CCC kritisiert Corona-Datenspende-App
Der Chaos Computer Club (CCC) hat die sogenannte “Corona-Datenspende-App” des Robert-Koch-Instituts (RKI) einer Analyse unterzogen. Die Sicherheitsexperten Martin Tschirsich, Patrick Jäger und André Zilch kritisieren darin mehrere Aspekte der Smartphone-App, die sogenannte Vitaldaten von Fitnessarmbändern und Smartwatches an das RKI übermittelt.
Die am 7. April 2020 vorgestellte Datenspende-App soll helfen, über Daten wie den Ruhepuls und die Schlafanalyse frühzeitig Symptome einer Infektion mit dem Coronavirus zu erkennen und so “ein genaueres Bild über die Wirksamkeit der Maßnahmen zur Bekämpfung von COVID-19 zu gewinnen”. Nach Angaben des RKI hat die App bisher mehr als 400.000 Nutzerinnen und Nutzer.
In der Analyse haben die CCC-Experten festgestellt, dass die App die fraglichen Daten jedoch nicht vom Nutzer-Smartphone, sondern direkt von den Anbietern der Fitnesstracker abfragt. Damit habe das RKI über einen Zugangscode potenziell Zugriff auf den vollständigen Namen der Nutzer und auf Daten, die vor der aktivierten Spende aufgezeichnet wurden. Dies trifft allerdings nicht zu, wenn man die App auf einem iPhone mit Apple Health verknüpft hat. Dann werden die Daten erst auf das iPhone übertragen und die Datenspende-App hat nur Zugriff auf die dort freigegebenen Daten.
Daten nicht ausreichend pseudonymisiert
Die Experten des CCC kritisieren außerdem die unzureichende Pseudonymisierung der Daten, denn diese erfolge erst auf den Servern des RKI – und nicht bereits auf dem Smartphone des Nutzers. Es werden also vollständige Datensätze über das Internet übermittelt, die teilweise den vollen Namen der Spender enthalten. Nutzer hätten so keine Kontrolle über die Pseudonymisierung.
Um einen Fitnesstracker mit der App zu verbinden, sind zudem Zugangsdaten notwendig. Angreifern sei es grundsätzlich möglich, diese mitzulesen. Die Hürde für einen solchen Angriff sei niedrig, so der CCC. Das liege vor allem daran, dass innerhalb der App ein eingebetteter Browser verwendet wird, in dem es Schwachstellen gibt.
Manipulation möglich
Anfällig sei die App aber auch für Manipulationen: “Das RKI weiß weder, wer die Daten spendet, noch ob der Spender überhaupt existiert”, heißt es in einer Mitteilung des CCC. Somit sei es möglich, vorsätzlich falsche Daten an das RKI zu übermitteln um Entscheidungen auf Basis dieser Daten zu beeinflussen.
Der CCC sieht außerdem die Anforderungen an eine wirksame Einwilligung für die Verarbeitung von Gesundheitsdaten nach der Datenschutzgrundverordnung nicht erfüllt. Auch, da mangels Identitätsnachweises nicht klar sei, ob jemand die App tatsächlich für sich selbst installiert.
Deinstallation reicht nicht
Zudem bleibt der Datenzugriff laut CCC selbst dann bestehen, wenn die App deinstalliert wird. Diese Verknüpfung können Nutzer aber manuell aufheben. Unter iOS geht dies in der Health-App unter “Datenzugriff & Geräte”. Hier muss die Datenfreigabe für die “Datenspende” deaktiviert werden.
Unter Android findet sich die Option in der Google-Fit-App unter “Profil → Verbundene Apps verwalten”.
Einige Schwachstellen schon ausgebessert
Der CCC hatte die Ergebnisse seiner Analyse vorab dem RKI sowie den Entwicklern der App, der Firma Thryve, zur Verfügung gestellt. Erste Schwachstellen seien schon geschlossen worden, andere ließen sich aber nur “mit einigem Entwicklungsaufwand beseitigen”.
Kritik an der App hatte es schon bei ihrer Veröffentlichung gegeben, da der Quelltext nicht offen liegt und eine Analyse somit schwieriger ist.
Der CCC hatte zehn Prüfsteine für eine geplante Kontaktverfolgungs-App veröffentlicht. Einige der darin aufgeführten Punkte träfen aber auch auf die Datenspende-App zu und hätten berücksichtigt werden sollen, so der CCC. In Hinblick auf eine Kontaktverfolgungs-App fordert der CCC nun “proaktives Handeln”. Viele der Risiken ließen sich vermeiden, wenn die veröffentlichten Punkte berücksichtigt würden. Außerdem solle transparent über Risiken informiert werden, damit Nutzer entscheiden können, ob sie eine solche App nutzen wollen. (js)