Chaos Computer Club kritisiert Corona-Datenspende-App des RKI

In dem Gutachten weist der Chaos Computer Club auf eine Vielzahl von Schwachstellen bezüglich der Corona-Datenspende-App des RKI hin.

Chaos Computer Club ccc
Bildquelle: geralt, thx! (Pixabay Lizenz)

In einer selektiven Analyse mit anschließenden Empfehlungen zwecks Veränderungen für die Verantwortlichen warnen Martin Tschirsich, Patrick Jäger und André Zilch vom Chaos Computer Club (CCC) vor der Corona-Datenspende-App des Robert-Koch-Instituts (RKI). In dem Gutachten weisen sie auf eine Vielzahl von Schwachstellen hin. Sie sehen Nachholbedarf besonders in Sachen Sicherheit und Datenschutz, berichtet die FAZ.

Die Corona-App-Veröffentlichung durch das RKI zur Weitergabe von Fitnesstracker-Daten fand bereits am 7. April 2020 statt. Hierbei geht es darum, dass Nutzer von Fitnessarmbändern und Smartwatches ihre gemessenen Gesundheitsdaten an das RKI übertragen. Beispielsweise übermitteln die Geräte Informationen zur eigenen Aktivität und Herzfrequenz. Diese Daten sollen Hinweise auf Corona-Symptome liefern. Zudem erhofft sich das RKI von diesen gewonnenen Daten eine zusätzliche Aufklärung über die Covid-19-Ausbreitung. Bereits innerhalb einer Woche hatten über 300.000 Menschen diese App heruntergeladen und installiert.


Chaos Computer Club bemängelt Informationssicherheit

Der CCC nahm nun aktuell die App genauer unter die Lupe. In ihrer Analyse weisen sie auf erhebliche Schwächen hin, besonders sei die Informationssicherheit nicht gewährleistet. Aufgrund der Sicherheitsmängel hätte die App „das Potenzial, die Akzeptanz von und das Vertrauen in App-gestützte Maßnahmen zur Eindämmung der SARS-CoV-2-Pandemie zu schwächen.“, verdeutlicht der CCC. Ein gesamtgesellschaftliches Risiko wäre bei der Nutzung nicht auszuschließen, besonders im Hinblick auf die Vielzahl der Nutzer.

RKI-Datenschutzerklärung steht im Widerspruch zur Realität

Chaosknoten ccc

Chaosknoten

Anlass zur Kritik gibt im Einzelnen, dass bei den Usern von Google Fit, Fitbit, Withings sowie Polar, nicht aber von Apple Health, die Gesundheitsdaten direkt vom Fitnessarmbandhersteller-Server an das RKI geht. Theoretisch könne das RKI von diesem Server vollen Nutzer-Account-Zugriff erzielen. Damit ließen sich infolge der Nutzernamen und sämtliche Nutzerdaten ableiten. Die Tatsache steht nun in direktem Widerspruch zu der Datenschutzerklärung der Corona-Datenspende-App. Darin heißt es:

„Erfasste Daten werden von meinem Smartphone verschlüsselt zu den von uns ausschließlich in Deutschland betriebenen Servern übertragen, dort verarbeitet und gespeichert. Die App hat zu keinem Zeitpunkt Zugriff auf unmittelbar identifizierende Informationen wie Klarnamen oder Adresse.“

Laut Empfehlung vom CCC, sollten die Daten zunächst an das Nutzer-Smartphone gesendet werden und von dort aus an das RKI. Nur so ließe sich sichergestellen, dass zielgenau nur die relevanten Daten übertragen werden, die man dann vor der Weitergabe noch pseudonymisieren solle.

Hacker könnten Daten-Zugriff erhalten

Eine Daten-Pseudonymisierung seitens RKI wäre zwar auf deren Server gegeben. Jedoch bestünde hier dennoch auch die Gefahr, dass Hacker Zugriff auf die personenbezogenen Daten erhalten könnten, kompromittierten sie die RKI-Server. Das RKI speichere die Zugangsdaten, mit denen „auf die vollständige Fitness-Historie und die Namen der Datenspender zugegriffen werden kann“. Diese Methode würde eine Türe öffnen, User unter Missbrauch dieser Zugangskennungen direkt zu identifizieren. Die gegebene Möglichkeit „hebelt den Zweck der Pseudonymisierung aus“.

Daten sind manipulierbar

cybercrime coronaEin weiterer Kritikpunkt ergibt sich laut CCC aus der Manipulierbarkeit der Daten. Es sei denkbar, dass Hacker große Mengen gefälschter Daten an das RKI übertragen könnten. Das Szenarion sei nicht auszuschließen, da kein IP-Adressen-Abgleich der User zur Missbrauchskontrolle stattfinden würde. Als problematisch wertet der CCC zudem die Tatsache, dass man den direkten RKI-Zugang zu den Nutzer-Fitnessdaten bei Deinstallation der App nicht automatisch beendet.

„Technische und organisatorische Risiken sollten immer transparent kommuniziert werden, sodass Nutzer eine informierte Entscheidung für oder gegen den Einsatz der App treffen können“, resümiert der CCC. Zahlreiche Risiken wären vermeidbar gewesen, hätte der App-Entwickler, Dienstleister mHealth Pioneers, die „10 Prüfsteine für die Beurteilung von „Contact Tracing“-Apps“ vom CCC mit einbezogen.

Tarnkappe.info

Ich bin bereits seit Januar 2016 Tarnkappen-Autor. Eingestiegen bin ich zunächst mit Buch-Rezensionen. Inzwischen schreibe ich bevorzugt über juristische Themen, wie P2P-Fälle, greife aber auch andere Netzthemen, wie Cybercrime, auf. Meine Interessen beziehen sich hauptsächlich auf Literatur.