Deutsche Forscher bestätigen Kritik an Schweizer Corona-App

15. Oktober 2020, 14:22
image

Eine Zwischenbilanz zeigt Risiken und Grenzen von Apps wie der Schweizerischen. Die Schweiz sei im Corona-Blindflug, so eine weitere Analyse.

Ein Forschungsteam der TU Darmstadt und der Universität Würzburg analysiert im Labor die technischen Möglichkeiten und Grenzen der Corona-Tracing-Apps, wie sie Deutschland und die Schweiz einsetzen. Die Forschenden haben nun eine Zwischenbilanz vorgelegt: Zur Sprache kommen auch Security-Risiken, die mit dem Einsatz von Bluetooth und der Exposure Notification API von Apple und Google zu registrieren sind.
Sie halten fest, dass diese neu entwickelte API eigentlich als Systemkomponente zu bezeichnen sei.
Ihr Fazit zur Datenübertragung via Bluetooth-Technologie und deren Tücken: Sie teilen explizit die Kritik von irischen Forschern, welche soeben in einem international üblichen Tram-Typ experimentell demonstrierten, wie ungenau die Technologie ist. "Die Bluetooth-Low-Energy-Technologie ist nicht in der Lage, den genauen Abstand zwischen den Geräten zu messen. Ob man sich in nächster Nähe oder weit voneinander entfernt begegnet, lässt sich nur ansatzweise abschätzen."
Der Datenschutz ist mit dem Einsatz der API auch nur begrenzt umsetzbar, so die Forscher: "Es ist uns gelungen, die bis dahin nur theoretisch beschriebenen Datenschutz- und Sicherheitsrisiken des Google- und Apple-Ansatzes (Exposure Notification API) auch praktisch nachzuweisen", erinnern die deutschen Forscher an ihre früheren Arbeiten.
Bis anhin haben das Bundesamt für Gesundheit (BAG) und die involvierten Security-Experten des Bundes die Risiken als akzeptabel bezeichnet.

"In direktem Widerspruch zu Schweizer Behörden"

Dies rief kanadische Forscher auf den Plan, welche im Juni 2020 an Schweizer Aussagen zweifelten: Die "Antwort der schweizerischen Cybersicherheitsbehörde und der schweizerischen Gesundheitsbehörde lautete, dass diese verschiedenen Angriffe unwahrscheinlich seien, da sie die physische Nähe des Angreifers zum Ziel erforderten (obwohl zugegeben wurde, dass der Angreifer weiter als zwei Meter entfernt sein konnte). Die physische Anwesenheit des Angreifers in der Schweiz wurde als signifikant erachtet, da dies bedeuten würde, dass solche Angreifer unter das Schweizer Strafgesetzbuch fallen würden."
Die Kanadier testeten die Schweizer App mit einer Smartphone-basierten Attacke. Bei diesem Angriff wird laut den Forschern ein schadhaftes Software Development Kit (SDK) in eine als sicher geltende Anwendung eingebunden. In ihrer Arbeit ziehen sie eine kritische Bilanz: "Wir zeigen beispielhaft, dass in den ursprünglich beschriebenen Szenarien eine viel grössere Vielfalt von Gegnern berücksichtigt werden muss und dass diese Angriffe von Gegnern ohne physische Präsenz in der Schweiz durchgeführt werden können. Dies steht in direktem Widerspruch zu offiziellen Erkenntnissen der Schweizer Behörden, welche die mit SwissCovid verbundenen Risiken bewerten."
Die Studie ist laut dem Zwischenfazit "Sinn und Unsinn der Corona-Warn-App" der deutschen Wissenschafter plausibel. "Der Aufwand für das im Angriff erläuterte Scannen und Broadcasting von Bluetooth-Signalen ist durch die Exposure Notification APIs von Apple und Google sehr gering", bestätigen sie die Erkenntnisse aus Kanada.
Die kanadische Studie ist ebenfalls als PDF verfügbar
In ihrer Zwischenbilanz referenzieren die Deutschen auch mehrere weitere wissenschaftliche Erkenntnisse aus unterschiedlichen Ländern und fassen sie zusammen. Und sie diskutieren die je nach Land unterschiedlichen App-Entwicklungskosten (die Schweizer App war vergleichsweise billig) und stellen die Vertrauensfrage: "Sind Apple und Google eine vertrauenswürdige Instanz?"
Nicht zuletzt fordern sie angesichts der vielen offenen Fragen weitere Forschungen: "Entspricht die Corona-Warn-App den Erwartungen oder entpuppt sie sich nach einer kritischen Überprüfung als Fehlinvestition? Können wir den tatsächlichen Mehrwert in einer Wirksamkeitsstudie ermitteln? Auf welcher Datenbasis lässt sich die Wirksamkeit bewerten?"
Es wird interessant sein, ob insbesondere die ETH Lausanne, welche die Entwicklung der Schweizer App massgeblich beeinflusste, Antworten auf diese Fragen sucht und publiziert.
Noch nicht widerlegt haben die Forscher aus diversen Ländern eine Prämisse: Die Apps unterstützen das manuelle Contact-Tracing und helfen dabei Infektionsketten zu identifizieren.

E-Mail und Excel im manuellen Contact Tracing

Zu den Bremsern des manuellen Tracings gehören laut einer neuen Comparis-Analyse die Schweizer Kantone. Eine Umfrage bei den Gesundheitsdirektionen der 26 Kantone zeigt, dass sie unterschiedliche Software für das Contact-Tracing verwenden; mitunter sogar Excel. "Ein Kanton, der Excel einsetzt, plant zudem auch nicht, eine Software zu beschaffen."
E-Mail sei der Schweizer Standard für den Datenaustausch. Dies erschwere das Contact-Tracing, es gäbe keinen Realtime-Austausch der Daten und es würden eigentlich vorhandene Features der unterschiedlichen Softwares gar nicht genutzt, so Comparis in einer Mitteilung. Vielfach würden nur Basisdaten erfasst. "Wir sind im Blindflug unterwegs", bilanziert ein Firmen-Vertreter.

Loading

Mehr zum Thema

image

Edtech-Startup Evulpo nimmt 7,7 Millionen Franken ein

Das Schweizer Startup hat an einer Finanzierungsrunde neues Geld gesammelt. Damit soll die E-Learning-Plattform über Europa hinaus wachsen.

publiziert am 30.1.2023
image

Wie gut Banken ihre KI-Transformation meistern

Eine Studie untersucht, wie fortgeschritten das Thema KI in grossen Finanzhäusern ist. Die USB kann im internationalen Vergleich vorne mithalten.

publiziert am 30.1.2023
image

Competec hat eigene Marke für PC-Zubehör lanciert

Die neue Schweizer Marke Onit wurde bis jetzt nicht gross angekündigt. Das wird laut Competec bewusst so gehandhabt.

publiziert am 30.1.2023
image

Steht das Vorzeige-Startup Ava vor dem Aus?

Die ehemalige Ava-Chefin Lea von Bidder hat den neuen Eigentümer betrieben. Der Chef von Femtec Health reagiert mit Drohungen.

publiziert am 30.1.2023