Der UNIQA-Trojaner und seine Freunde

Open Source geht anders. Vertrauen schaffen auch. (13.4.2020, akin 9/2020))

Als „Rotkreuz-App“ wurde sie vermarktet, ein Label, dem die meisten Menschen vertrauen. Dann wurde klar, daß die Entwicklung vom Versicherungskonzern UNIQA finanziert wird — also jenem Konzern, mit dem unser Herr Bundeskanzler aufs Engste verbandelt ist. Die Entwicklung hingegen liegt bei der österreichischen Niederlassung des Firmenberatungskonzerns Accenture, der weltweit fast eine halbe Million Mitarbeiter hat und für den Softwareenwicklung nur ein Nebengeschäft ist. Mit an Bord bei der App ist natürlich ein Google-Lokalisierungsdienst und die Server sollen von Microsoft Azure sein. Ja, das sind Namen, deren Träger man schon weniger vertraut als dem Roten Kreuz.

Auch in Österreich war ganz offensichtlich geplant, diese App verpflichtend zu machen — sonst hätte ja nicht der UNIQA-Kanzler von einem Schlüsselanhänger für Diejenigen ohne Smartphone phantasieren müssen. Eine Fußfessel für alle ließ sich dann aber doch nicht durchsetzen.

Trotzdem verteidigten die Grünen in Person von Sigi Maurer massiv diese App. Diese sei total sicher und außerdem bald „Open Source“. Jedem, der sich mit Internetsicherheit näher beschäftigt, müssen da die Grausbirnen aufsteigen. Vor drei Jahrzehnten schon wurde im Zuge der Schaffung der freien Lizenz GNU-GPL definiert, was Open Source zu sein hat, auch um Sicherheit zu gewährleisten. Das heißt: Der menschenlesbare Quellcode mit allem Drum und Dran — also auch der Libraries und jeder bezugnehmenden Software wie sie zum Beispiel auf einem Server läuft — hat gleichzeitig mit der jeweiligen Version des fertigen Programms veröffentlicht zu werden. Diese Pflicht trifft nicht nur die Entwickler, sondern auch jeden Distributor der Software. Nur dann ist es möglich, zeitnah unabsichtliche Sicherheitslücken und absichtliche Hintertürchen zu entdecken, bevor das Programm zu große Verbreitung erfährt.

Wie machte man das bei der Corona-App? Zuerst wurde die mal mit viel Trara in einer ersten Version rausgeschmissen. Diese Version versprach, daß die Nutzer darüber die volle Kontrolle behalten. Ob das wahr war oder nicht, zeigte einem allerdings kein Licht, sondern da mußte man einfach darauf vertrauen. Die zweite Version sollte viel benutzerfreundlicher sein — sprich: Die Kontrolle durch die Benutzer wurde eingeschränkt. Auch sehr vertrauenserweckend!

NGOs als Beta-Tester

Aber dafür wird es ja bald Open Source! Schnecken! Bei Accenture sagt man jetzt, das ginge nicht so schnell, weil man da noch Probleme mit Lizenzen habe. Allerdings wußte man bei dem Konzern auch, daß man sich damit noch mehr Mißtrauen einhandelt. Man kam auf die Königsidee, daß man einzelnen NGOs Einsicht in den Code nehmen läßt. Am 9.April bekam EpicenterWorks diese Möglichkeit. Die sind da allerdings recht skeptisch. Daß Accenture erst auf Druck hin auch den Code der Serverkomponente herausrückte, war ziemlich symptomatisch. Die NGO unterschrieb nolens-volens einen Knebelvertrag vulgo „Geheimhaltungsvereinbarung“, weil man ansonsten nicht an den Code gelangt wäre. Die Formulierungen in diesem Vertrag sind so, daß die NGO wahrscheinlich den Code nicht einmal kompilieren, also in ein lauffähiges Programm umwandeln dürfte, um zu überprüfen, ob das wirklich der aktuelle Stand ist und identisch mit der fertigen App. Auch weiß niemand, ob nicht gleich ein weiteres Update passieren wird, was die Code-Review schon wieder obsolet machen würde.

Diese Code-Analyse ist auch nur bedingt vertragskonform veröffentlichbar. Einige Kommentatoren meinten daraufhin, daß die wenigen zum Schweigen verpflichteten NGOs einfach nur als Beta-Tester einer App mißbraucht würden, weil Accenture seinem eigenen Code nicht so wirklich vertraut. Kein Wunder: Bei der Geschwindigkeit, wie diese App und auch die Entsprechungen in anderen Ländern auf den Markt gebracht worden sind, ist zu vermuten, daß die Code-Qualität ungefähr der legistischen Qualität der diversen Corona-Gesetze und -Verordnungen entspricht.

EpicenterWorks verlangt weiterhin eine echte Veröffentlichung. Daß diese aber wahrscheinlich gar nicht geplant ist, zeigt ein weiterer Passus in der Vereinbarung: Sofort nach Fertigstellung der Code-Review habe die NGO den Code sofort wieder zurückzugeben oder zu vernichten. Jegliches Kopieren ist von vornherein untersagt. Anscheinend will der Konzern nur die Kritik an der App zum Verstummen bringen.

Ein seltsames Paar

Daß man das aber alles so schnell auf die Beine gestellt hat, liegt wohl weniger an der pandemischen Dringlichkeit, sondern daran, daß international an ähnlichen Lösungen gebastelt wird, die in Konkurrenz zu nationalen Lösungen wie dem UNIQA-Projekt stehen. Allen voran ist da ein erstaunliches Joint-Venture zwischen Google und Apple, das am 10.April öffentlich angekündigt worden ist. Mitte Mai soll weltweit eine App auf den Geräten der beiden Smartphonezampanos verfügbar sein, die man der Kontrolle durch die lokalen Behörden übergeben möchte, die diese dann nach ihren Bedürfnissen konfigurieren könnten — die Funktionalität soll identisch sein mit der hiesigen Softwarelösung. Demnächst aber soll diese App sogar in die Betriebssysteme Android und iOS direkt eingebaut werden. Beides soll natürlich auch nur freiwillig implementiert werden — wie ein Update eines Betriebssystems aber für den Normalnutzer verhinderbar ist, steht auf einem anderen Blatt.

Aber auch dieses seltsame Konsortium könnte zu langsam sein. Das Projekt PEPP-PT (Pan European Privacy Protecting Proximity Tracing) steht kurz vor seiner Fertigstellung und auch an der US-amerikanischen Elite-Uni MIT bastelt man schon fleißig an einer Lösung. Der Quellcode von PEPP-PT soll sogar unter der Open-Source-Lizenz der Mozilla Foundation veröffentlicht werden. Ob das wirklich passiert, bleibt nach den Erfahrungen mit Accenture allerdings fraglich. Blind vertrauen sollte man auf alle Fälle beim heutigen Stand keiner einzigen dieser Apps.

Was aber sicher kommen wird, ist ein Schwall von Internetbetrügern, die Mails aussenden, um aufzufordern, sich doch ein vermeintliches Sicherheitsupdate der diversen Apps herunterzuladen. Dann hat man ganz sicher einen Trojaner am Handy.

Bernhard Redl

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s