ICS-Security-Talk: Corona-Warn-App, Experteneinschätzung

Corona-Warn-App: Installieren Ja/Nein? Ist die App sicher, welche Risiken bestehen? Martin Zappe, Business Unit Manager bei der ICS GmbH gibt einen Überblick!

00:00hallo und herzlich willkommen tsum ics

00:03security corp

00:04heute habe ich mir mal das thema corona (Anbieter)

00:07vanek vorgenommen weil es kursieren

00:09viele gerüchte viele fragen in den

00:11medien und das möchte ein bisschen

00:12aufklärung habe noch ein wenig

00:14recherchiert weil ich mich selbst die

00:15frage gestellt habe installiere ich denn

00:17jetzt die app ja oder nein

00:19kommen wir also mal direkt ans

00:21eingemachte die uni marburg hat mir ein

00:26forschungskonsortium mit der tu

00:28darmstadt und der uni würzburg einen

00:31eher kritischen artikel verfasst auf den

00:34ich gleich noch zu sprechen komme aber

00:36sie haben ein statement gesetzt und

00:37sagen eine kontakt hält nachverfolgung

00:40 sap (Anbieter) auf mobilen geräten verspricht die

00:42möglichkeit den manuellen aufwand zur

00:44infizierung von infektions kreisläufen

00:47ewig zu reduzieren und die abdeckung der

00:49kontakt nach verfolgung zu erhöhen

00:51was sollen wir jetzt also als mündige

00:54bürger tun sollen wir so in einem

00:55installieren oder nicht ist das

00:57überhaupt sichern

00:58wir schätzen dann datenschutzbeauftragte

01:02persönlichkeiten die dort vielleicht

01:04besser bescheid wissen die situation ein

01:08und ich muss gestehen ja nicht mit der

01:10frage anfangs auch erstmal wirklich

01:11schwer getan

01:12deswegen habe ich jetzt also hier mal

01:15diese recherche gemacht und kann euch da

01:17die ergebnisse heute vorstellen ist also

01:22die frage instaload ins all dazu gucken

01:27uns mal 23 statements an die ich

01:30gefunden habe und recherchiert habe dazu

01:34zum beispiel der datenschutzbeauftragte

01:37der bundesdatenschutzbeauftragte

01:39er sagt bei der dabei der cola war app

01:42ist der schutz ausreichend

01:44und das ist jetzt bitte nicht im sinne

01:46von schulnoten system zu verstehen

01:48sondern im sinne einer

01:50wissenschaftlichen bewertung ausreichend

01:52ja es ist sicher ich kann das anwenden

01:56es spricht also keine wunder dagegen

01:58warum diese app nicht angewendet werden

02:02sollten hat im prozess auch durch

02:03gericht begleitet

02:04ja

02:06weil wenn man schaut mal ganz gerne auch

02:09mal auf den chaos computer club auch der

02:11tituliert und lobt sogar die die korona

02:16apple sondern fast schon huldigung auch

02:19hier könnt ihr gerne nachlesen

02:21die linke liste zeige ich euch später

02:25noch wir die dann findet und und

02:27bekommen könnte und noch eine dritte

02:30quelle die ich euch zeigen möchte dass

02:31es heise de die haben also hier fragen

02:35und antworten zu der korona vanek

02:37zusammengefasst und das in meinen augen

02:40sehr gut dargestellt ist eine sehr gute

02:41informationsquellen kann ich euch also

02:43nur empfehlen dort einmal reinzuschauen

02:46ok also was tun wir denn jetzt wollen

02:49wir es installieren wo man es nicht

02:50installieren

02:51letztendlich ist die ist die kubaner nur

02:55ein baustein in der pandemie bekämpfung

02:58sie basiert auf einem kürzlich

03:00entwickelten interface von google und

03:02apple kürzlich heißt jetzt wirklich

03:05unmittelbar das ist auch der hintergrund

03:06warum die app nicht auf auf älteren

03:10geräten läuft weil eben die aktuellen

03:13betriebssystemen gebraucht werden die

03:18diese schnittstelle zur verfügung

03:19stellen was die funktion angeht der app

03:23ist die eigentlich beliebig langweilig

03:27wenn man sie erst mal gestartet hat muss

03:29man einen onboarding prozess durchlaufen

03:31und abschließen oder den zugriff

03:34gewähren das benutzt werden kann und es

03:37nicht weiter viel zu erwarten was ihr

03:39aber auch richtig ist dann so soll im

03:40alltag ja nicht stören

03:42in dem kontext kommt immer auch die

03:44frage auf was muss ich denn da

03:47einschalten und was wird er gebraucht

03:48und da sind wir beim thema bluetooth (Anbieter) die

03:52app braucht eine bluetooth-verbindung

03:54und sie nutzt hier bluetooth low energy

03:58dort gibt es im markt auch mal wieder

04:01diskussionen man sollte besser nicht

04:02dauerhaft angestellt lassen weil das

04:05weil er sicherheitslücken gibt

04:08ich habe jetzt recherchiert und auch

04:11letzte woche noch an der session mit der

04:13bitkom teilgenommen

04:14oder gibts also ein ganz klares

04:15statement ja dieses risiko ist nach

04:17wie vor noch existent aber es ist ein

04:20vertretbares risiko als vertretbares

04:23risiko eingestuft weil der darauf

04:26basierende angriff letztlich so viel

04:29besondere bedingungen bedarf so dass man

04:33dieses risiko also eingehen kann also

04:35seine vertretbares risiko es spielt also

04:37nichts dagegen bluetooth an zu lassen

04:40dann komme auch schnell zu dem thema wie

04:44ist das denn mit dem stromverbrauch mit

04:47dem akku verbrauch ja und wie ist der

04:52stromhunger der app ein einzuschätzen

04:54und da hat also die die computerbild

04:58eine versuchsreihe durchgeführt und

05:01nutzer befragt und selber auch getestet

05:02an zwei identischen handys das ist habe

05:05ich euch hier mal mitgebracht

05:06ich bin jetzt hier nur die nutzer

05:08berichte ein und da wird also ganz klar

05:10festgestellt dass also der zusätzliche

05:13energieverbrauch durchaus im

05:14vertretbaren rahmen sich abspielt und

05:18die sache hier die pandemie zu bekämpfen

05:20und so unterstützen sollte das

05:22eigentlich wert sein

05:23mehr informationen findet ihr dort in

05:25dem in dem in dem artikel mehrverbrauch

05:29zwischen 1 bis 10

05:31das ist unterschiedlich vom handy wie

05:33das wie das agiert und so weiter also

