen zwei Smartphones gemessen. Sinkt der für gewisse Zeit unter einen kritischen Wert, tauschen beide Geräte einen verschlüsselten Code aus. Erst im Nachgang erfährt ein Nutzer völlig anonym über einen Abgleich ausschließlich auf dem Smartphone, dass er unmittelbaren Kontakt zu einer infizierten Person hatte. Zudem gilt das Prinzip der Freiwilligkeit. Das beginnt schon beim Download der App. Ob Betroffene ihre eigene Infektion melden, entscheiden sie selbst. Wird die App gelöscht, gilt das auch für die Daten. Personenbezogene Informationen werden hingegen gar nicht erst erhoben.

Sorgfältige Prüfung

„Ob diese Anforderungen im Detail auch so umgesetzt wurden, ist Gegenstand unserer Prüftätigkeit“, erklärt Christian Freckmann, Abteilungsleiter Business Security & Privacy bei TÜViT. Um ihn herum analysieren Pentester bereits die ersten gelieferten Quellcodes. Datenschützer prüfen dann zum Beispiel, ob Datenschutzrichtlinien, Einwilligungserklärungen und das Datenschutzkonzept hinlänglich implementiert sind. „Wir haben uns gut vorbereitet und Kapazitäten geblockt. Dennoch sind in den Büros von TÜViT in Essen derzeit Überstunden angesagt“, erläutert Freckmann. Schließlich soll die App so schnell wie möglich verfügbar sein. Ohne die gebotene Sorgfalt geht das jedoch nicht.