Nach dem Corona-Lockdown der Vormonate stehen die Zeichen in Deutschland zunehmend auf Rücknahme der Einschränkungen. Unterstützen soll dabei eine Corona-Warn-App, die derzeit mit Hochdruck von SAP und T-Systems entwickelt wird – und diese Woche in Betrieb gehen soll. IT-Sicherheit und die Einhaltung des Datenschutzes der App sollen von unabhängiger Stelle geprüft werden. Dafür hat das Bundesamtes für Sicherheit in der Informationstechnik (BSI) den TÜViT eingebunden, um mehr Akzeptanz in der Gesellschaft zu erhalten.

Die Maßnahmen und Kontaktbeschränkungen haben Wirkung gezeigt. Durch Lockerungsmaßnahmen gewinnen gesellschaftliches Leben und Wirtschaft wieder an Fahrt. Entstehen neue Infektionsketten, sind Transparenz und Geschwindigkeit die entscheidenden Faktoren, um eine erneute Ausbreitung des Virus einzudämmen.

Viele Länder setzten deshalb auf den Einsatz digitaler Hilfsmittel wie Corona-Apps. Wenn diese von rund 60 Prozent der Bevölkerung genutzt werden, lässt sich damit eine deutliche Wirkung erzielen. Doch auch weniger Nutzer helfen deutlich. Die Akzeptanz weiter Bevölkerungsteile bleibt Schlüssel für einen flächendeckenden Einsatz der App.

Freiwilligkeit und keine personenbezogenen Daten

Auf IT-Security, Datenschutz und Persönlichkeitsrechte wurde bereits in der App-Entwicklung höchstes Augenmerk gelegt. So werden keine Bewegungsprofile getrackt. Deutschland setzt auf einen dezentralen Ansatz mit Tracing per Bluetooth-Technologie. Dabei wird der Abstand zwischen zwei Smartphones gemessen. Sinkt dieser für gewisse Zeit unter einen kritischen Wert, tauschen beide Geräte einen verschlüsselten Code aus. Erst im Nachgang erfährt ein Nutzer völlig anonym über einen Abgleich ausschließlich auf dem Smartphone, dass er unmittelbaren Kontakt zu einer infizierten Person hatte. Zudem gilt das Prinzip der Freiwilligkeit. Das beginnt schon beim Download der App. Ob Betroffene ihr eigene Infektion melden, entscheiden sie selbst. Wird die App gelöscht, gilt das auch für die Daten. Personenbezogene Informationen werden nicht erhoben.

„Ob diese Anforderungen im Detail auch so umgesetzt wurden, ist Gegenstand unserer Prüftätigkeit“, erklärt Christian Freckmann, Abteilungsleiter Business Security & Privacy bei TÜViT. Um ihn herum analysieren Tester bereits die ersten gelieferten Quellcodes. Datenschützer prüfen, ob Datenschutzrichtlinien, Einwilligungserklärungen und das Datenschutzkonzept hinlänglich implementiert sind. TÜViT ist von den Möglichkeiten des IoT überzeugt. Doch es gibt auch Schattenseiten. Deshalb sind IT- und Datensicherheit auch in Zeiten von Corona ein unbedingtes Muss.

Quelle: TüvIT