C..-App unsicher – Kommentar [de]

Die C’t titelt: C..-App der Telekom ist katastrophal unsicher

https://www.heise.de/ct/artikel/c-t-deckt-auf-Corona-App-der-Telekom-ist-katastrophal-unsicher-4694222.html

Soll kein Bashing sein, ich befürworte die App und sehe den Datenschutz ausnahmsweise zweitrangig hinter dem Zweck.

Trotzdem macht sowas Schmalverdiener wie mich nicht gerade glücklicher. Nach meiner Berufserfahrung ist der Ablauf wie folgt:

Bundesregierung bietet der Telekom 1 Milliarde Euro für die schnelle Entwicklung der App mit Sicherheit und Feature-Flut. Die Telekom besitzt keinerlei Kompetenz In-House, um das zu erledigen und ruft die Agentur BullShit-Software (Name frei erfunden) an. BullShit erhält großzügige 400.000€ für die App-Entwicklung und taugt gleichzeitig als Versicherung gegen öffentlichen Ausfall (jetzige Situation). BullShit hat leider keinerlei Kompetenz In-House (Kack-Programmierer, teuer, vorlaut, will doch keiner.. Ferraries sind viel geiler) und ruft Fred Noobert an. Der hat schon mal ne App programmiert. Der Email-Inhalt ist in etwa dieser „Man, Fred, beim letzten Auftrag hast du’s sowas von verbockt, das machst du jetzt bis gestern! Und wehe….!!!! Du weißt, wir haben Anwälte und so. Komm, mach es jut, dann 1500€ auf die Kralle, supi, oda?“

Fred Noobert baut die App, schläft drei Tage nicht und muss nach dieser Rückmeldung nun in psychiatrische Behandlung (und kann nächsten Monat schon wieder die Miete nicht bezahlen). Ich hoffe, der echte Fred Noobert macht sich selbst keine Vorwürfe, denn der kann am wenigsten dafür.

Es gibt aus gutem Grund Dinge wie:

  • Software-Häuser mit angestellten Programmierern
  • Pen-Tester und Sicherheitsberater (wäre bei einer einfachen Prüfung sofort aufgefallen und schnell behoben)
  • Erfahrene Projektmanager

Woher Fred allerdings ein 5 Jahre altes Zertifikat hatte, bleibt mir persönlich ein Rätsel. Ich wüsste nicht, wo ich das suchen sollte*. Für unter 100€ erhält man bei erfahrenen Anbietern beinahe „lebenslange“ Zertifikate nach höchsten Standards, wenn Let’s Encrypt nicht ausreicht – für etwas mehr Geld kann man selbst zur CA (Certificate Authority) werden und zukünftig Zertifikate gültig signieren**. Was man heutzutage, auch seitens C’t, als „echte“ Ende-zu-Ende-Verschlüsselung (end-to-end encryption) bezeichnet, taugt maximal für den Discounter. Transportverschlüsselung ist immer angreifbar, auch wenn man alles richtig macht. Das hat die NSA gezeigt, als sie per Windows-Update Mechanismus den Leuten einfach gefälschte Zertifikate bzw. CAs untergeschoben hat. Ein aufwendigerer Hack, aber durchaus machbar. Echte Ende-zu-Ende-Verschlüsselung bedeutet, dass Daten auf dem Gerät mit sicherem Schlüssel eingepackt, und erst am anderen Ende (je nach Anwendungsfalls ist das andere Ende nicht der Server) wieder ausgepackt werden. Wenn dafür keine Zertifikate zum Einsatz kommen sollen, nimmt man z.B. asymetrische RSA-Keys (technisch fast das gleiche, aber andere Trust-Umsetzung), Passwortverschlüsselung oder moderne Mechanismen wie JWT.

Trotzdem lernt Deutschland scheinbar nie aus den versenkten Millionen und gescheiterten IT-Projekten.

Zum Ende: Nein, ich hätte es nicht besser gemacht, als Fred – ich mache als Programmierer genauso Fehler, wie alle anderen. Das war ein Fehler des Projekt-Managements, und schließlich auch des Auftraggebers – dort plant man eine Sicherheitsprüfung ein, wenn es um ein derartiges, wichtiges Projekt geht.

MG

P.S.: Was würde ich mit 400.000€ tun? Vermutlich ein Software-Haus aufbauen, mit Leuten die was können, und erfolgreiche Projekte umsetzen.

*Aber ich hatte gerade einen Geistesblitz: Die Krise war von langer Hand geplant! Sorry, war nur ein April-Scherz – mit ernstem Bezug: Wahrscheinlich hat man einfach eine 5 Jahre alte App genommen und etwas umgebaut.

** Ja, das war etwas polemisch, ganz so einfach ist es natürlich nicht, zu einer öffentlichen CA zu werden. Die Telekom könnte es aber mal langsam gebacken bekommen – auch auf den Freemail @t-online SMTP-Servern gibt es bis dato keine gültigen Zertifikate. UDPATE: Durch Zufall bin ich kürzlich über das DTAG CA Root Zertifikat auf einem Server gestolpert. Die Sache bleibt mysteriös.

UPDATE: Der Text wurde verfasst, als von einer dezentralisierten Speicherung der Daten in den öffentlichen Medien die Rede war und bezieht sich auch nur auf diese Version.

UPDATE 2: Der Text wurde zu einer sehr frühen / anderen Version der App verfasst und bezieht sich nicht auf die aktuelle Release-Version, welche tatsächlich TüV-geprüft wurde. Ja, der TüV macht auch IT-Sicherheitsprüfungen, und hat in diesem Zusammenhang den zu kurzen Testzeitraum bemängelt. Ich mache übrigens auch IT-Sicherheitsprüfungen – und bemängele den zu kurzen Testzeitraum.