https://www.faz.net/-gqe-a09b6

Bericht eines Hackers : Was von Frankreichs Corona-App zu lernen ist

Das Symbol der französischen „StopCovid“-App Bild: AFP

Die französische Corona-Tracing-App kann schon seit einer Woche heruntergeladen werden. Ein Hacker stellt ihr ein gutes Zeugnis aus – doch selbst er sagt: Der deutsche Ansatz, die App zu bauen, ist vielleicht noch besser.

          3 Min.

          Während die deutsche App zur Nachverfolgung der Infektionsketten des Coronavirus in der kommenden Woche an den Start gehen soll, kann die französische schon seit vergangenen Dienstag kostenlos bezogen werden. Der Start von „StopCovid“ war nach Aussage der Regierung vielversprechend. Bis zum vergangenen Sonntag haben die Franzosen das Programm 1,25 Millionen Mal auf ihre Handys geladen.

          Bastian Benrath

          Redakteur in der Wirtschaft.

          Christian Schubert

          Wirtschaftskorrespondent in Paris.

          „Das ist ein guter Start, wenn man bedenkt, dass die Werbekampagne gerade erst angefangen hat“, sagte der französische Staatssekretär für Digitalfragen, Cédric O, in einem Radiointerview. Er betonte, dass die App von den 1,25 Millionen Nutzern auch aktiviert worden sei, denn dieser zusätzliche Schritt ist notwendig, damit sie funktioniert.

          Nach einer in England veröffentlichten Studie soll die App nur wirksam sein, wenn 60 Prozent der Bevölkerung sie benutzen. Doch nach Aussagen des Staatssekretärs wirke sie auch schon von einer Schwelle von 10 Prozent an, im Fall von Frankreich also ab 6 bis 7 Millionen Nutzern. Wichtig sei dabei auch die Betrachtung einzelner Ballungsräume.

          Vor der Veröffentlichung testeten die Hacker

          Die App soll Nutzer darüber informieren, wenn sie sich mindestens 15 Minuten lang im Abstand von maximal einem Meter zu einer infizierten Person aufgehalten haben. Dazu überwacht sie mittels der Funktechnologie Bluetooth, welche Handys sich in der Nähe des App-Nutzers aufgehalten haben. Alles beruhe auf Freiwilligkeit und Anonymisierung, betont die Regierung.

          Bevor sie veröffentlicht wurde, prüften eine Reihe von dafür engagierten Hackern die App auf Sicherheitslücken. Dabei seien zwölf Schwachstellen aufgefallen, heißt es von der Hackerplattform Yes We Hack, die den Test durchführte. Nur fünf der Schwachstellen hätten aber ein „kleineres oder moderates“ Sicherheitsrisiko dargestellt, kritische Lücken habe man nicht gefunden, sagte Rayna Stamboliyska, Sprecherin von Yes We Hack. „Die App hat nur eine einzige Funktion, was für ihre Sicherheit vorbildlich ist“, sagte sie. „Je weniger Funktionen eine App hat, desto weniger Angriffsszenarien gibt es.“

          Unternehmen bezahlten App aus eigener Tasche

          Yes We Hack ist Teil des Konsortiums aus Unternehmen und öffentlichen Stellen, das die App entwickelt hat. Zu ihm gehören Großunternehmen wie Orange, Capgemini und Dassault Systèmes ebenso wie Start-ups. Im Gegensatz zu SAP und T-Systems, welche die deutsche App entwickeln, haben sie für die Entwicklung kein staatliches Geld erhalten, die Regierung will lediglich für den Betrieb bezahlen.

          Die F.A.Z. konnte mit einem der an dem Test beteiligten Hacker sprechen. Er nennt sich Saxx und bestätigte den positiven Eindruck der App. „Es war uns nicht möglich, die Infrastruktur der App zu kompromittieren“, sagte er. „Der Quellcode der französischen App steht in einem Onlineverzeichnis zur Ansicht bereit. Ich empfehle den deutschen Entwicklern, sich diesen anzuschauen, da die App sehr gut konstruiert ist.“