05:36das ist wirklich vertretbar und nichts

05:39und nicht so schwierig die frage die uns

05:44dann auch immer wieder

05:46letztendlich beschäftigt was wird denn

05:51aufgezeichnet und ich muss ich mal ganz

05:53deutlich sagen es werden keinerlei

05:57standort daten aufgezeichnet oder auch

05:59nicht gespeichert

06:01es werden auch keine app daten von

06:04google oder apple gespeichert weil dir

06:07die schnittstelle entwickelt haben das

06:09ist vollkommener quatsch

06:10wir haben die schnittstelle entwickelt

06:13stellen die schnittstelle zur verfügung

06:15und die schnittstelle wird genutzt

06:17von der app die durch ein konsortium das

06:20ist das erste grosse durch

06:22bundesregierung finanzierte

06:25open-source-projekt ihr entsprechend

06:28entwickelt und der betreiber dieser app

06:32ist das robert koch institut und das

06:34robert-koch-institut wiederum ist dafür

06:37verantwortlich dass es die hoheiten hat

06:41über die daten über die server (Hersteller) die

06:44server stehen nicht irgendwo im ausland

06:46die stehen in europa deutschland und die

06:50darauf abgelegten daten werden so wie

06:52robert koch institut und entsprechende

06:53prozesse drumherum entsprechend

06:55abgesichert

06:56in dem kontext dann auch noch mal

06:58beleuchtet die frage warum muss man

07:00eigentlich den den standort freie gehen

07:02viele verbinden damit in dieser stadt

07:04habe das jetzt unmittelbar getrackt

07:06werden kann und das ist tatsächlich für

07:08eine vielzahl der apps (Anbieter) wo das

07:09angefordert wird auch richtig im falle

07:12der korona wanne ist das überhaupt nicht

07:14richtig denn es ist darin begründet dass

07:17es einen sogenannten master locations in

07:20den handys gibt und in diesem maße

07:23location switch ist vereins gps und

07:28bluetooth das heißt ich muss diesen

07:29stellen also die freigabe des standorts

07:32damit bluetooth laufen können

07:33die gründer waren es stellt aber sicher

07:36dass weder gps daten aufgezeichnet

07:38werden noch weitergegeben werden

07:40auch nicht abgefragt werden darüber

07:43hinaus gibt es technische verträge mit

07:45den app entwicklern die dies

07:48entsprechend auch verhindern und ganz

07:50wichtig das gilt nur für die korona

07:53wanne für jede andere app die eine

07:55standort freigabe erfordert oder

07:58verlangt müsst ihr davon ausgehen im

08:01serie informationssicherheits er vernes

08:03dass ihr geprägt werde dass diese daten

08:05aufgezeichnet werden dass die daten

08:06benutzt werden in dem kontext müssen wir

08:12auch mal darüber sprechen dass also auch

08:14dass es auch kritische stimmen gibt ich

08:16habe das eingangs schon erwähnt gehabt

08:18ich bin jetzt hier mal den artikel von

08:20der von der uni marburg ein

08:23hier kommt also sie stellen ganz klar

08:26fest die korona vanek hat tatsächlich

08:29auch defizite in der sicherheit (Anbieter) und

08:31 datenschutz (Anbieter)

