Düsseldorf Der Streit um die Ticketbuchungsfunktion in der Corona-Warn-App (CWA) spitzt sich zu. In die Schusslinie gerät das Bundesinstitut für Sicherheit in der Informationstechnik (BSI). Auf eine Anfrage eines Abgeordneten aus der Ampelkoalition, die Handelsblatt Inside vorliegt, antwortet das BSI am 7. Januar, dass es den neuen Service nicht prüfe. Der Grund: Die Ticketbuchung finde in „Hintergrundsystemen des Betreibers“ statt.

40 Millionen Mal wurde die CWA bereits heruntergeladen, mit dem Versprechen der zuständigen politischen Stellen, dass persönliche Daten das Handy nicht verlassen. Die Zertifikatsprüfungsfunktion bricht mit diesem Konzept, denn der 3G-Status wird – wenn auch verschlüsselt und ohne Speicherung – zur Kontrolle an einen Betreiber verschickt, der dem Anbieter bestätigt, dass eine Person genesen, getestet oder geimpft ist. Noch ist die Funktion nicht aktiv, weil sie vom Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) geprüft wird.

Das BSI hat Entwicklungen und Veränderungen in der CWA bislang sicherheitstechnisch getestet, für die Prüfung des sogenannten Validierungsservices sei die Bundesbehörde aber nicht zuständig: „Die Entwicklung dieses Services wird eigenwirtschaftlich durch den Anbieter betrieben, sodass er nicht im Prüfauftrag des BSI liegt und somit keine Bewertung durch das BSI für diesen Service vorgenommen wurde“, teilt das BSI auf die Anfrage mit.

Der Abgeordnete aus der Ampelkoalition stellt daraufhin die Nachfrage, ob das BSI nicht den digitalen Verbraucherschutz in den Vordergrund stellen und die „Datenschnittstelle zwischen CWA und den Hintergrundsystemen einem Bewertungsauftrag“ unterziehen müsse. Die Sicherheitsbehörde äußert sich dazu am 17. Januar eher schwammig: „Bei dieser Prüfung wurden die in der CWA benötigten Schnittstellen für den Validation-Service betrachtet.“ Damit ist die Datenschranke in der CWA gemeint, aber nicht das weitere Buchungsverfahren. Anfragen von Handelsblatt Inside zum genauen Prüfprozess der Schnittstelle bleiben vom BSI unbeantwortet (Stand: 19.01.2022, 18 Uhr).

Politiker kritisiert BSI-Vorgehensweise

Karsten Klein, Bundestagsabgeordneter der FDP, macht darauf aufmerksam, dass der Datenschutz bei der CWA bisher eine große Bedeutung hatte. Das müsse auch für jede Weiterentwicklung der App gelten. „So muss Klarheit darüber bestehen, was genau das BSI mit welchem Ergebnis geprüft hat“, sagt er. Bei den Onlineverifikationsdiensten gebe es noch offene Fragen.

Die Bundestagsabgeordnete Anke Domscheit-Berg (Die Linke) sieht das BSI in der Verantwortung, auch die Ticketbuchung vollumfänglich zu prüfen. Denn seit der Verabschiedung des IT-Sicherheitsgesetzes 2.0 sei der Verbraucherschutz eine explizite Aufgabe der Bundesbehörde. „Wenn 40 Millionen Menschen mitten in einer Pandemie eine App mit Pandemiebezug nutzen, betrifft das fast die Hälfte der Bevölkerung, und das BSI sollte bei jeder Veränderung an der App, aber auch in ihrem Ökosystem eingebunden sein“, sagt sie. Ohne die „enge Einbindung“ des BSI gebe es heute nicht ihre hohe Akzeptanz, führt Domscheit-Berg fort. „Dieses Vertrauen darf durch potenzielle Sicherheits- oder Datenschutzrisiken nicht erschüttert werden“, sagt sie.

Auf seiner Webseite formuliert das BSI vier Ziele des digitalen Verbraucherschutzes: Verbraucher müssten zum Beispiel über die „geeignete Auswahl, den sicheren Einsatz und die sichere Nutzung von marktgängigen, vernetzten IT-Systemen und Online-Diensten, Hardware und Software“ aufgeklärt werden. Außerdem müsste man vor „strukturellen und aktuellen Sicherheitsrisiken dieser marktgängigen IT-Systeme und Online-Dienste“ warnen.

Neues Sicherheitsrisiko

Die IT-Sicherheitsexpertin Bianca Kastl hatte Handelsblatt Inside gegenüber bereits aufgezeigt, welche neuen Risiken durch die Funktion geschaffen werden. So würden zum Beispiel bei der Buchung eines Flugtickets Metadaten wie die IP-Adresse und Reisedaten anfallen, wodurch Rückschlüsse auf eine Person gezogen werden könnten. Kastl sprach von einer „Aufweichung der Anonymität“.

Auch der Prüfprovider könnte kompromittiert werden. „Für Kriminelle ist ein Prüfprovider, an den alle Impfzertifikate geschickt werden, ein lukratives Ziel“, sagt sie. Wird mit dieser Vorgehensweise das Vertrauen der Nutzerinnen in das größte Digitalprojekt Europas verspielt?

Mehr: