Wie Apps und Programmcode überprüft werden
Diskussionen über Struktur, Sicherheit und Datenschutz von Apps und Programmen sind in der IT seit Jahrzehnten an der Tagesordnung. Insbesondere durch die Corona-Pandemie ist dieses Thema in letzter Zeit aber auch gesamtgesellschaftlich breiter diskutiert worden. Anwendungen wie die Corona-Warn-App, die Luca-App und auch der geplante digitale Impfnachweis wurden und werden in Fachkreisen, aber auch in der breiten Öffentlichkeit, viel thematisiert.
Die Corona-Warn-App war erst als Ansatz mit einer zentralen Dateninfrastruktur geplant, bevor auf einen dezentralen Ansatz gewechselt wurde, nachdem klar war, dass Google und Apple nur diesen Weg mit ihrer Schnittstelle unterstützen. Luca sieht sich immer noch starker Kritik ausgesetzt. Und auch beim digitalen Impfnachweis gibt es noch Fragen zu Sicherheit und Datenschutz.
Dabei spielt immer die Frage eine große Rolle, inwiefern Systembeschreibung und Quellcode der jeweiligen Anwendungen öffentlich einsehbar sind – also Open Source sind. Die Corona-Warn-App wurde für die transparente Veröffentlichung gelobt und die nationalen Anwendungen für den digitalen Impfnachweis sind von Vorneherein als Open Source Projekte geplant – dazu sollen auch bald weitere Informationen erscheinen. Im Gegensatz dazu gab es bei Luca von der IT-Sicherheits-Community Kritik für die späte, unvollständige und zaghafte Veröffentlichung des Quellcodes.
Weshalb es so wichtig ist, dass solche digitalen Anwendungen von unabhängigen Stellen geprüft werden können; was Expertinnen und Experten tun, wenn sie den Quellcode und eine App generell begutachten; wie lange es dauert, bis es nach Veröffentlichung des Codes verlässliche Aussagen dazu gibt und was Journalistinnen und Journalisten bei der Berichterstattung über solche Themen beachten sollen, darüber liefert dieses Fact Sheet einen kurzen Überblick.
Das Fact Sheet können Sie hier als PDF herunterladen.
[1] Datenschutz-Grundverordnung (DSGVO): Erwägungsgrund 26. Satz 4 und 5.
Gemeinsame Stellungnahme zur digitalen Kontaktnachverfolgung (2021). Unterzeichnet von 77 Wissenschaftlerinnen und Wissenschaftlern aus dem Bereich der IT-Sicherheit in Deutschland.
Neumann L (06.04.2021): 10 Prüfsteine für die Beurteilung von „Contact Tracing“-Apps. Chaos Computer Club.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (2020): Anonymisierung - Eine Standortbestimmung zwischen der DSGVO und dem TKG.