08:33die auf angriffe in dem vorgenannten gap

08:37also google apple

08:38protokoll sein ursprung haben und da ist

08:42natürlich zu hoffen dass da entsprechend

08:44nachgebessert wird ist aber kein grund

08:47für die entsprechenden stellen die jetzt

08:49hier auch schon gesucht habe und auch

08:50mal meine was meine recherchen

08:52dargestellt haben

08:52dass man deswegen die app blockieren

08:55oder eben boykottieren müsste ja also es

08:59da also denke ich wichtig zu wissen

09:03es wurde durchaus muss wirklich aufwand

09:06betrieben werden um diese möglichkeiten

09:09auszuschöpfen und persönlich für mich

09:14zusammen gefasst

09:15was hat ihre schalter (Hersteller) für mich ergeben

09:17was ist mein fazit also mit den quellen

09:20die ich mir jetzt angeschaut habe mit

09:22den interviews die ich geführt habe auch

09:25mit der bitkom und dem entsprechenden

09:26konsortium natürlich sagen ist ist mein

09:32fazit dass ich dass ich die app wirklich

09:34installieren kann und das auch die

09:36mehrheit im markt von von schlauen

09:38persönlichkeiten keine bedenken

09:40gegenüber der rp äußert ja letztendlich

09:43denke ich neben diesen kritische stimmen

09:47sollte man sich auch immer mal das

09:50eigene nutzungsverhalten von smartphones

09:53selber vor augen führen und in die

09:56waagschale werfen

09:57ich habe dazu dann doch mal übersicht

10:01gefunden in dem falle von von chip das

10:04zeige ich euch hier mal die haben also

10:05man vergleich gemacht was muss denn

10:07alles freigegeben werden für

10:08berechtigungen damit die korona waren es

10:10funktioniert im vergleich zu whatsapp

10:14dass er mittlerweile eigentlich fast

10:15jeder bei sich auf dem rechner hat ja

10:16und wenn ihr euch diesen vergleich an

10:17kurz alles in rot ist ein verbot bei der

10:21cornerfahne wirklich genutzt wird nicht

10:23gefordert und das habt dabei whatsapp

10:25alles freigegeben

10:26wir haben also da muss man mal so ein

10:27bisschen das in die waagschale werfen

10:29bin ich jetzt hier vielleicht über

10:33kritisch weil es kommt ja von der

10:34bundesregierung und damit bin ich nicht

10:36mehr ganz so einverstanden

10:38meine worte noch das alles freigegeben

10:40und und akzeptiert dass das muss man die

10:42frage muss man sich wirklich stellen ja

10:46darüber hinausgehend muss man sagen dass

10:50die app entsprechend auch nach

10:53modernsten kriterien und normen

10:57entwickelt und dazu gibt es einen einen

10:59artikel vom dsi vom bundesamt für

11:03sicherheit in der informationstechnik

11:04dort wird sie jetzt die korona war app

11:07bietet ein höchstmaß an

11:09 informationssicherheit (Anbieter)

11:10warum ist das so weil unter anderem

11:14diese entsprechenden vorgaben für die

11:18entwicklung von digitalen

11:21gesundheitsanwendungen folgt das ist die

11:25tr 03125 unternehmen was in dem umfeld

11:30entwickelt sollten diese

11:34sicherheitsanforderung verfolgt werden

11:36und kommen dann später im

11:37prüfungsprozess respektive ist es eine

11:39forderung dass es dass das erledigt ist

11:42dass man sich daran hält und diese

11:44forderung erfüllt auch die korona waren

11:46also haben wir also da auch sehr gute

11:49voraussetzung dass das entsprechend gut

11:52funktioniert dass es hier ein artikel

11:55vom präsidenten vom bsi dem ihr einen

11:59schönen bogen und wer jetzt noch sich

12:04weiter informieren möchte dem kann ich

12:06also empfehlen

12:08schaut euch mal die offizielle

12:11internetseite ancona waren app punkt.de

12:14dort findet ihr jede menge

12:15hintergrundinformationen

12:16ihr findet videos ein erklärvideos wie

12:20die app funktioniert wie sie arbeitet

12:22ihr findet noch weitere quellen es gibt

12:25sogar eine hotline an die ihr euch

12:27wenden können wenn dazu der kroner waren

12:28fragen habt also wirklich sehr gut

12:30aufgebaut seien extrem transparentes

12:33projekt was letztendlich auch dazu führt

12:36dass der alle beteiligten eben hier

12:38weniger bedenken haben

12:40im kontext der datensicherheit (Anbieter) und

12:44desinformation der

12:45informationssicherheit

12:46also ich für meinen teil habe jetzt also

12:49entschieden

12:50ich installiere die app bei mir ich habe

12:52sich jetzt auch schon seit letzter woche

12:53installiert und werde beobachten wie

12:56sich das entwickelt solltet ihr auf neue

12:58informationen stoßen teile ich natürlich

13:00gerne hier auf unserem kanal mit euch

13:02ihr könnt mich jederzeit erreichen beide

13:06ics unter der emailadresse industrie pcs

13:10- gmbh.de dort hat er jederzeit gerne

13:13willkommen mich zu kontaktieren

13:15es gibt natürlich immer im abspann in

13:19der informations leiste links an ihr

13:20dürft mich aber gern auch anschreiben

13:22natürlich gerne auch die linkliste und

13:24das jetzt gesagt sehr gerne auch als

13:27geschriebenen artikel zum nachlesen

13:29wirklich freuen wenn er mich kontaktiert

13:31lasst mir ein leichter und vielleicht

13:34hören wir uns bald wieder

13:35vielen dank und bleibt gesund und

13:39vergesst nicht die app zu installieren

13:40ich denke das ist eine gute sache