ZDFheute

Schwachstelle im Datenbank-Management

Sie sind hier:

Corona-Tracing-App - Schwachstelle im Datenbank-Management

Datum:

Der Programmcode für die Corona-App ist seit einer Woche öffentlich. Viele Entwickler haben draufgeschaut und Fehler gefunden, u.a. im Datenbankteil. Die werden nun aufgearbeitet.

Zwei Menschen mit Masken schauen auf ein Smartphone
Um Kontakte nachverfolgen zu können, wird derzeit eine Corona-App entwickelt.
Quelle: reuters

Um die Corona-Tracing-App wurde heftig und lange gestritten. Immerhin kam dabei heraus, dass der Programmcode als Open Source veröffentlicht wird. Das hat bisher zu knapp 300 Verbesserungsvorschlägen und mehr als 250 Meldungen geführt.

Die Diskussion darüber wird öffentlich auf der Plattform Github geführt. "Man muss aufpassen, dass man solche Kommentare nicht falsch versteht", warnt der Stuttgarter Informatiker Alvar Freude vor Skandalisierungen solcher Fehlermeldungen.

Lebhafte Fehlersuche

Er hat sich den Datenbankteil des Quellcodes angeschaut und dabei eine Schwachstelle entdeckt. "Da werden beispielsweise Berechtigungen nicht gesetzt, so dass jeder, der Zugriff auf die Datenbank hat, die Daten auslesen oder löschen kann", beschreibt Freude den von ihm gefundenen Fehler.

Noch im Juni soll die App an den Start gehen. So können Infektionsketten nachvollzogen werden.

Beitragslänge:
1 min
Datum:

Die Entwickler der Tracing-App wollen das nun nacharbeiten. "Das gehört zum ganz normalen Prozess dazu, dass ich jemand den Code anschaut und der dann verbessert wird", betont Freude. Die teilweise aggressiv geführten Auseinandersetzungen und Debatten um Tracing-Apps haben in der IT-Community ihre Spuren hinterlassen. In der Fehlerdiskussion macht sich oft eine gewisse Unsicherheit breit.

Open Source wirkt

Informatiker wie Alvar Freude oder Henning Tillmann, der sich bereits am Pfingstmontag über die Benutzeroberfläche der App geäußert hatte, beteiligen sich an diesem Prüfprozess nach Open-Source-Regeln in ihrer Freizeit. Tagsüber arbeiten die Entwickler an ganz anderen Projekten, sozusagen in ihrem Brotberuf.

Abends und an den Wochenenden engagieren sie sich dann - ehrenamtlich - bei Projekten im Open-Source-Bereich, um die Software hier zu verbessern. Das machen sie auch bei der Tracing-App.

Wie funktioniert die App?

Beitragslänge:
1 min
Datum:

Entdeckung soll nicht zur Skandalisierung dienen

Sie fürchten aber gleichzeitig, dass ihre Arbeit als Grundlage für Übertreibungen und Skandalisierungen dient. Deshalb twitterte Alvar Freude auch gleich, nachdem er den Datenbankfehler entdeckt hatte:

Hinweis für Journalisten: dies ist keine Kritik an den Entwicklern. Kein Streit. Sondern es sind in der Entwicklung von Open Source Software übliche Verbesserungsvorschläge, die auch wiederum neuen Verbesserungsvorschlägen unterliegen können.

Die entdeckten Fehler und Schwachstellen, wie die beim Datenbank-Management, sind bislang keine großen Staatsangelegenheiten. Mit etwas Nacharbeit und einigen Zeilen Programmcode lässt sich das beheben.

Fehlerdiskussion ohne Skandalisierung

Passiert das im Falle der Schwachstelle im Datenbankteil nicht, können die Konsequenzen allerdings erheblich sein. "Die Daten können von Unbefugten ausgelesen, manipuliert oder sogar gelöscht werden", erklärt Alvar Freude.

Die Entwickler müssen jetzt das Berechtigungsmanagement verbessern. "Es dürfen nur die Datenbank-Benutzer zugreifen, die die entsprechenden Rechte haben", beschreibt Alvar Freude den Kernpunkt der Nacharbeit.

Die bisher verwendeten Standard-Berechtigungen in der Tracing sehen nämlich auch vor, dass Anwendungen mit Super-User-Rechten unbeschränkt auf die Datenbankbestände zugreifen können. Das ist ein Schwachstellen-Klassiker, der von Angreifern gern ausgenutzt wird.

Ein Computermodell des Coronavirus

Nachrichten | In eigener Sache -
Jetzt das ZDFheute Update abonnieren
 

Sie wollen morgens und abends ein praktisches Update zur aktuellen Lage? Dann abonnieren Sie unser ZDFheute Update.

Aktuelles zur Coronavirus-Krise

Jair Bolsonaro, Präsident von Brasilien

Brasiliens Präsident -
Bolsonaro mit Coronavirus infiziert
 

Der brasilianische Präsident Jair Bolsonaro hat sich mit dem Coronavirus infiziert. Das sagte der Staatschef am Dienstag nach einem positiven Test.

daniel andrews, premierminister von victoria, informiert ueber die aktuelle lage waehrend der corona-pandemie

Anstieg der Corona-Infektionen -
Erneut Ausgangssperre in Melbourne
 

In der australischen Millionen-Metropole Melbourne treten bis Mitte August erneut strikte Ausgangssperren in …

von Normen Odenthal
Gemerkt auf Mein ZDF! Merken beendet Bewertet! Bewertung entfernt Zur Merkliste hinzugefügt! Merken beendet Embed-Code kopieren HTML-Code zum Einbetten des Videos in der Zwischenablage gespeichert.
Bitte beachten Sie die Nutzungsbedingungen des ZDF.

Um zu verstehen, wie unsere Webseite genutzt wird und um dir ein interessenbezogenes Angebot präsentieren zu können, nutzen wir Cookies und andere Techniken. Hier kannst du mehr erfahren und hier widersprechen.

Um Sendungen mit einer Altersbeschränkung zu jeder Tageszeit anzuschauen, kannst du jetzt eine Altersprüfung durchführen. Dafür benötigst du dein Ausweisdokument.

Du wechselst in den Kinderbereich und bewegst dich mit deinem Kinderprofil weiter.