Stopp Corona App des ÖRK ein Datenschutz-Desaster?

Penetrationstester Heiko Frenzel hat sich die Android-Version der Stopp Corona App vom ÖRK genauer angesehen. Erhebliche Mängel tauchten auf.

Stopp Corona App
Stopp Corona App unsplash-logofabio

Seit der letzten Märzwoche ist vom Österreichischem Roten Kreuz (ÖRK) die Stopp Corona App im Google Play Store verfügbar. Penetrationstester Heiko Frenzel hat sich die Android-Version einmal genauer angesehen. Frenzel stellte dabei erhebliche Mängel „in Bezug auf die datenschutzrechtlichen Eigenschaften‘‚ fest. Er hält die App bei weitem nicht für so unbedenklich, wie Mitarbeiter der Firma SBA Research es in ihrer Einschätzung tun.


Mit der Stopp Corona App soll in Österreich die Infektionskette durchbrochen werden. Innerhalb kürzester Zeit wurde die App weit über 100.000 Mal heruntergeladen. Die Wiener Bundesregierung forcierte diese freiwillig zu installierende App. Man liebäugelte gleichzeitig mit technischen Lösungen, bei der automatisiert Daten an die Behörden übermittelt und von ihnen flächendeckend ausgewertet werden sollten. Davon hat man wohl erst wieder Abstand genommen.

stopp corona app

Daten werden an Microsofts Azure Cloud übertragen. Screenshot (Ausschnitt) von Heiko Frenzel, thx!

Laut erster Einschätzung soll die Stopp Corona App unbedenklich sein

Mehrere Mitarbeiter von SBA Research attestieren der App vom ÖRK eine recht hohe Datensicherheit. Lediglich das Tracking der sogenannten Handshakes solle „weiter kritisch beobachtet werden, da diese Funktionalität zur Erbringung der Leistung der App aus gegenwärtiger Sicht nicht unbedingt notwendig erscheint“, schrieb Markus Klemens, der Geschäftsführer von SBA Research, in seinem Fazit. Die Funktion Handshake müssen beide App-Nutzer aktiviert haben und zudem die Nummer ihres Gegenübers auswählen. Das funktioniert also nicht automatisch, sondern muss jeweils manuell angestoßen werden. Ob eine automatische Übermittlung der Daten künftig möglich sein wird, hängt von der Prüfung der datenschutzrechtlichen Grundlagen ab. Dies schrieb ein Mitarbeiter des ÖRK als Kommentar beim Google Play Store.

Analyse mittels Paket Sniffing und Reverse Engineering

1&1 PrivatsphäreFrenzels Analyse des Datenverkehrs bezieht sich auf den Stand vom 6. April 2020. Bei der Benutzung werden personenbezogene Daten an das ÖRK und den Wiener Dienstleister Accenture GmbH übermittelt. Rein theoretisch hätte auch Microsoft Zugang zu den Daten, weil man diese in Microsofts Azur Cloud speichert. Zudem werden innerhalb der App Dienste von Google eingesetzt. Die anfallenden Daten verlassen auf diesem Wege ebenfalls die EU-Grenzen. Das hätte man leicht durch eine Speicherung und Auswertung innerhalb Österreichs vermeiden können.

Heiko Frenzel bemängelt, man könne den Datenschutzinformationen nicht entnehmen, dass die Firma Proofpoint, Inc. aus Kalifornien ebenfalls Zugriff auf manche Daten erhält.

Der Techniker entdeckte zudem, dass Api-Schlüssel mit passender URL und andere Daten zur Authentifizierung der App unverschlüsselt im Klartext übertragen werden. Das bedeutet, dass man den Servern vorspielen könnte, eine original Stopp Corona App zu sein. „Wenn es also jemand wirklich darauf anlegt, könnte er sich ein ‚Späßchen‘ erlauben“. Man könnte also mit gefälschten oder frei erfundenen Daten beim Empfänger für jede Menge Verwirrung sorgen.

Frenzel kritisiert in der von ihm untersuchten Version die schwer zugänglichen Datenschutzhinweise und Nutzungsbedingungen. In der von der App verlinkten Datenschutzerklärung hat man die Datenverarbeitung durch Google oder Microsoft nicht erwähnt.

App überträgt fleißig Daten an US-Server, noch bevor jemand zugestimmt hat!

logo stopp corona app

Noch viel problematischer sei die Tatsache, dass „die App bereits vor jeglicher Information und Belehrung der Nutzer, eine Verbindung zu ‚fremden‘ Servern aufbaut, die dann noch nicht einmal dem Österreichischen Roten Kreuz – sondern zum Beispiel Microsoft – gehören.“ Direkt nach dem Start funkt die Software über mehrere Subdomains an die Server von Google und Microsoft. Das darf sie aber erst, nachdem der jeweilige Anwender der Verarbeitung seiner personenbezogenen Daten durch Dritte zugestimmt hat. Genau an diesem Punkt hört für Frenzel „jeglicher Spaß definitiv auf“. Dabei hätte das prüfende Unternehmen deutlich sorgfältiger hinschauen müssen.

Tarnkappe.info

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem bringt Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.