1 files changed, 67 insertions, 65 deletions

diff --git a/updates/2020/abofalle-datenspende.md b/updates/2020/abofalle-datenspende.md
index e1dc1b23..b44e4754 100644
--- a/updates/2020/abofalle-datenspende.md
+++ b/updates/2020/abofalle-datenspende.md
@@ -1,10 +1,10 @@
 title: CCC analysiert Corona-Datenspende des RKI
 date: 2020-04-20 11:57:30 
-updated: 2020-04-20 13:30:40 
+updated: 2020-04-20 16:24:33 
 author: presse
 tags: update, pressemitteilung
 
-Der Chaos Computer Club (CCC) veröffentlichte heute die Analyse der im Namen des Robert-Koch-Institut (RKI) als "Corona Datenspende" verbreiteten App. Vollmundige Versprechungen über Sicherheit und Datenschutz bei geheimgehaltenen Quellcode hatten das Interesse der Hacker geweckt. Ihr Argwohn war berechtigt: Auch in einer Black-Box-Analyse ließen sich eine handvoll Probleme identifizieren. Der Hersteller wurde informiert, bestätigte die Funde und gelobt Besserung.
+Der Chaos Computer Club (CCC) veröffentlichte heute die Analyse der im Namen des Robert-Koch-Institut (RKI) als "Corona Datenspende" verbreiteten App. Versprechungen über Sicherheit und Datenschutz bei geheimgehaltenen Quellcode hatten das Interesse der Sicherheitsforscher geweckt. Ihr Argwohn war berechtigt: Auch in einer Black-Box-Analyse ließen sich eine Handvoll Probleme identifizieren. Der Hersteller wurde informiert, bestätigte die Funde und gelobt Besserung.
 
 <!-- TEASER_END -->
 
@@ -30,11 +30,10 @@ vertrauensbildende Maßnahme gewesen.
 Doch auch ohne eine solche Offenlegung haben Sicherheitsforscher des CCC
 der „Datenspende“ auf den Zahn gefühlt.
 
-Insgesamt werden im Rahmen der Analyse sieben technische Aspekte
-bemängelt. Darüber hinaus bestehen Zweifel an der sauberen Umsetzung der
-DSGVO-Maßnahmen. Der CCC veröffentlicht heute die Ergebnisse dieser
-Analyse in einem detaillierten Bericht: [Blackbox-Sicherheitsbetrachtung
-der
+Insgesamt werden im Rahmen der Analyse acht technische und
+organisatorische Aspekte bemängelt. Der CCC veröffentlicht heute die
+Ergebnisse dieser Analyse in einem detaillierten
+Bericht: [Blackbox-Sicherheitsbetrachtung der
 Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf)
 
 -   ***Cloudanbindung:*** Das RKI holt sich die Daten der meisten Nutzer
@@ -56,6 +55,13 @@ Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf)
     Man-in-the-Middle-Angreifer mitgelesen werden. Zudem können
     Zugangsdaten beispielsweise zum Google-Konto des Nutzers bei Verlust
     oder Diebstahl des Smartphones durch Dritte ausgelesen werden.
+-   ***Organisatorische Defizite:*** Das RKI weiß weder, wer die Daten
+    spendet, noch ob der Spender überhaupt existiert. Dies öffnet
+    Manipulation Tür und Tor. Auch die bei Einwilligung zugesagten
+    Betroffenenrechte können nicht gewährt werden, da nicht
+    sichergestellt ist, dass es sich tatsächlich um den Betroffenen
+    handelt. Das RKI holt keine wirksame Einwilligung in die
+    Datenverarbeitung ein.
 
 ## Fazit
 
@@ -82,6 +88,16 @@ oder gegen den Einsatz der App treffen können. Indem auf die fertige
 technische Lösung eines Dienstleisters zurückgegriffen wurde, hat das
 RKI Flexibilität in der Berücksichtigung von Expertenmeinungen verloren.
 
