committing page revision 1

author: linus <linus@berlin.ccc.de> 2020-04-20 11:57:30 +0000
committer: linus <linus@berlin.ccc.de> 2020-05-23 13:40:26 +0000
commit: 8a2e5f881ff15805f21e3fdcde2727d55d5992ab (patch)
tree: 05cf91ffb3f1a6c998c4073e08a775cdb8f83566 /updates/2020
parent: fd2addc85755d8c43a1acef6542327af321f23e4 (diff)
1 files changed, 175 insertions, 0 deletions
diff --git a/updates/2020/abofalle-datenspende.md b/updates/2020/abofalle-datenspende.md
new file mode 100644
index 00000000..5678487d
--- /dev/null
+++ b/updates/2020/abofalle-datenspende.md
@@ -0,0 +1,175 @@
+title: Vorsicht Abofalle! CCC analysiert Corona-Datenspende des RKI
+date: 2020-04-20 11:57:30 
+updated: 2020-04-20 11:57:30 
+author: presse
+tags: update, pressemitteilung
+Der Chaos Computer Club (CCC) veröffentlichte heute die Analyse der im Namen des Robert-Koch-Institut (RKI) als "Corona Datenspende" verbreiteten App. Vollmundige Versprechungen über Sicherheit und Datenschutz bei geheimgehaltenen Quellcode hatten das Interesse der Hacker geweckt. Ihr Argwohn war berechtigt: Auch in einer Black-Box-Analyse ließen sich eine handvoll Probleme identifizieren. Der Hersteller wurde informiert, bestätigte die Funde und gelobt Besserung.
+<!-- TEASER_END -->
+Seit Wochen wird in Europa eine lebhafte Diskussion über „Corona Apps“
+geführt. Für derartige Anwendungen hat der CCC [kürzlich zehn
+Prüfsteine](/de/updates/2020/contact-tracing-requirements "Prüfsteine des CCC für Contact-Tracing-Apps")
+veröffentlicht. „Contact Tracing“ soll Infektionsketten zurückverfolgbar
+und die Pandemie beherrschbar machen, so die Hoffnung.
+In diese Erwartungshaltung hinein platzierte das RKI am 7. April eine
+App ganz anderer Natur – die „Corona-Datenspende“. Über diese App leiten
+inzwischen über 400.000 Freiwillige Daten ihres Fitnesstrackers an das
+RKI. Das erklärte Ziel: Eine bessere Vorhersage von Infektionen und
+damit eine verbesserte Steuerung von Eindämmungsmaßnahmen gegen die
+SARS-CoV-2-Pandemie.
+Auch wenn die zehn Prüfsteine des CCC nicht für diese Art von App
+formuliert wurden, beinhalten sie doch einige wichtige Prinzipien, die
+auch bei einer „Datenspende“ berücksichtigt werden sollten. So wäre eine
+Offenlegung von Architektur und Quellcode der App die wohl wichtigste
+vertrauensbildende Maßnahme gewesen.
+Doch auch ohne eine solche Offenlegung haben Sicherheitsforscher des CCC
+der „Datenspende“ auf den Zahn gefühlt.
+Insgesamt werden im Rahmen der Analyse sieben technische Aspekte
+bemängelt. Darüber hinaus bestehen Zweifel an der sauberen Umsetzung der
+DSGVO-Maßnahmen. Der CCC veröffentlicht heute die Ergebnisse dieser
+Analyse in einem detaillierten Bericht: [Blackbox-Sicherheitsbetrachtung
+der
+Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf)
+-   ***Cloudanbindung:*** Das RKI holt sich die Daten der meisten Nutzer
+    wider Erwarten nicht vom Smartphone, sondern direkt von den
+    Anbietern der Fitnesstracker – und hat über einen Zugangscode
+    potentiell Zugriff sowohl auf Klarnamen der Spender als auch deren
+    Fitnessdaten vor Beginn der Spende. Bei einer einfachen
+    Deinstallation der App bleibt dieser Zugriff auch weiterhin bestehen
+    – es droht die klassische Abofalle.
+-   ***Mangelhafte Pseudonymisierung:*** Entgegen der Darstellungen
+    werden die hochsensiblen Gesundheitsdaten der meisten Nutzer nicht
+    schon auf dem Smartphone pseudonymisiert, sondern vollständig und
+    teils mitsamt Klarnamen der Datenspender abgerufen. Eine
+    Pseudonymisierung findet erst auf Seiten des RKI statt und kann
+    durch die Nutzer nicht kontrolliert oder verifiziert werden.
