Letzte Änderung: 03.12.2020
ICS-Security-Talk: Corona-Warn-App, Experteneinschätzung
Corona-Warn-App: Installieren Ja/Nein? Ist die App sicher, welche Risiken bestehen? Martin Zappe, Business Unit Manager bei der ICS GmbH gibt einen Überblick!
Text im Video
00:00hallo und herzlich willkommen tsum ics
00:03security corp
00:04heute habe ich mir mal das thema corona (Anbieter)
00:07vanek vorgenommen weil es kursieren
00:09viele gerüchte viele fragen in den
00:11medien und das möchte ein bisschen
00:12aufklärung habe noch ein wenig
00:14recherchiert weil ich mich selbst die
00:15frage gestellt habe installiere ich denn
00:17jetzt die app ja oder nein
00:19kommen wir also mal direkt ans
00:21eingemachte die uni marburg hat mir ein
00:26forschungskonsortium mit der tu
00:28darmstadt und der uni würzburg einen
00:31eher kritischen artikel verfasst auf den
00:34ich gleich noch zu sprechen komme aber
00:36sie haben ein statement gesetzt und
00:37sagen eine kontakt hält nachverfolgung
00:40 sap (Anbieter) auf mobilen geräten verspricht die
00:42möglichkeit den manuellen aufwand zur
00:44infizierung von infektions kreisläufen
00:47ewig zu reduzieren und die abdeckung der
00:49kontakt nach verfolgung zu erhöhen
00:51was sollen wir jetzt also als mündige
00:54bürger tun sollen wir so in einem
00:55installieren oder nicht ist das
00:57überhaupt sichern
00:58wir schätzen dann datenschutzbeauftragte
01:02persönlichkeiten die dort vielleicht
01:04besser bescheid wissen die situation ein
01:08und ich muss gestehen ja nicht mit der
01:10frage anfangs auch erstmal wirklich
01:11schwer getan
01:12deswegen habe ich jetzt also hier mal
01:15diese recherche gemacht und kann euch da
01:17die ergebnisse heute vorstellen ist also
01:22die frage instaload ins all dazu gucken
01:27uns mal 23 statements an die ich
01:30gefunden habe und recherchiert habe dazu
01:34zum beispiel der datenschutzbeauftragte
01:37der bundesdatenschutzbeauftragte
01:39er sagt bei der dabei der cola war app
01:42ist der schutz ausreichend
01:44und das ist jetzt bitte nicht im sinne
01:46von schulnoten system zu verstehen
01:48sondern im sinne einer
01:50wissenschaftlichen bewertung ausreichend
01:52ja es ist sicher ich kann das anwenden
01:56es spricht also keine wunder dagegen
01:58warum diese app nicht angewendet werden
02:02sollten hat im prozess auch durch
02:03gericht begleitet
02:04ja
02:06weil wenn man schaut mal ganz gerne auch
02:09mal auf den chaos computer club auch der
02:11tituliert und lobt sogar die die korona
02:16apple sondern fast schon huldigung auch
02:19hier könnt ihr gerne nachlesen
02:21die linke liste zeige ich euch später
02:25noch wir die dann findet und und
02:27bekommen könnte und noch eine dritte
02:30quelle die ich euch zeigen möchte dass
02:31es heise de die haben also hier fragen
02:35und antworten zu der korona vanek
02:37zusammengefasst und das in meinen augen
02:40sehr gut dargestellt ist eine sehr gute
02:41informationsquellen kann ich euch also
02:43nur empfehlen dort einmal reinzuschauen
02:46ok also was tun wir denn jetzt wollen
02:49wir es installieren wo man es nicht
02:50installieren
02:51letztendlich ist die ist die kubaner nur
02:55ein baustein in der pandemie bekämpfung
02:58sie basiert auf einem kürzlich
03:00entwickelten interface von google und
03:02apple kürzlich heißt jetzt wirklich
03:05unmittelbar das ist auch der hintergrund
03:06warum die app nicht auf auf älteren