+Die Digitalisierung im Gesundheitswesen könnte ferner eine Basis
+schaffen, dass in Zukunft auf ähnliche gesellschaftliche Situationen
+schnell reagiert werden kann, wenn nun schnellstmöglich auch [die
+organisatorischen Mängel um die elektronische
+Gesundheitskarte](/de/updates/2019/neue-schwachstellen-gesundheitsnetzwerk)
+
+[](/de/updates/2019/neue-schwachstellen-gesundheitsnetzwerk) abgestellt
+werden. Gerade die Umsetzung der organisatorischen Maßnahmen verschlingt
+viel Zeit und kann nicht erst im Notfall durchgeführt werden
+
 Download: [Blackbox-Sicherheitsbetrachtung der
 Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf)
 (PDF)
@@ -100,6 +116,10 @@ Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf)
 :   Der CCC hat seine Analyse vorab an das RKI und seinen Dienstleister
     übermittelt. Mit beiden stehen wir im Austausch.
 
+    Erste technische Verbesserungen wurden sofort nach der Ãœbermittlung
+    der Befunde implementiert und damit einhergehende Schwachstellen
+    geschlossen.
+
 **Wie schnell lassen sich die gefundenen technischen und organisatorischen Mängel abstellen?**
 
 :   Die technischen Mängel lassen sich teilweise rasch, teilweise aber
@@ -111,65 +131,47 @@ Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf)
     Digitalisierung des Gesundheitswesens einen zügigen und
     zielgerichteten Einsatz solcher Apps erheblich erschwert.
 
-**Kann ich meine Datenspende rückgängig machen, indem ich die App deinstalliere?**
+**Was können Nutzer unternehmen?**
 
