Automatisierte Sicherheitsanalyse für mehrere Releases geplant
Die mit Beteiligung von Fraunhofer entwickelte deutsche Corona-Warn-App zur automatischen Nachverfolgung von Kontakten gilt als ein wichtiger Baustein in der Eindämmung der Corona-Pandemie. Im Auftrag der Fraunhofer-Gesellschaft prüft auch das Fraunhofer IEM nun in regelmäßigen Abständen den Quellcode der App und trägt somit zu deren Absicherung bei.

Die Strategie der Bundesregierung ist es, mithilfe der Corona-Warn-App die Infektionszahlen in Deutschland gering zu halten. Diese geht nur auf, wenn ein Großteil der Bevölkerung die App auch nutzt – und damit der zugrundeliegenden Technologie und ihrem Sicherheitskonzept vertraut. Sicherheitsschwachstellen in der Software der Corona-Warn-App und ihres Backends sollten deshalb so früh wie möglich erkannt und behoben – besser noch: von vornherein vermieden werden.

Zum Einsatz kommen am Fraunhofer IEM entwickelte Software-Tools
Genau daran arbeitet das Fraunhofer IEM: In den nächsten Monaten führen die IT-Sicherheitsexperten des Forschungsinstituts in regelmäßigen Abständen Analysen verschiedener Releases der Software durch. Die Leitfragen dabei: Werden unsichere kryptographische Funktionen verwendet? Existieren unsichere Datenflüsse, durch die sensible Tracking-Daten oder gar persönlichen Daten von Smartphone- oder Tablet-Nutzern unzureichend geschützt sind?

Für die Analyse setzt das Fraunhofer IEM die etablierten Softwarewerkzeuge CogniCrypt und FlowDroid ein. Diese, vom Fraunhofer IEM mitentwickelten Tools erlauben eine automatisierte statische Analyse der Corona-Warn-App für die Android-Plattform und ihr Backend. Besonders im Blick haben die Wissenschaftler mögliche Fehlnutzungen von Verschlüsselungstechnologien und unsichere Datenflüsse. Alle Analyseergebnisse werden manuell geprüft und aufbereitet. Findet das Team Schwachstellen, werden diese untersucht und mit konkreten Korrekturvorschlägen den Entwicklern der App gemeldet.

Weitere Informationen zum Thema IT-Security am Fraunhofer IEM