Daten­schutz vs. Corona-App

Blue­tooth und die Corona-App

Und? Schon instal­liert? Schon eine Warnung bekommen? Was instal­liert, welche Warnung? Na die Corona-App, was denn sonst!

Im Kampf gegen Covid19, umgangs­sprachlich auch Corona-Virus genannt, setzt die Regierung auch auf eine Lösung, bei der die Aus­breitung von Infek­tionen nach­ver­folgt werden kann, die „Corona-App“.
Idea­ler­weise sollte daher jeder diese App auf seinem Smart­phone instal­lieren und auch benützen. Ver­schiedene Firmen und Institute haben die Corona-App hin­sichtlich Sicherheit und Daten­schutz über­prüft und den Ent­wicklern bescheinigt, sie hätten dabei „einen guten Job gemacht“. Bei der App wurde sehr viel Wert auf eine sichere und anonyme Daten­ver­ar­beitung gelegt. Die Source-Code ist offen­gelegt, so dass auch Fehler schnell gefunden und behoben werden können. Die App ist also sicher?
Ja, aber wie sieht es mit Blue­tooth aus?
Zur Kom­mu­ni­kation wird zwingend das Pro­tokoll Blue­tooth benötigt. In den letzten Jahren sind aller­dings immer wieder Sicher­heits­lücken in Blue­tooth bekannt geworden (Blue­jacking, Bluebugging, Blues­narfing, Blue­Borne, BlueFrag, etc.), teil­weise kri­tische Pro­bleme, die Daten­verlust oder Angreifern einen uner­laubten Zugriff auf das Smart­phone ermög­lichen. Das Problem dabei sind die viel­fäl­tigen Kom­mu­ni­ka­ti­ons­mög­lich­keiten bei der Akti­vierung von Blue­tooth. Über Blue­tooth kann nicht nur ein Laut­sprecher (Audio) oder eine Maus (HID) ange­bunden werden. Blue­tooth unter­stützt fast 30 Pro­to­kolle (sog „Pro­files“, z.B. HID, A2DP, AVDTP, GATT, BNEP, DUN, GAP, HOGP, L2CAP,OPP, PANU, SPP, usw). Viele Mög­lich­keiten — auch unbe­wusst — Daten zu ver­lieren oder Angreifern Zugriff auf das Gerät zu ermög­lichen. Leider gibt es mit Bord­mitteln dafür keine „Firewall“ also keine Mög­lichkeit diese Pro­files auf bestimmte Klassen oder Anwen­dungen zu beschränken.
Also ist die Ver­wendung der Corona-App doch nicht sicher?
Bei genauerer Betrachtung sind viele der bekannt gewor­denen Schwach­stellen kein Problem von Blue­tooth, sondern ein Problem der Her­steller. Die Blue­­tooth-Software in den Geräten, der sog. „Blue­­tooth-Stack“ wird und wurde oft feh­lerhaft pro­gram­miert. Die Sicherheit von Blue­tooth und damit auch die Sicherheit bei der Ver­wendung der Corona-App hängt davon ab, ob im Gerät eine bekann­ter­maßen feh­ler­freie Software ver­wendet wird, also ob die not­wen­digen Sicher­heits­up­dates instal­liert sind.
Egal ob man nun ein Smart­phone mit alter oder auch aktu­eller Software ver­wendet, man sollte dennoch zurück­haltend mit Blue­­tooth-Ver­­­bin­­dungen umgehen, wenn nötig diese Ver­bindung nur in sicheren Umge­bungen her­stellen und sein Telefon nicht „mit allem und jedem“ koppeln. Bei dem „pairing“ (der Kopplung) mit irgend­einem Gadget schenkt man diesem Gerät sein Ver­trauen. Und wer kennt schon alle Funk­tionen die so ein Blue­­tooth-Gadget hat?
Für die aktu­ellen Modelle gibt es Updates, die auch die bekannten Fehler im Blue­­tooth-Stack beheben. Was ist aber mit den Modellen, die vom Her­steller nicht mehr unter­stützt werden? Für Geräte, die bisher kein Sicher­heits­update erhalten haben oder erhalten werden, sollte daher die Blue­­tooth-Nutzung auf die drin­gendsten Fälle beschränkt werden.
Für die Corona-App muss ich kein Gerät koppeln, aber Blue­tooth akti­vieren. Ist dies nun ein „drin­gender Fall“ — instal­lieren oder nicht instal­lieren, das ist hier die Frage.
Sowohl bei aktu­ellen Modellen aber vor allem bei älteren Geräten gilt es abzu­wägen was einem wich­tiger ist, die Infor­mation über Corona-Kon­­­takte oder der Schutz seiner Daten. Bei Geräten mit aktu­eller Software ist die Wahr­schein­lichkeit eines Daten­ver­lusts oder der Über­nahme des Smart­phones über Blue­tooth durch einen Angreifer gering. Bei ver­al­teter Software hin­gegen … aber das kennt man ja von Windows 7.