1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
|
title: CCC analysiert Corona-Datenspende des RKI
date: 2020-04-20 11:57:30
updated: 2020-04-20 13:07:10
author: presse
tags: update, pressemitteilung
Der Chaos Computer Club (CCC) veröffentlichte heute die Analyse der im Namen des Robert-Koch-Institut (RKI) als "Corona Datenspende" verbreiteten App. Vollmundige Versprechungen über Sicherheit und Datenschutz bei geheimgehaltenen Quellcode hatten das Interesse der Hacker geweckt. Ihr Argwohn war berechtigt: Auch in einer Black-Box-Analyse ließen sich eine handvoll Probleme identifizieren. Der Hersteller wurde informiert, bestätigte die Funde und gelobt Besserung.
<!-- TEASER_END -->
Seit Wochen wird in Europa eine lebhafte Diskussion über „Corona Apps“
geführt. Für derartige Anwendungen hat der CCC [kürzlich zehn
Prüfsteine](/de/updates/2020/contact-tracing-requirements "Prüfsteine des CCC für Contact-Tracing-Apps")
veröffentlicht. „Contact Tracing“ soll Infektionsketten zurückverfolgbar
und die Pandemie beherrschbar machen, so die Hoffnung.
In diese Erwartungshaltung hinein platzierte das RKI am 7. April eine
App ganz anderer Natur – die „Corona-Datenspende“. Über diese App leiten
inzwischen über 400.000 Freiwillige Daten ihres Fitnesstrackers an das
RKI. Das erklärte Ziel: Eine bessere Vorhersage von Infektionen und
damit eine verbesserte Steuerung von Eindämmungsmaßnahmen gegen die
SARS-CoV-2-Pandemie.
Auch wenn die zehn Prüfsteine des CCC nicht für diese Art von App
formuliert wurden, beinhalten sie doch einige wichtige Prinzipien, die
auch bei einer „Datenspende“ berücksichtigt werden sollten. So wäre eine
Offenlegung von Architektur und Quellcode der App die wohl wichtigste
vertrauensbildende Maßnahme gewesen.
Doch auch ohne eine solche Offenlegung haben Sicherheitsforscher des CCC
der „Datenspende“ auf den Zahn gefühlt.
Insgesamt werden im Rahmen der Analyse sieben technische Aspekte
bemängelt. Darüber hinaus bestehen Zweifel an der sauberen Umsetzung der
DSGVO-Maßnahmen. Der CCC veröffentlicht heute die Ergebnisse dieser
Analyse in einem detaillierten Bericht: [Blackbox-Sicherheitsbetrachtung
der
Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf)
- ***Cloudanbindung:*** Das RKI holt sich die Daten der meisten Nutzer
wider Erwarten nicht vom Smartphone, sondern direkt von den
Anbietern der Fitnesstracker – und hat über einen Zugangscode
potentiell Zugriff sowohl auf Klarnamen der Spender als auch deren
Fitnessdaten vor Beginn der Spende. Bei einer einfachen
Deinstallation der App bleibt dieser Zugriff auch weiterhin
bestehen.
- ***Mangelhafte Pseudonymisierung:*** Entgegen der Darstellungen
werden die hochsensiblen Gesundheitsdaten der meisten Nutzer nicht
schon auf dem Smartphone pseudonymisiert, sondern vollständig und
teils mitsamt Klarnamen der Datenspender abgerufen. Eine
Pseudonymisierung findet erst auf Seiten des RKI statt und kann
durch die Nutzer nicht kontrolliert oder verifiziert werden.
- ***Unzureichender Schutz der Zugangsdaten:*** Bei Verknüpfung der
App mit einem Fitnesstracker müssen dessen Zugangsdaten eingegeben
werden. In der Mehrzahl der Fälle könnten diese durch
Man-in-the-Middle-Angreifer mitgelesen werden. Zudem können
Zugangsdaten beispielsweise zum Google-Konto des Nutzers bei Verlust
oder Diebstahl des Smartphones durch Dritte ausgelesen werden.
## Fazit
Das RKI hat vor dem Hintergrund der gebotenen Eile im Umgang mit der
SARS-CoV-2-Pandemie in sehr kurzer Zeit eine „Corona-App“ herausgegeben.
Der CCC konnte darin die Verletzung einiger „best practices“
feststellen. Zwar gelang zum jetzigen Zeitpunkt kein unmittelbarer
direkter Zugriff auf die gesammelten Daten, aber die Risiken sind auf
Dauer nicht tragbar. Der CCC empfiehlt eine rasche Umsetzung der
empfohlenen Maßnahmen zur Behebung.
Für künftige Vorhaben empfiehlt der CCC darüber hinaus proaktives
Handeln: Viele der identifizierten Risiken ließen sich durch
Berücksichtigung der vom CCC veröffentlichten zehn Prüfsteine
eliminieren. Die darin vom CCC geforderte Transparenz fördert zudem eine
aktive und konstruktive Einbindung der Fachöffentlichkeit und hat damit
das Potential, künftige App-gestützte Maßnahmen zur Eindämmung der
SARS-CoV-2-Pandemie und anderer Anwendungen noch schneller zur Reife zu
bringen.
