Die Corona-Warn-App, entwickelt von SAP, der Deutsche Telekom-Tochter T-Systems und Partnern wird von TÜViT einer sicherheitstechnischen Untersuchung inklusive Datenschutzaspekte unterzogen. Dabei wird den besonderen Belangen der App, welche mit Gesundheitsdaten arbeitet, Rechnung getragen. Im Zuge der Untersuchung werden des Weiteren einschlägige Standards sowie der aktuelle Stand der Technik berücksichtigt.
Fokusaspekte der Prüfung:
- Aufdeckung möglicher unbeabsichtigter / irregulärer Informationsabflüsse
- Aufdeckung möglicher Schadfunktionen
- Aufdeckung möglicher Sicherheitsschwachstellen
- Überprüfung der sicheren Datenhaltung durch die App auf dem Gerät
- Überprüfung des sicheren Umgangs mit Credentials / Schlüsselmitteln
- Überprüfung der sicheren Datenübertragung
- Überprüfung verwendeter Endpunkte (z.B. Tracking, Cloudanbindung)
- Bewertung der Struktur der App, der Art und Zweckmäßigkeit der Realisierung
- Bewertung der Einhaltung von Datenschutzaspekten
Der Prüfablauf
Im Fokus der Untersuchung stehen die Covid-19 Tracing-Apps für das iOS- und Android-Betriebssystem. Die betriebssystemseitigen Implementierungen (OS Features) auf den jeweiligen Smartphones sind nicht Bestandteil der Untersuchung. Des Weiteren sind etwaige zentrale IT-Systeme ebenfalls nicht Bestandteil der Untersuchung.
Alle Ergebnisse der Prüfung werden in Form eines deutschsprachigen Abschlussberichtes zur Verfügung gestellt. Bei Zustimmung werden diese Ergebnisse auf Github veröffentlicht. Die Ergebnisse der Prüfung werden analysiert, bewertet und untereinander priorisiert. Der Abschlussbericht enthält neben den identifizierten Schwachstellen und der entsprechenden Beschreibung weitere Informationen:
- Aufbereitung und Konsolidierung der Testergebnisse
- Detaillierte Beschreibung der Schwachstelle bzw. detaillierter Hinweis zur Erkennung und Nachvollziehbarkeit (Proof-of-Concept)
- Referenzen auf mögliche Schwachstellendatenbanken (z. B. CVE, OWASP)
- Einschätzung der Kritikalität, Maßnahmenempfehlung zur Behebung der Mängel
- Zusammenfassung der Ergebnisse und die Einschätzung des allgemeinen datenschutzrechtlichen und sicherheitstechnischen Niveaus (Executive Summary)
- Dokumentation von Besonderheiten während des Testablaufs
Bestandteile der Prüfung
Die Covid-19 Tracing-App für das iOS-Betriebssystem (iPhone) wird in Anlehnung an die OWASP Mobile TOP 10 auf Schwachstellen getestet. Der Fokus liegt dabei auf:
- Improper Platform Usage
- Insecure Data Storage
- Insecure Communication
- Insecure Authentication
- Insufficient Cryptography
- Insecure Authorization
Die API-Schnittstelle wird in Anlehnung an die OWASP API Security TOP 10 auf Schwachstellen getestet. Der Fokus liegt dabei auf:
- Broken Object Level Authorization
- Broken User Authentication
- Excessive Data Exposure
- Lack of Resources and Rate Limiting
- Broken Function Level Authorization
- Mass Assignment
- Security Misconfiguration
- Injection
- Improper Assets Management
Die Covid-19 Tracing-App für das Android-Betriebssystem wird in Anlehnung an die OWASP Mobile TOP 10 auf Schwachstellen getestet. Der Fokus liegt dabei auf:
- Improper Platform Usage
- Insecure Data Storage
- Insecure Communication
- Insecure Authentication
- Insufficient Cryptography
- Insecure Authorization
Auf Basis der Testergebnisse der sicherheitstechnischen Untersuchung werden Datenschutzaspekte gemäß der DSGVO berücksichtigt. Der Fokus liegt dabei auf:
- Einhaltung der Datenschutzprinzipien (Artikel 5 DSGVO)
- Berücksichtigung der Betroffenenrechte und Transparenz
- Berücksichtigung Privacy by Design (Datenschutz durch Technikgestaltung)
- Berücksichtigung Privacy by Default (Datenschutz durch datenschutzfreundliche Voreinstellungen)
- Sicherheit der Verarbeitung
Grundlagen der Prüfung
Die Prüfung basiert auf den Informationen, Dokumenten und Unterlagen, die unter github.com/corona-warn-app veröffentlicht werden.