+-   ***Unzureichender Schutz der Zugangsdaten:*** Bei Verknüpfung der
+    App mit einem Fitnesstracker müssen dessen Zugangsdaten eingegeben
+    werden. In der Mehrzahl der Fälle könnten diese durch
+    Man-in-the-Middle-Angreifer mitgelesen werden. Zudem können
+    Zugangsdaten beispielsweise zum Google-Konto des Nutzers bei Verlust
+    oder Diebstahl des Smartphones durch Dritte ausgelesen werden.
+## Fazit
+Das RKI hat vor dem Hintergrund der gebotenen Eile im Umgang mit der
+SARS-CoV-2-Pandemie in sehr kurzer Zeit eine „Corona-App“ herausgegeben.
+Der CCC konnte darin die Verletzung einiger „best practices“
+feststellen. Zwar gelang zum jetzigen Zeitpunkt kein unmittelbarer
+direkter Zugriff auf die gesammelten Daten, aber die Risiken sind auf
+Dauer nicht tragbar. Der CCC empfiehlt eine rasche Umsetzung der
+empfohlenen Maßnahmen zur Behebung.
+Für künftige Vorhaben empfiehlt der CCC darüber hinaus proaktives
+Handeln: Viele der identifizierten Risiken ließen sich durch
+Berücksichtigung der vom CCC veröffentlichten zehn Prüfsteine
+eliminieren. Die darin vom CCC geforderte Transparenz fördert zudem eine
+aktive und konstruktive Einbindung der Fachöffentlichkeit und hat damit
+das Potential, künftige App-gestützte Maßnahmen zur Eindämmung der
+SARS-CoV-2-Pandemie und anderer Anwendungen noch schneller zur Reife zu
+bringen.
+Technische und organisatorische Risiken sollten immer transparent
+kommuniziert werden, so dass Nutzer eine informierte Entscheidung für
+oder gegen den Einsatz der App treffen können. Indem auf die fertige
+technische Lösung eines Dienstleisters zurückgegriffen wurde, hat das
+RKI Flexibilität in der Berücksichtigung von Expertenmeinungen verloren.
+Download: [Blackbox-Sicherheitsbetrachtung der
+Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf)
+(PDF)
+## FAQ
+**Konnte der CCC auf meine Gesundheitsdaten zugreifen?**
+:   Nein. Der CCC hat vielmehr festgestellt, dass die Hürde für
+    Angreifer zu niedrig liegt. Einem erfolgreichen Angreifer würden
+    sich Gesundheitsdaten aus der Zeit vor der Datenspende sowie
+    Klarnamen der Spender offenbaren. Dies ist ein vermeidbares Risiko.
+**Hat das RKI bereits reagiert?**
+:   Der CCC hat seine Analyse vorab an das RKI und seinen Dienstleister
+    übermittelt. Mit beiden stehen wir im Austausch.
+**Wie schnell lassen sich die gefundenen technischen und organisatorischen Mängel abstellen?**
+:   Die technischen Mängel lassen sich teilweise rasch, teilweise aber
+    nur mit einigem Entwicklungsaufwand beseitigen. Die
+    organisatorischen Mängel können jedoch nur mit großem Aufwand
+    beseitigt werden.
+    Hier zeigt sich, dass die in den letzten fünfzehn Jahren versäumte
+    Digitalisierung des Gesundheitswesens einen zügigen und
+    zielgerichteten Einsatz solcher Apps erheblich erschwert.
+**Kann ich meine Datenspende rückgängig machen, indem ich die App deinstalliere?**
+:   Grundsätzlich *könnten* erfolgreiche Angreifer Ihren Namen und Ihre
+    Fitnesstracker-Daten extrahieren. Je nachdem, wie Sie persönlich den
+    Schutzbedarf ihrer Fitnesstracker-Daten bewerten, können Sie
+    entscheiden, ob Sie überhaupt reagieren wollen. Wenn dieses Szenario
+    Sie nicht um den Schlaf bringt, müssen Sie gar nichts tun.