Technische und organisatorische Risiken sollten immer transparent
kommuniziert werden, so dass Nutzer eine informierte Entscheidung für
oder gegen den Einsatz der App treffen können. Indem auf die fertige
technische Lösung eines Dienstleisters zurückgegriffen wurde, hat das
RKI Flexibilität in der Berücksichtigung von Expertenmeinungen verloren.
Download: [Blackbox-Sicherheitsbetrachtung der
Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf)
(PDF)
## FAQ
**Konnte der CCC auf meine Gesundheitsdaten zugreifen?**
: Nein. Der CCC hat vielmehr festgestellt, dass die Hürde für
Angreifer zu niedrig liegt. Einem erfolgreichen Angreifer würden
sich Gesundheitsdaten aus der Zeit vor der Datenspende sowie
Klarnamen der Spender offenbaren. Dies ist ein vermeidbares Risiko.
**Hat das RKI bereits reagiert?**
: Der CCC hat seine Analyse vorab an das RKI und seinen Dienstleister
übermittelt. Mit beiden stehen wir im Austausch.
**Wie schnell lassen sich die gefundenen technischen und organisatorischen Mängel abstellen?**
: Die technischen Mängel lassen sich teilweise rasch, teilweise aber
nur mit einigem Entwicklungsaufwand beseitigen. Die
organisatorischen Mängel können jedoch nur mit großem Aufwand
beseitigt werden.
Hier zeigt sich, dass die in den letzten fünfzehn Jahren versäumte
Digitalisierung des Gesundheitswesens einen zügigen und
zielgerichteten Einsatz solcher Apps erheblich erschwert.
**Kann ich meine Datenspende rückgängig machen, indem ich die App deinstalliere?**
: Grundsätzlich *könnten* erfolgreiche Angreifer Ihren Namen und Ihre
Fitnesstracker-Daten extrahieren. Je nachdem, wie Sie persönlich den
Schutzbedarf ihrer Fitnesstracker-Daten bewerten, können Sie
entscheiden, ob Sie überhaupt reagieren wollen. Wenn dieses Szenario
Sie nicht um den Schlaf bringt, müssen Sie gar nichts tun.
**Wenn Sie Ihr Datenspende-Abo beenden wollen, [empfiehlt das RKI
folgendes
Vorgehen](https://corona-datenspende.de/faq/ "Corona Datenspende FAQ"):**
*Sie können jederzeit die Freigabe der Daten in der
Corona-Datenspende-App zurücknehmen. Bitte folgen Sie diesen
Schritten:*
1. *Öffnen Sie die Corona-Datenspende-App*
2. *Öffnen Sie das Menü in der App (oben links)*
3. *Wählen Sie den Menüpunkt „Datenquellen“ aus*
4. *Trennen Sie die Verbindung bei den entsprechenden Quellen
(siehe Hinweis zu Apple Health; hier ist ein anderes Vorgehen
erforderlich)*
5. *Wurde die Verknüpfung mit den Datenquellen getrennt, werden
keine Daten mehr an das Robert Koch-Institut übermittelt.*
*Sie können jederzeit alle an das Robert Koch-Institut übermittelten
Daten unter Angabe Ihres Pseudonyms löschen lassen.*
**Hinweis für Apple-Health-Nutzer:* Wenn Ihr Fitnessarmband oder
Ihre Smartwatch mit Apple Health arbeitet, muss die Datenfreigabe in
Apple Health zurückgezogen werden. Für die Trennung der
Corona-Datenspende von Apple Health folgen Sie bitte den folgenden
Schritten:*
1. *Gehen Sie in die Einstellungen Ihres iPhones oder iPads*
2. *Wählen Sie „Health“ aus*
3. *Klicken Sie auf „Datenzugriff & Geräte“*
4. *Wählen Sie „Datenspende“ aus*
5. *Deaktivieren Sie die Freigabe für die verschiedenen Datentypen*
*Es werden dann keine weiteren Daten an das Robert Koch-Institut
übermittelt. Die Freigabe der Daten kann bei Verwendung von Apple
Health nicht in der Corona-Datenspende-App sondern nur in Apple
Health zurückgezogen werden.*
**Wenn Sie die bisher gespendeten Daten löschen lassen wollen,
[empfiehlt das RKI folgendes
Vorgehen](https://corona-datenspende.de/faq/ "Corona Datenspende FAQ"):**
*Sie können jederzeit alle dem Robert Koch-Institut zur Verfügung
gestellten Daten löschen lassen. Bitte folgen Sie diesen Schritten:*
1. *Öffnen Sie die Corona-Datenspende-App*
2. *Öffnen Sie das Menü in der App (oben links)*
3. *Wählen Sie den Menüpunkt „Datenquellen“ aus*
4. *Klicken Sie auf „Nutzer löschen“*
5. *Bestätigen Sie die Löschung ein weiteres Mal*
*Die Daten werden automatisch innerhalb von 24 Stunden gelöscht.*
Wer ganz sicher gehen möchte, kann im Nachhinein eine
Betroffenenanfrage nach der Datenschutz-Grundverordnung stellen.
|