Katars Corona-App gab persönliche Daten preis
Aufgrund einer Sicherheitslücke hat Katars Corona-Kontaktverfolgungs-App Daten wie den Namen, den Gesundheitszustand und teilweise den Aufenthaltsort von Bürgern preisgegeben. Die Menschenrechtsorganisation Amnesty International hatte die App “Ehteraz” überprüft und die Sicherheitsmängel festgestellt. Die Regierung von Katar hat die Mängel mittlerweile abgestellt.
Die über die App erfassten Daten werden auf einem zentralen Server gespeichert. Die App authentifizierte sich gegenüber diesem Server nur mit der staatlichen Identifikationsnummer eines Bürgers. Diese Nummern sind laut Amnesty International nach einem festen Schema aufgebaut, sodass sie sich leicht erraten ließen, um an die persönlichen Daten zu gelangen. Ob Dritte tatsächlich auf die Daten zugegriffen haben, ist unklar.
Quarantäneort im QR-Code
Die App fragt bei dem Server einen farbkodierten QR-Code ab. Er enthält die Information, ob bei einer Person das Virus Sars-CoV-2 diagnostiziert wurde, sie sich in Quarantäne befindet, ein Verdacht auf eine Infektion vorliegt oder ob die Person gesund ist. Außerdem konnten aus dem QR-Code Namen sowie Isolationsorte von infizierten Personen ausgelesen werden.
Amnesty International hatte Katars Regierung am 21. Mai 2020 über die Sicherheitsprobleme informiert. Einen Tag später hatte die Regierung den Namen und Aufenthaltsort aus den QR-Codes entfernt. Am 24. Mai 2020 wurde zudem ein Update für die Ehteraz-App veröffentlicht. Sie ist nun mit einem neuen Anmeldeverfahren ausgestattet, um unrechtmäßige Datenzugriffe zu verhindern.
Laut Amnesty International ist die Sicherheitslücke damit zwar geschlossen, ob die Änderungen aber ausreichenden Schutz bieten, konnte die Organisation nicht überprüfen.
App-Nutzung ist Pflicht
Einwohner von Katar sind bereits seit dem 22. Mai 2020 verpflichtet, die App zu installieren. Wer ohne App kontrolliert wird, muss mit bis zu drei Jahren Gefängnis und einer Strafe von bis zu 200.000 Katar-Riyal beziehungsweise knapp 50.000 Euro rechnen. Allein für Android wurde die App bisher mehr als eine Millionen Mal heruntergeladen.
“Dieser Vorfall sollte eine Warnung für Regierungen auf der ganzen Welt sein, die eilig Kontaktverfolgungs-Apps veröffentlichen”, sagte Claudio Guarnieri von Amnesty International. Zu oft fehle es an Schutzvorrichtungen für die Privatsphäre. Die Menschenrechtsorganisation fordert außerdem, dass die Installation solcher Apps freiwillig bleibt.
Weitere Kritik an Katars App
Amnesty International kritisiert weiterhin, dass die Ehteraz-App nach wie vor Daten auf einem zentralen Server speichert. Zudem nutze die App zur Kontaktverfolgung nicht nur Bluetooth, sondern auch GPS. Die Regierung könne so jederzeit eine Standortverfolgung in Echtzeit aktivieren, um den Aufenthaltsort der Einwohnerinnen und Einwohner festzustellen.
In Deutschland gibt es bisher keine Kontaktverfolgungs-App. Der Chaos Computer Club (CCC) hatte zehn Prüfsteine für die geplante App veröffentlicht. Darin fordert der CCC ebenfalls unter anderem eine dezentrale Server-Infrastruktur und Freiwilligkeit.
Die deutsche App soll voraussichtlich Mitte Juni 2020 erscheinen und wird, wie vom CCC gefordert, eine dezentrale Infrastruktur nutzen. Auch wird die Installation freiwillig sein. (js)