Bericht eines Hackers

Was von Frankreichs Corona-App zu lernen ist

Von Bastian Benrath und Christian Schubert, Paris
10.06.2020
, 17:08
Die französische Corona-Tracing-App kann schon seit einer Woche heruntergeladen werden. Ein Hacker stellt ihr ein gutes Zeugnis aus – doch selbst er sagt: Der deutsche Ansatz, die App zu bauen, ist vielleicht noch besser.

Während die deutsche App zur Nachverfolgung der Infektionsketten des Coronavirus in der kommenden Woche an den Start gehen soll, kann die französische schon seit vergangenen Dienstag kostenlos bezogen werden. Der Start von „StopCovid“ war nach Aussage der Regierung vielversprechend. Bis zum vergangenen Sonntag haben die Franzosen das Programm 1,25 Millionen Mal auf ihre Handys geladen.

„Das ist ein guter Start, wenn man bedenkt, dass die Werbekampagne gerade erst angefangen hat“, sagte der französische Staatssekretär für Digitalfragen, Cédric O, in einem Radiointerview. Er betonte, dass die App von den 1,25 Millionen Nutzern auch aktiviert worden sei, denn dieser zusätzliche Schritt ist notwendig, damit sie funktioniert.

Nach einer in England veröffentlichten Studie soll die App nur wirksam sein, wenn 60 Prozent der Bevölkerung sie benutzen. Doch nach Aussagen des Staatssekretärs wirke sie auch schon von einer Schwelle von 10 Prozent an, im Fall von Frankreich also ab 6 bis 7 Millionen Nutzern. Wichtig sei dabei auch die Betrachtung einzelner Ballungsräume.

Vor der Veröffentlichung testeten die Hacker

Die App soll Nutzer darüber informieren, wenn sie sich mindestens 15 Minuten lang im Abstand von maximal einem Meter zu einer infizierten Person aufgehalten haben. Dazu überwacht sie mittels der Funktechnologie Bluetooth, welche Handys sich in der Nähe des App-Nutzers aufgehalten haben. Alles beruhe auf Freiwilligkeit und Anonymisierung, betont die Regierung.

Bevor sie veröffentlicht wurde, prüften eine Reihe von dafür engagierten Hackern die App auf Sicherheitslücken. Dabei seien zwölf Schwachstellen aufgefallen, heißt es von der Hackerplattform Yes We Hack, die den Test durchführte. Nur fünf der Schwachstellen hätten aber ein „kleineres oder moderates“ Sicherheitsrisiko dargestellt, kritische Lücken habe man nicht gefunden, sagte Rayna Stamboliyska, Sprecherin von Yes We Hack. „Die App hat nur eine einzige Funktion, was für ihre Sicherheit vorbildlich ist“, sagte sie. „Je weniger Funktionen eine App hat, desto weniger Angriffsszenarien gibt es.“

Unternehmen bezahlten App aus eigener Tasche

Yes We Hack ist Teil des Konsortiums aus Unternehmen und öffentlichen Stellen, das die App entwickelt hat. Zu ihm gehören Großunternehmen wie Orange, Capgemini und Dassault Systèmes ebenso wie Start-ups. Im Gegensatz zu SAP und T-Systems, welche die deutsche App entwickeln, haben sie für die Entwicklung kein staatliches Geld erhalten, die Regierung will lediglich für den Betrieb bezahlen.

Die F.A.Z. konnte mit einem der an dem Test beteiligten Hacker sprechen. Er nennt sich Saxx und bestätigte den positiven Eindruck der App. „Es war uns nicht möglich, die Infrastruktur der App zu kompromittieren“, sagte er. „Der Quellcode der französischen App steht in einem Onlineverzeichnis zur Ansicht bereit. Ich empfehle den deutschen Entwicklern, sich diesen anzuschauen, da die App sehr gut konstruiert ist.“

Prinzip von „StopCovid“ ist, dass eine Person, die positiv auf das Coronavirus getestet wurde, von ihrem Arzt ein Testergebnis mit einem QR-Code erhält. Scannt sie diesen mit ihrem Handy, löst sie damit eine Warnung an alle Personen aus, mit denen sie in Kontakt stand. Die App sei dabei vor Fehlalarmen gefeit, sagte Saxx: „Es war mir nicht möglich, ein falsch-positives Testergebnis einzugeben, weil die App nur QR-Codes akzeptierte, die wirklich offiziell von einem Arzt ausgestellt wurden.“

Die Gruppe von Kontaktierten wird über einen zentralen Server ermittelt. Die Betroffenen werden über den Kontakt informiert und aufgefordert, sich an einen Arzt zu wenden, ohne zu erfahren, um wen es sich bei dem Erkrankten handelt. „Von außen kommend war es in keinem Test möglich, die Person zu identifizieren, die ein positives Testergebnis gemeldet hatte“, kommentierte Saxx. „Allerdings hatten wir Hacker natürlich keinen Zugang zum Backend der App, in dem die Daten verarbeitet werden, insofern kann ich dazu nichts sagen.“

„Vielleicht ist der dezentrale Ansatz auch wesentlich besser“

Im Gegensatz zur französischen soll die deutsche App nicht mit einem zentralen Server funktionieren, sondern die Kontakte, die ein Handynutzer hatte, nur lokal auf seinem Gerät speichern. Das mache einen großen Unterschied, sagte der Hacker: „Um eine solche Tracing-App zu konstruieren, ist der dezentrale Ansatz vielleicht auch wesentlich besser, denn man weiß ja nicht genau, was mit den Daten passiert, nachdem man das Formular ausgefüllt und sich als positiv getestet deklariert hat.“

In Frankreich sei eben die Entscheidung getroffen worden, auf einen zentralisierten Ansatz zu setzen. „Ich kann nicht sagen, ob die deutsche App besser funktionieren wird, denn ich hatte sie noch nicht in der Hand und konnte sie noch nicht testen“, sagte Saxx.

Die französische Regierung beteuert, dass die Daten keinen Personen zugeordnet werden und auch keine Geolokalisierung vorgenommen werde. Die gesammelten Daten des Nutzers können per Anweisung von seinem Handy auch jederzeit gelöscht werden. Die Datenschutzkommission Cnil zeigte sich insgesamt zufrieden mit der App und den von der Regierung gesetzten Grenzen. Sie lobte etwa, dass von den Erkrankten keine Bewegungsprofile erhoben würden.

Quelle: F.A.Z.
Autorenporträt / Benrath, Bastian
Bastian Benrath
Redakteur in der Wirtschaft.
Twitter
Autorenporträt / Schubert, Christian
Christian Schubert
Wirtschaftskorrespondent in Paris.
Twitter
  Zur Startseite
Verlagsangebot
Verlagsangebot