03:10geräten läuft weil eben die aktuellen
03:13betriebssystemen gebraucht werden die
03:18diese schnittstelle zur verfügung
03:19stellen was die funktion angeht der app
03:23ist die eigentlich beliebig langweilig
03:27wenn man sie erst mal gestartet hat muss
03:29man einen onboarding prozess durchlaufen
03:31und abschließen oder den zugriff
03:34gewähren das benutzt werden kann und es
03:37nicht weiter viel zu erwarten was ihr
03:39aber auch richtig ist dann so soll im
03:40alltag ja nicht stören
03:42in dem kontext kommt immer auch die
03:44frage auf was muss ich denn da
03:47einschalten und was wird er gebraucht
03:48und da sind wir beim thema bluetooth (Anbieter) die
03:52app braucht eine bluetooth-verbindung
03:54und sie nutzt hier bluetooth low energy
03:58dort gibt es im markt auch mal wieder
04:01diskussionen man sollte besser nicht
04:02dauerhaft angestellt lassen weil das
04:05weil er sicherheitslücken gibt
04:08ich habe jetzt recherchiert und auch
04:11letzte woche noch an der session mit der
04:13bitkom teilgenommen
04:14oder gibts also ein ganz klares
04:15statement ja dieses risiko ist nach
04:17wie vor noch existent aber es ist ein
04:20vertretbares risiko als vertretbares
04:23risiko eingestuft weil der darauf
04:26basierende angriff letztlich so viel
04:29besondere bedingungen bedarf so dass man
04:33dieses risiko also eingehen kann also
04:35seine vertretbares risiko es spielt also
04:37nichts dagegen bluetooth an zu lassen
04:40dann komme auch schnell zu dem thema wie
04:44ist das denn mit dem stromverbrauch mit
04:47dem akku verbrauch ja und wie ist der
04:52stromhunger der app ein einzuschätzen
04:54und da hat also die die computerbild
04:58eine versuchsreihe durchgeführt und
05:01nutzer befragt und selber auch getestet
05:02an zwei identischen handys das ist habe
05:05ich euch hier mal mitgebracht
05:06ich bin jetzt hier nur die nutzer
05:08berichte ein und da wird also ganz klar
05:10festgestellt dass also der zusätzliche
05:13energieverbrauch durchaus im
05:14vertretbaren rahmen sich abspielt und
05:18die sache hier die pandemie zu bekämpfen
05:20und so unterstützen sollte das
05:22eigentlich wert sein
05:23mehr informationen findet ihr dort in
05:25dem in dem in dem artikel mehrverbrauch
05:29zwischen 1 bis 10
05:31das ist unterschiedlich vom handy wie
05:33das wie das agiert und so weiter also
05:36das ist wirklich vertretbar und nichts
05:39und nicht so schwierig die frage die uns
05:44dann auch immer wieder
05:46letztendlich beschäftigt was wird denn
05:51aufgezeichnet und ich muss ich mal ganz
05:53deutlich sagen es werden keinerlei
05:57standort daten aufgezeichnet oder auch
05:59nicht gespeichert
06:01es werden auch keine app daten von
06:04google oder apple gespeichert weil dir
06:07die schnittstelle entwickelt haben das
06:09ist vollkommener quatsch
06:10wir haben die schnittstelle entwickelt
06:13stellen die schnittstelle zur verfügung
06:15und die schnittstelle wird genutzt
06:17von der app die durch ein konsortium das
06:20ist das erste grosse durch
06:22bundesregierung finanzierte
06:25open-source-projekt ihr entsprechend
06:28entwickelt und der betreiber dieser app
06:32ist das robert koch institut und das
06:34robert-koch-institut wiederum ist dafür
06:37verantwortlich dass es die hoheiten hat
06:41über die daten über die server (Hersteller) die
06:44server stehen nicht irgendwo im ausland
06:46die stehen in europa deutschland und die
