Lasst uns doch mal über die Sicherheitslücken der deutschen Corona-Warn-App reden

Der Sourcecode der deutschen Corona-Warn-App ist mittlerweile auf Github aufgetaucht. Und damit ergibt sich auch schon ein erstes, klitzekleines techn. Sicherheitsproblem: ihr könnt euch eigentlich nicht sicher sein, dass die Version, die ihr nachher aus dem Playstore ladet auch wirklich aus dem Quellcode gebaut wurde, den man euch vorher gezeigt hat. Selber bauen könnt ihr aber nicht, da nur die offizielle App auf das Exposure Notification API des Betriebssystems zugreifen darf/kann. Damit ist natürlich auch ein Fork ausgeschlossen, wenn die fiesen Dinge erst in v2.0 nachgereicht werden und die App es bis dahin geschafft hat, die de-facto Zugangsvoraussetzung zum öffentlichem Leben zu sein.

Das nur mal so als kleiner Denkanstoß für all diejenigen, die sich in den letzten Wochen nicht entblödet haben, als sie überall kommentierten, sie würden sich die App nur dann installieren, wenn der Quellcode öffentlich ist.

Aber, spekulieren wir mal nicht darüber, wo die Reise hingehen könnte, sondern behalten einfach nur vergangene IT Sünden unserer Bundesregierungen im Hinterkopf (Voratsdatenspeicherung, Bundestrojaner, DE-Mail, eGK…) und Fragen uns stattdessen, welche Probleme die aktuelle Spezifikation bereits mit sich bringt…

Die App hilft uns ein Problem zu verwalten, dass sie selbst verursachen wird

Die Politik hat uns Bluetooth Kontaktverfolgung als Wunderwaffe im Kampf gegen das Corona Virus angepriesen und damit Erwartungshaltungen geschürt, die die Technik nicht erfüllen kann. Natürlich werden sich viele Menschen die App trotzdem installieren, weil sie sich davon die Rückkehr in ihr gewohntes Leben versprechen und sie in erster Linie als Argument sehen, um nach Lockerungen zu verlangen.

Leider ist das “normale” Leben aber ein Biotop, in dem sich SARS-CoV-19 bevorzugt verbreitet. Wenn Menschen jetzt also wieder zu Fußballspielen und Volksfesten pilgern, Partys feiern und lästige Hygieneregeln missachten, weil sie sich ja die Corona Warn App installiert haben, dann treten wir mit Sicherheit die gefürchtete zweite Infektionswelle los.

Um es in aller Deutlichkeit zu sagen: das zentrale Sicherheitsproblem der Corona Warn App besteht darin, ein nutzloses Tech-Amulett zu sein. Sie verspricht Bequemlichkeit und das führt zu Nachlässigkeit!

Ein rechtliches Minenfeld

In der Theorie klingt Bluetooth Kontakt Verfolgung einfach: unsere Handys tauschen untereinander elektronische Visitenkarten aus, meldet sich jemand als infiziert, dann werden automatisch alle seine Kontakte benachrichtigt. Wer einen Alarm erhält lässt sich testen und bleibt in Quarantäne, bis das das Ergebnis fest steht.

Wesentlich weiter als über den techn. Ablauf zu reden sind wir in der öffentlichen Diskussion (bisher noch) nicht gekommen. Dabei drängen sich einige ungeklärte Fragen förmlich auf:

• Wie sieht es aus, wenn ich während der Arbeitszeit einen Alarm erhalte? Das Protokoll sieht nur vor, dass ich sofort alles stehen und liegen lasse, um zum Arzt zu gehen. Aber wie ist das arbeitsrechtlich geregelt? Stellt mich mein Arbeitgeber frei oder muss ich einen Urlaubstag opfern?
• Erwerbe ich durch den Alarm automatisch Anspruch auf einen zeitnahen Test oder hänge ich u.U. in der Quarantäne fest weil gerade keine Testkapazitäten frei sind?
• Wird mein Test von der Krankenkasse übernommen oder muss ich ihn selbst bezahlen?
• Ist das Vorzeigen der App überhaupt geeignet, um Ansprüche gegenüber Arbeitgeber, Krankenkasse und Behörden durchzusetzen? Zur Erinnerung: das Design schließt eine Verifizierung eines Alarms aus. Dritte wissen nicht, ob sie einen echten Alarmbildschirm, einen Screenshot oder eine Fake App sehen.

Das System kann Fehlalarme erzeugen. Insbesondere, wenn die App die nächste Infektionswelle lostritt, werden sich auch die Fehlalarme häufen, d.h. es ist nicht damit getan, dass man sich lediglich überlegt, was bei einem Alarm zu tun ist. Man muss auch über den Wiederholungsfall nachdenken:

• Kann mir mein Arbeitgeber kündigen, weil er vermutet, dass ich einfach nur blau machen will? Kann er mir kündigen, weil mein Lebenswandel offensichtlich ein unzumutbares geschäftliches Risiko darstellt? Was ist wenn mein Arbeitgeber nur nach einem Vorwand sucht, um eine Kündigung auszusprechen?
• Mache ich mich strafbar, wenn ich einen Alarm ignoriere und dann nachweislich doch jemand anderes anstecke? Möglicherweise liegt hier eine Körperverletzung, analog zur schuldhaften Infektion mit HIV vor. Die Tatsache, dass mit dem zweitem Pandemieschutzgesetz auch negative Testergebnisse an das RKI gemeldet werden müssen lässt hier jedenfalls böses Vermuten.

Natürlich werden Anwälte zu all diesen Fragen eine Antwort haben, aber solange sich weder Gesetzgeber, noch Gerichte eindeutig äußern, besteht für die Nutzer der App erst einmal eine erhebliche Rechtsunsicherheit.

Fazit: Den Programmcode der Corona Warn App auf Sicherheitslücken abzuklopfen ist eine Übung für Fachidioten. “Sicherheit” umfasst in diesem Fall eben nicht nur die korrekte techn. Funktion, sondern halt auch den gesellschaftlichen Kontext (rechtlicher Rahmen, Gruppendynamiken) drum herum. Hier fällt auf, dass dieselben Politiker, die lautstark nach einer App gerufen haben, sich erstaunlich wenig Gedanken darüber zu machen scheinen, was schief gehen kann (und nach Murphy auch schiefgehen wird) und wie man dem begegnen möchte.