          Hacker Saxx

          Prinzip von „StopCovid“ ist, dass eine Person, die positiv auf das Coronavirus getestet wurde, von ihrem Arzt ein Testergebnis mit einem QR-Code erhält. Scannt sie diesen mit ihrem Handy, löst sie damit eine Warnung an alle Personen aus, mit denen sie in Kontakt stand. Die App sei dabei vor Fehlalarmen gefeit, sagte Saxx: „Es war mir nicht möglich, ein falsch-positives Testergebnis einzugeben, weil die App nur QR-Codes akzeptierte, die wirklich offiziell von einem Arzt ausgestellt wurden.“

          Die Gruppe von Kontaktierten wird über einen zentralen Server ermittelt. Die Betroffenen werden über den Kontakt informiert und aufgefordert, sich an einen Arzt zu wenden, ohne zu erfahren, um wen es sich bei dem Erkrankten handelt. „Von außen kommend war es in keinem Test möglich, die Person zu identifizieren, die ein positives Testergebnis gemeldet hatte“, kommentierte Saxx. „Allerdings hatten wir Hacker natürlich keinen Zugang zum Backend der App, in dem die Daten verarbeitet werden, insofern kann ich dazu nichts sagen.“

          „Vielleicht ist der dezentrale Ansatz auch wesentlich besser“

          Im Gegensatz zur französischen soll die deutsche App nicht mit einem zentralen Server funktionieren, sondern die Kontakte, die ein Handynutzer hatte, nur lokal auf seinem Gerät speichern. Das mache einen großen Unterschied, sagte der Hacker: „Um eine solche Tracing-App zu konstruieren, ist der dezentrale Ansatz vielleicht auch wesentlich besser, denn man weiß ja nicht genau, was mit den Daten passiert, nachdem man das Formular ausgefüllt und sich als positiv getestet deklariert hat.“

          In Frankreich sei eben die Entscheidung getroffen worden, auf einen zentralisierten Ansatz zu setzen. „Ich kann nicht sagen, ob die deutsche App besser funktionieren wird, denn ich hatte sie noch nicht in der Hand und konnte sie noch nicht testen“, sagte Saxx.

          Die französische Regierung beteuert, dass die Daten keinen Personen zugeordnet werden und auch keine Geolokalisierung vorgenommen werde. Die gesammelten Daten des Nutzers können per Anweisung von seinem Handy auch jederzeit gelöscht werden. Die Datenschutzkommission Cnil zeigte sich insgesamt zufrieden mit der App und den von der Regierung gesetzten Grenzen. Sie lobte etwa, dass von den Erkrankten keine Bewegungsprofile erhoben würden.

          Weitere Themen

          Kritik von allen Seiten

          Söder und die Corona-Tests : Kritik von allen Seiten

          Bayern setzt in der Corona-Krise um, was viele Fachleute fordern – und wundert sich nun über die Reaktionen. Auch Söders bislang treuer Gefährte in der Pandemiebekämpfung, Winfried Kretschmann, geht nun einen anderen Weg.

          Topmeldungen

          Stellung einnehmen: Polizisten in der besagten Stuttgarter Krawallnacht im Juni

          Stuttgarter Krawallnacht : Das Wort „Stammbaumrecherchen“ fiel gar nicht

          Taugt ein Migrationshintergrund als Indiz zur Erklärung der Gewalttaten? Um das herauszufinden, will die Polizei nach den Krawallen in Stuttgart die Staatsbürgerschaft der Eltern einiger Tatverdächtiger überprüfen. Die Grünen sind entsetzt.
          Hunderte Deutsche hatten am Freitagabend ohne Gesichtsschutz wie in den Zeiten vor der Corona-Pandemie gefeiert.

          „Covid-Partys“ auf Mallorca : Sorge vor einer Tourismusphobie

          Angesichts der Zunahme der Corona-Neuinfektionen führen drei der beliebtesten Urlaubsziele in Spanien die Maskenpflicht in der Öffentlichkeit ein. Damit soll auch der Ruf der Touristen verbessert werden, der zuletzt wegen „Covid-Partys“ auf Mallorca gelitten hat.

          Donald Trump und die Wahrheit : Der Lügenpräsident

          Verzerrungen, Halbwahrheiten, Übertreibungen: Ein Team der „Washington Post“ hat Donald Trumps Falschaussagen seit seiner Amtseinführung dokumentiert. Es kommt zu einem erschütternden Befund.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.