06:50darauf abgelegten daten werden so wie
06:52robert koch institut und entsprechende
06:53prozesse drumherum entsprechend
06:55abgesichert
06:56in dem kontext dann auch noch mal
06:58beleuchtet die frage warum muss man
07:00eigentlich den den standort freie gehen
07:02viele verbinden damit in dieser stadt
07:04habe das jetzt unmittelbar getrackt
07:06werden kann und das ist tatsächlich für
07:08eine vielzahl der apps (Anbieter) wo das
07:09angefordert wird auch richtig im falle
07:12der korona wanne ist das überhaupt nicht
07:14richtig denn es ist darin begründet dass
07:17es einen sogenannten master locations in
07:20den handys gibt und in diesem maße
07:23location switch ist vereins gps und
07:28bluetooth das heißt ich muss diesen
07:29stellen also die freigabe des standorts
07:32damit bluetooth laufen können
07:33die gründer waren es stellt aber sicher
07:36dass weder gps daten aufgezeichnet
07:38werden noch weitergegeben werden
07:40auch nicht abgefragt werden darüber
07:43hinaus gibt es technische verträge mit
07:45den app entwicklern die dies
07:48entsprechend auch verhindern und ganz
07:50wichtig das gilt nur für die korona
07:53wanne für jede andere app die eine
07:55standort freigabe erfordert oder
07:58verlangt müsst ihr davon ausgehen im
08:01serie informationssicherheits er vernes
08:03dass ihr geprägt werde dass diese daten
08:05aufgezeichnet werden dass die daten
08:06benutzt werden in dem kontext müssen wir
08:12auch mal darüber sprechen dass also auch
08:14dass es auch kritische stimmen gibt ich
08:16habe das eingangs schon erwähnt gehabt
08:18ich bin jetzt hier mal den artikel von
08:20der von der uni marburg ein
08:23hier kommt also sie stellen ganz klar
08:26fest die korona vanek hat tatsächlich
08:29auch defizite in der sicherheit (Anbieter) und
08:31 datenschutz (Anbieter)
08:33die auf angriffe in dem vorgenannten gap
08:37also google apple
08:38protokoll sein ursprung haben und da ist
08:42natürlich zu hoffen dass da entsprechend
08:44nachgebessert wird ist aber kein grund
08:47für die entsprechenden stellen die jetzt
08:49hier auch schon gesucht habe und auch
08:50mal meine was meine recherchen
08:52dargestellt haben
08:52dass man deswegen die app blockieren
08:55oder eben boykottieren müsste ja also es
08:59da also denke ich wichtig zu wissen
09:03es wurde durchaus muss wirklich aufwand
09:06betrieben werden um diese möglichkeiten
09:09auszuschöpfen und persönlich für mich
09:14zusammen gefasst
09:15was hat ihre schalter (Hersteller) für mich ergeben
09:17was ist mein fazit also mit den quellen
09:20die ich mir jetzt angeschaut habe mit
09:22den interviews die ich geführt habe auch
09:25mit der bitkom und dem entsprechenden
09:26konsortium natürlich sagen ist ist mein
09:32fazit dass ich dass ich die app wirklich
09:34installieren kann und das auch die
09:36mehrheit im markt von von schlauen
09:38persönlichkeiten keine bedenken
09:40gegenüber der rp äußert ja letztendlich
09:43denke ich neben diesen kritische stimmen
09:47sollte man sich auch immer mal das
09:50eigene nutzungsverhalten von smartphones
09:53selber vor augen führen und in die
09:56waagschale werfen
09:57ich habe dazu dann doch mal übersicht
10:01gefunden in dem falle von von chip das
10:04zeige ich euch hier mal die haben also
10:05man vergleich gemacht was muss denn
10:07alles freigegeben werden für
10:08berechtigungen damit die korona waren es
10:10funktioniert im vergleich zu whatsapp
