In dem Gutachten weist der Chaos Computer Club auf eine Vielzahl von Schwachstellen bezüglich der Corona-Datenspende-App des RKI hin.
In einer selektiven Analyse mit anschließenden Empfehlungen zwecks Veränderungen für die Verantwortlichen warnen Martin Tschirsich, Patrick Jäger und André Zilch vom Chaos Computer Club (CCC) vor der Corona-Datenspende-App des Robert-Koch-Instituts (RKI). In dem Gutachten weisen sie auf eine Vielzahl von Schwachstellen hin. Sie sehen Nachholbedarf besonders in Sachen Sicherheit und Datenschutz, berichtet die FAZ.
Die Corona-App-Veröffentlichung durch das RKI zur Weitergabe von Fitnesstracker-Daten fand bereits am 7. April 2020 statt. Hierbei geht es darum, dass Nutzer von Fitnessarmbändern und Smartwatches ihre gemessenen Gesundheitsdaten an das RKI übertragen. Beispielsweise übermitteln die Geräte Informationen zur eigenen Aktivität und Herzfrequenz. Diese Daten sollen Hinweise auf Corona-Symptome liefern. Zudem erhofft sich das RKI von diesen gewonnenen Daten eine zusätzliche Aufklärung über die Covid-19-Ausbreitung. Bereits innerhalb einer Woche hatten über 300.000 Menschen diese App heruntergeladen und installiert.
Chaos Computer Club bemängelt Informationssicherheit
Der CCC nahm nun aktuell die App genauer unter die Lupe. In ihrer Analyse weisen sie auf erhebliche Schwächen hin, besonders sei die Informationssicherheit nicht gewährleistet. Aufgrund der Sicherheitsmängel hätte die App „das Potenzial, die Akzeptanz von und das Vertrauen in App-gestützte Maßnahmen zur Eindämmung der SARS-CoV-2-Pandemie zu schwächen.“, verdeutlicht der CCC. Ein gesamtgesellschaftliches Risiko wäre bei der Nutzung nicht auszuschließen, besonders im Hinblick auf die Vielzahl der Nutzer.
RKI-Datenschutzerklärung steht im Widerspruch zur Realität
Anlass zur Kritik gibt im Einzelnen, dass bei den Usern von Google Fit, Fitbit, Withings sowie Polar, nicht aber von Apple Health, die Gesundheitsdaten direkt vom Fitnessarmbandhersteller-Server an das RKI geht. Theoretisch könne das RKI von diesem Server vollen Nutzer-Account-Zugriff erzielen. Damit ließen sich infolge der Nutzernamen und sämtliche Nutzerdaten ableiten. Die Tatsache steht nun in direktem Widerspruch zu der Datenschutzerklärung der Corona-Datenspende-App. Darin heißt es:
„Erfasste Daten werden von meinem Smartphone verschlüsselt zu den von uns ausschließlich in Deutschland betriebenen Servern übertragen, dort verarbeitet und gespeichert. Die App hat zu keinem Zeitpunkt Zugriff auf unmittelbar identifizierende Informationen wie Klarnamen oder Adresse.“
Laut Empfehlung vom CCC, sollten die Daten zunächst an das Nutzer-Smartphone gesendet werden und von dort aus an das RKI. Nur so ließe sich sichergestellen, dass zielgenau nur die relevanten Daten übertragen werden, die man dann vor der Weitergabe noch pseudonymisieren solle.
Hacker könnten Daten-Zugriff erhalten
Eine Daten-Pseudonymisierung seitens RKI wäre zwar auf deren Server gegeben. Jedoch bestünde hier dennoch auch die Gefahr, dass Hacker Zugriff auf die personenbezogenen Daten erhalten könnten, kompromittierten sie die RKI-Server. Das RKI speichere die Zugangsdaten, mit denen „auf die vollständige Fitness-Historie und die Namen der Datenspender zugegriffen werden kann“. Diese Methode würde eine Türe öffnen, User unter Missbrauch dieser Zugangskennungen direkt zu identifizieren. Die gegebene Möglichkeit „hebelt den Zweck der Pseudonymisierung aus“.
Chaos Computer Club: Daten der App sind manipulierbar
Ein weiterer Kritikpunkt ergibt sich laut CCC aus der Manipulierbarkeit der Daten. Es sei denkbar, dass Hacker große Mengen gefälschter Daten an das RKI übertragen könnten. Das Szenarion sei nicht auszuschließen, da kein IP-Adressen-Abgleich der User zur Missbrauchskontrolle stattfinden würde. Als problematisch wertet der Verein CCC zudem die Tatsache, dass man den direkten RKI-Zugang zu den Nutzer-Fitnessdaten bei Deinstallation der App nicht automatisch beendet.
„Technische und organisatorische Risiken sollten immer transparent kommuniziert werden, sodass Nutzer eine informierte Entscheidung für oder gegen den Einsatz der App treffen können“, resümiert der CCC. Zahlreiche Risiken wären vermeidbar gewesen, hätte der App-Entwickler, Dienstleister mHealth Pioneers, die „10 Prüfsteine für die Beurteilung von „Contact Tracing“-Apps“ vom CCC mit einbezogen.
Tarnkappe.info