Die offizielle Corona-Warn-App des Bundes steht zum Download bereit. Ziel ist es, Kontakte zuverlässig nachvollziehen zu können, während der Lockdown sukzessive zurückgestuft wird. Bereits jetzt sind in vielen Ländern wie beispielweise in Frankreich Apps zur Ermittlung von Kontaktpersonen im Einsatz.
Vor dem Hintergrund, dass in den letzten Monaten Cyberkriminalität im Zusammenhang mit der Corona-Pandemie laut einer Datenanalyse der Sicherheitsforscher von Malwarebytes zugenommen hat, spielen Cybersicherheit und Datenschutz bei Tracing-Apps eine entscheidende Rolle.
YesWeHack, Europas führende Bug-Bounty-Plattform, führt seit dem 27. Mai das kontinuierliche Sicherheitsaudit der französischen StopCovid-App durch. Die ethischen Hacker untersuchen die App gründlich auf mögliche Fehler oder Probleme mit der Technologie und den gesammelten Daten. Und auch Lucy Security, das Schweizer Unternehmen für Cybersicherheitsausbildung, setzt sich mit den Herausforderungen der Tracing-Apps auseinander. Rayna Stamboliyska, Vizepräsidentin Governance & Public Affairs von YesWeHack, und Palo Stacho, Head of Operations bei Lucy Security, beziehen im Folgenden Stellung.
Rayna Stamboliyska, Vizepräsidentin Governance & Public Affairs von der Bug-Bounty-Plattform YesWeHack:
„Apps zur Ermittlung von Kontaktpersonen sind ein wichtiges Instrument vieler Länder im Kampf gegen die weltweite Corona-Pandemie. Entscheidend für den Erfolg dieser Corona-Apps ist das Vertrauen in der breiten Bevölkerung: Respektiert eine solche App die höchsten Standards für Sicherheit und Datenschutz? Um Vertrauen zu schaffen, müssen Apps zur Ermittlung von Kontaktpersonen sicher sein und mit den persönlichen Daten der Nutzer äußerst sorgfältig umgehen.
YesWeHack führt seit dem 27. Mai das kontinuierliche Sicherheitsaudit der französischen StopCovid-App durch. Unsere ethischen Hacker untersuchen die App gründlich auf mögliche Fehler oder Probleme mit der Technologie und den gesammelten Daten.
Aus unserer Sicht sind die folgenden vier Aspekte entscheidend für Sicherheit und Vertrauen in die Technologie:
1. Je klarer, desto besser.
Software, die nur wenige, aber sehr spezifische Dinge tut, trägt in hohem Maße dazu bei, das Potenzial für Sicherheitsprobleme zu minimieren.
2. Security-by-Design.
Expertise in Sachen Cybersecurity sollte von Anfang an in ein Technologieentwicklungsprojekt eingebunden werden. Nur so ist sicherzustellen, dass der Service den höchsten Sicherheitsstandards genügt und gleichzeitig den Zeitplan und das Budget einhält.
3. Unabhängigkeit.
Das Team, das an der Entwicklung der Anwendung arbeitet, sollte unabhängig von dem Team sein, das die Sicherheit der Anwendung unter die Lupe nimmt.
4. Kontinuierliche Überprüfung.
Eine gründliche Validierung vor der Einführung ist wichtig, um zu verhindern, dass die Nutzer vermeidbaren Risiken ausgesetzt werden. Noch wichtiger ist jedoch eine kontinuierliche Validierung während der Nutzungszeit. Im Rahmen eines öffentlichen Bug-Bounty-Programms prüft unsere Community aus über 15.000 ethischen Hacker die französische StopCovid-App kontinuierlich auf Sicherheitsprobleme oder Bedrohungen.“
https://de.malwarebytes.com/
Palo Stacho, Head of Operations von Lucy Security:
„Ob es wir wahrhaben wollen oder nicht: Corona hat uns alle innerhalb kürzester Zeit zwangsdigitalisiert. Die Tragweite dieser Änderungen in nahezu allen Lebensbereichen kann vom Normalbürger nicht abgeschätzt, geschweige denn erahnt werden. Um die Herausforderungen zu meistern, die die umfassende Digitalisierung mit sich bringt, benötigen wir ein strenges Datenschutzgesetz und dessen konsequente Umsetzung. Das Erscheinen der Corona-Warn-App wird genau diesen Diskurs in Politik und Gesellschaft vorantreiben. Unter anderem benötigen wir konkrete Antworten auf die Frage, wie der kompetente Umgang der Bürger mit der App sichergestellt werden kann.
Fakt ist: Bedrohungen der Menschheit sollten stets mit den besten Mitteln bekämpft werden, die der Mensch zur Verfügung hat. Im aktuellen Fall ist das die Corona-Warn-App. Der Datenschutz bei der deutschen wie auch bei der schweizerischen Version dieser App ist vorbildlich implementiert. Die Daten sind nicht nur geschützt, sie liegen auch dezentral anonymisiert beim Benutzer und nicht in einem zentralen Datenpool der Behörden. Für den Menschen an der Schwelle des digitalen Zeitalters ist die App sogar ein Glücksfall: Wir haben nun die Möglichkeit zu bestimmen, dass die digitale Ära nicht in einem orwellschen Zeitalter endet.“
https://lucysecurity.com/de/