Nach dem Corona-Lockdown der Vormonate stehen die Zeichen in Deutschland zunehmend auf Rücknahme der Einschränkungen. Unterstützen soll dabei eine Corona-Warn-App, die derzeit mit Hochdruck von SAP und T-Systems entwickelt wird. IT-Sicherheit und die Einhaltung des Datenschutzes der App sollen nun von unabhängiger Stelle geprüft werden. Dafür hat TÜViT zuletzt den Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten. Die Einbindung von TÜViT soll unter anderem für mehr Akzeptanz in der Gesellschaft sorgen.
Die Corona-Pandemie beeinflusst das Leben in Deutschland noch immer. Die zwischenzeitlich ergriffenen Maßnahmen haben jedoch Wirkung gezeigt. Durch geeignete Lockerungsmaßnahmen gewinnen gesellschaftliches Leben und die Wirtschaft wieder an Fahrt. Entstehen aber neue Infektionsketten, sind Transparenz und Geschwindigkeit die entscheidenden Faktoren, um eine erneute Ausbreitung des Virus einzudämmen.
Viele Länder setzten deshalb auf den Einsatz digitaler Hilfsmittel wie Corona-Apps. In Fachkreisen ist man sich einig: Nur, wenn diese auch von rund 60% der Bevölkerung genutzt werden, lässt sich damit eine deutliche Wirkung erzielen. Die Akzeptanz weiter Bevölkerungsteile ist der Schlüssel für einen flächendeckenden Einsatz der App, weiß auch Dirk Kretzschmar, Geschäftsführer der TÜV Informationstechnik GmbH (TÜViT). Genau da setzen die IT-Security-Experten aus Essen an. „Mit einer TÜViT-Prüfung können wir das Vertrauen in der Öffentlichkeit zur Verwendung der App erheblich steigern und darüber hinaus im Gegenzug noch viel mehr Lockerungen ermöglichen“, ist Kretzschmar überzeugt.
Auf IT-Security, Datenschutz und Persönlichkeitsrechte wird bereits in der App-Entwicklung höchstes Augenmerk gelegt. So werden beispielsweise keine Bewegungsprofile getrackt. Deutschland setzt stattdessen auf einen dezentralen Ansatz mit Tracing per Bluetooth-Technologie. Dabei wird der Abstand zwischen zwei Smartphones gemessen. Sinkt der für gewisse Zeit unter einen kritischen Wert, tauschen beide Geräte einen verschlüsselten Code aus. Erst im Nachgang erfährt ein Nutzer völlig anonym über einen Abgleich ausschließlich auf dem Smartphone, dass er unmittelbaren Kontakt zu einer infizierten Person hatte. Zudem gilt das Prinzip der Freiwilligkeit. Das beginnt schon beim Download der App. Ob Betroffene ihr eigene Infektion melden, entscheiden sie selbst. Wird die App gelöscht, gilt das auch für die Daten. Personenbezogene Informationen werden hingegen gar nicht erst erhoben.
„Ob diese Anforderungen im Detail auch so umgesetzt wurden, ist Gegenstand unserer Prüftätigkeit“, erklärt Christian Freckmann, Abteilungsleiter Business Security & Privacy bei TÜViT. Um ihn herum analysieren Pentester bereits die ersten gelieferten Quellcodes. Datenschützer prüfen dann zum Beispiel, ob Datenschutzrichtlinien, Einwilligungserklärungen und das Datenschutzkonzept hinlänglich implementiert sind. „Wir haben uns gut vorbereitet und Kapazitäten geblockt. Dennoch sind in den Büros von TÜViT in Essen derzeit Überstunden angesagt“, so Freckmann. Schließlich soll die App so schnell wie möglich verfügbar sein. Ohne die gebotene Sorgfalt geht das jedoch nicht.
TÜViT ist von den Möglichkeiten des IoT überzeugt. Doch es gibt auch Schattenseiten. IT- und Datensicherheit ist deshalb auch in Zeiten von Corona ein unbedingtes Muss. „Mit unserer Prüftätigkeit übernehmen wir Verantwortung und möchten einen wichtigen Beitrag zum Erfolg der neuen Corona-Warn-App leisten. Wir hoffen sehr, der deutschlandweiten Solidarität auf digitalem Weg weiter Vorschub zu leisten“, so Kretzschmars Motivation.
Stand: 05.06.2020