 :   Grundsätzlich *könnten* erfolgreiche Angreifer Ihren Namen und Ihre
     Fitnesstracker-Daten extrahieren. Je nachdem, wie Sie persönlich den
     Schutzbedarf ihrer Fitnesstracker-Daten bewerten, können Sie
-    entscheiden, ob Sie überhaupt reagieren wollen. Wenn dieses Szenario
-    Sie nicht um den Schlaf bringt, müssen Sie gar nichts tun.
-
-    **Wenn Sie Ihre Datenspende abbrechen wollen, [empfiehlt das RKI
-    folgendes
-    Vorgehen](https://corona-datenspende.de/faq/ "Corona Datenspende FAQ"):**
-
-    *Sie können jederzeit die Freigabe der Daten in der
-    Corona-Datenspende-App zurücknehmen. Bitte folgen Sie diesen
-    Schritten:*
-
-    1.  *Öffnen Sie die Corona-Datenspende-App*
-    2.  *Öffnen Sie das Menü in der App (oben links)*
-    3.  *Wählen Sie den Menüpunkt „Datenquellen“ aus*
-    4.  *Trennen Sie die Verbindung bei den entsprechenden Quellen
-        (siehe Hinweis zu Apple Health; hier ist ein anderes Vorgehen
-        erforderlich)*
-    5.  *Wurde die Verknüpfung mit den Datenquellen getrennt, werden
-        keine Daten mehr an das Robert Koch-Institut übermittelt.*
-
-    *Sie können jederzeit alle an das Robert Koch-Institut übermittelten
-    Daten unter Angabe Ihres Pseudonyms löschen lassen.*
-
-    **Hinweis für Apple-Health-Nutzer:* Wenn Ihr Fitnessarmband oder
-    Ihre Smartwatch mit Apple Health arbeitet, muss die Datenfreigabe in
-    Apple Health zurückgezogen werden. Für die Trennung der
-    Corona-Datenspende von Apple Health folgen Sie bitte den folgenden
-    Schritten:*
-
-    1.  *Gehen Sie in die Einstellungen Ihres iPhones oder iPads*
-    2.  *Wählen Sie „Health“ aus*
-    3.  *Klicken Sie auf „Datenzugriff & Geräte“*
-    4.  *Wählen Sie „Datenspende“ aus*
-    5.  *Deaktivieren Sie die Freigabe für die verschiedenen Datentypen*
-
-    *Es werden dann keine weiteren Daten an das Robert Koch-Institut
-    übermittelt. Die Freigabe der Daten kann bei Verwendung von Apple
-    Health nicht in der Corona-Datenspende-App sondern nur in Apple
-    Health zurückgezogen werden.*
-
-    **Wenn Sie die bisher gespendeten Daten löschen lassen wollen,
-    [empfiehlt das RKI folgendes
-    Vorgehen](https://corona-datenspende.de/faq/ "Corona Datenspende FAQ"):**
-
-    *Sie können jederzeit alle dem Robert Koch-Institut zur Verfügung
-    gestellten Daten löschen lassen. Bitte folgen Sie diesen Schritten:*
-
-    1.  *Öffnen Sie die Corona-Datenspende-App*
-    2.  *Öffnen Sie das Menü in der App (oben links)*
-    3.  *Wählen Sie den Menüpunkt „Datenquellen“ aus*
-    4.  *Klicken Sie auf „Nutzer löschen“*
-    5.  *Bestätigen Sie die Löschung ein weiteres Mal*
-
-    *Die Daten werden automatisch innerhalb von 24 Stunden gelöscht.*
-
-    Wer ganz sicher gehen möchte, kann im Nachhinein eine
-    Betroffenenanfrage nach der Datenschutz-Grundverordnung stellen.
+    entscheiden, ob Sie überhaupt reagieren wollen.
+
+    In der Informiertheit liegt ein wesentlicher Punkt, um sich für oder
+    gegen die Nutzung der App zu entscheiden. Neben den bereits vom
+    Bundesdatenschutzbeauftragten Herrn Kelber genannten Punkten, dass
+    die Nutzer eindeutig und widerspruchsfrei informiert sein müssen,
+    welche Daten die App zu welchem Zweck sammelt, müssen die Bürger
+    auch über die mit der Nutzung der App verbunden Risiken der
+    Informationssicherheit informiert werden.
+
+    Unter iOS ist die Datenbereitstellung über Apple Health zu
+    bevorzugen, da hierüber im Gegensatz zu anderen Datenquellen keinen
+    Zugriff von Seiten des RKI über einen zentralen Zugangscode möglich
+    ist.
+
+**Was hätte bei der Entwicklung der App besser laufen müssen?**
+
+:   Gerade vor dem Hintergrund des hohen Zeitdrucks, schnell eine App zu
+    realisieren, hätte der Entwicklungsprozess anders gestaltet werden
+    können. Die aktuellen Bemühungen im Rahmen der Entwicklung der
+    „Contact Tracing“-Apps haben gezeigt, dass durch eine Nutzung von
+    Experten aus verschiedenen Fachrichtungen Ergebnisse erzielt werden
+    können, die weit über das hinausgehen, was einzelne Unternehmen mit
+    begrenzten Ressourcen leisten können.
+
+    Indem auf eine bereits etablierte technische Lösung zurückgegriffen
+    wurde, hat das RKI Flexibilität in der Berücksichtigung dieser
+    Expertenmeinungen verloren.
+
+**Kann ich die Datenspende auch nach Deinstallation der App noch abbrechen?**
+
+:   Sie können die Datenweitergabe manuell auch nach Deinstallation der
+    App über ihren Fitnesstracker-Anbieter beenden. Das Vorgehen bei
+    Datenspende über Apple Health hat das RKI [in seinen
+    FAQ](https://corona-datenspende.de/faq/) beschrieben. Das Vorgehen
+    bei Datenspende über Google Fit ist ähnlich: Öffnen Sie die Google
+    Fit-App, und gehen Sie in die Einstellungen unter „Profil“. Unter
+    „Verbundene Apps verwalten“ können Sie die Verbindung mit der
+    Corona-Datenspende aufheben.