10:14dass er mittlerweile eigentlich fast
10:15jeder bei sich auf dem rechner hat ja
10:16und wenn ihr euch diesen vergleich an
10:17kurz alles in rot ist ein verbot bei der
10:21cornerfahne wirklich genutzt wird nicht
10:23gefordert und das habt dabei whatsapp
10:25alles freigegeben
10:26wir haben also da muss man mal so ein
10:27bisschen das in die waagschale werfen
10:29bin ich jetzt hier vielleicht über
10:33kritisch weil es kommt ja von der
10:34bundesregierung und damit bin ich nicht
10:36mehr ganz so einverstanden
10:38meine worte noch das alles freigegeben
10:40und und akzeptiert dass das muss man die
10:42frage muss man sich wirklich stellen ja
10:46darüber hinausgehend muss man sagen dass
10:50die app entsprechend auch nach
10:53modernsten kriterien und normen
10:57entwickelt und dazu gibt es einen einen
10:59artikel vom dsi vom bundesamt für
11:03sicherheit in der informationstechnik
11:04dort wird sie jetzt die korona war app
11:07bietet ein höchstmaß an
11:09 informationssicherheit (Anbieter)
11:10warum ist das so weil unter anderem
11:14diese entsprechenden vorgaben für die
11:18entwicklung von digitalen
11:21gesundheitsanwendungen folgt das ist die
11:25tr 03125 unternehmen was in dem umfeld
11:30entwickelt sollten diese
11:34sicherheitsanforderung verfolgt werden
11:36und kommen dann später im
11:37prüfungsprozess respektive ist es eine
11:39forderung dass es dass das erledigt ist
11:42dass man sich daran hält und diese
11:44forderung erfüllt auch die korona waren
11:46also haben wir also da auch sehr gute
11:49voraussetzung dass das entsprechend gut
11:52funktioniert dass es hier ein artikel
11:55vom präsidenten vom bsi dem ihr einen
11:59schönen bogen und wer jetzt noch sich
12:04weiter informieren möchte dem kann ich
12:06also empfehlen
12:08schaut euch mal die offizielle
12:11internetseite ancona waren app punkt.de
12:14dort findet ihr jede menge
12:15hintergrundinformationen
12:16ihr findet videos ein erklärvideos wie
12:20die app funktioniert wie sie arbeitet
12:22ihr findet noch weitere quellen es gibt
12:25sogar eine hotline an die ihr euch
12:27wenden können wenn dazu der kroner waren
12:28fragen habt also wirklich sehr gut
12:30aufgebaut seien extrem transparentes
12:33projekt was letztendlich auch dazu führt
12:36dass der alle beteiligten eben hier
12:38weniger bedenken haben
12:40im kontext der datensicherheit (Anbieter) und
12:44desinformation der
12:45informationssicherheit
12:46also ich für meinen teil habe jetzt also
12:49entschieden
12:50ich installiere die app bei mir ich habe
12:52sich jetzt auch schon seit letzter woche
12:53installiert und werde beobachten wie
12:56sich das entwickelt solltet ihr auf neue
12:58informationen stoßen teile ich natürlich
13:00gerne hier auf unserem kanal mit euch
13:02ihr könnt mich jederzeit erreichen beide
13:06ics unter der emailadresse industrie pcs
13:10- gmbh.de dort hat er jederzeit gerne
13:13willkommen mich zu kontaktieren
13:15es gibt natürlich immer im abspann in
13:19der informations leiste links an ihr
13:20dürft mich aber gern auch anschreiben
13:22natürlich gerne auch die linkliste und
13:24das jetzt gesagt sehr gerne auch als
13:27geschriebenen artikel zum nachlesen
13:29wirklich freuen wenn er mich kontaktiert
13:31lasst mir ein leichter und vielleicht
13:34hören wir uns bald wieder
13:35vielen dank und bleibt gesund und
13:39vergesst nicht die app zu installieren
13:40ich denke das ist eine gute sache