+    **Wenn Sie Ihr Datenspende-Abo beenden wollen, [empfiehlt das RKI
+    folgendes
+    Vorgehen](https://corona-datenspende.de/faq/ "Corona Datenspende FAQ"):**
+    *Sie können jederzeit die Freigabe der Daten in der
+    Corona-Datenspende-App zurücknehmen. Bitte folgen Sie diesen
+    Schritten:*
+    1.  *Öffnen Sie die Corona-Datenspende-App*
+    2.  *Öffnen Sie das Menü in der App (oben links)*
+    3.  *Wählen Sie den Menüpunkt „Datenquellen“ aus*
+    4.  *Trennen Sie die Verbindung bei den entsprechenden Quellen
+        (siehe Hinweis zu Apple Health; hier ist ein anderes Vorgehen
+        erforderlich)*
+    5.  *Wurde die Verknüpfung mit den Datenquellen getrennt, werden
+        keine Daten mehr an das Robert Koch-Institut übermittelt.*
+    *Sie können jederzeit alle an das Robert Koch-Institut übermittelten
+    Daten unter Angabe Ihres Pseudonyms löschen lassen.*
+    **Hinweis für Apple-Health-Nutzer:* Wenn Ihr Fitnessarmband oder
+    Ihre Smartwatch mit Apple Health arbeitet, muss die Datenfreigabe in
+    Apple Health zurückgezogen werden. Für die Trennung der
+    Corona-Datenspende von Apple Health folgen Sie bitte den folgenden
+    Schritten:*
+    1.  *Gehen Sie in die Einstellungen Ihres iPhones oder iPads*
+    2.  *Wählen Sie „Health“ aus*
+    3.  *Klicken Sie auf „Datenzugriff & Geräte“*
+    4.  *Wählen Sie „Datenspende“ aus*
+    5.  *Deaktivieren Sie die Freigabe für die verschiedenen Datentypen*
+    *Es werden dann keine weiteren Daten an das Robert Koch-Institut
+    übermittelt. Die Freigabe der Daten kann bei Verwendung von Apple
+    Health nicht in der Corona-Datenspende-App sondern nur in Apple
+    Health zurückgezogen werden.*
+    **Wenn Sie die bisher gespendeten Daten löschen lassen wollen,
+    [empfiehlt das RKI folgendes
+    Vorgehen](https://corona-datenspende.de/faq/ "Corona Datenspende FAQ"):**
+    *Sie können jederzeit alle dem Robert Koch-Institut zur Verfügung
+    gestellten Daten löschen lassen. Bitte folgen Sie diesen Schritten:*
+    1.  *Öffnen Sie die Corona-Datenspende-App*
+    2.  *Öffnen Sie das Menü in der App (oben links)*
+    3.  *Wählen Sie den Menüpunkt „Datenquellen“ aus*
+    4.  *Klicken Sie auf „Nutzer löschen“*
+    5.  *Bestätigen Sie die Löschung ein weiteres Mal*
+    *Die Daten werden automatisch innerhalb von 24 Stunden gelöscht.*
+    Wer ganz sicher gehen möchte, kann im Nachhinein eine
+    Betroffenenanfrage nach der Datenschutz-Grundverordnung stellen.
author	linus <linus@berlin.ccc.de>	2020-04-20 11:57:30 +0000
committer	linus <linus@berlin.ccc.de>	2020-05-23 13:40:26 +0000
commit	8a2e5f881ff15805f21e3fdcde2727d55d5992ab (patch)
tree	05cf91ffb3f1a6c998c4073e08a775cdb8f83566 /updates/2020
parent	fd2addc85755d8c43a1acef6542327af321f23e4 (diff)

diff --git a/updates/2020/abofalle-datenspende.md b/updates/2020/abofalle-datenspende.md new file mode 100644 index 00000000..5678487d --- /dev/null +++ b/updates/2020/abofalle-datenspende.md
@@ -0,0 +1,175 @@
	1	title: Vorsicht Abofalle! CCC analysiert Corona-Datenspende des RKI
	2	date: 2020-04-20 11:57:30
	3	updated: 2020-04-20 11:57:30
	4	author: presse
	5	tags: update, pressemitteilung
	6
	7	Der Chaos Computer Club (CCC) veröffentlichte heute die Analyse der im Namen des Robert-Koch-Institut (RKI) als "Corona Datenspende" verbreiteten App. Vollmundige Versprechungen über Sicherheit und Datenschutz bei geheimgehaltenen Quellcode hatten das Interesse der Hacker geweckt. Ihr Argwohn war berechtigt: Auch in einer Black-Box-Analyse ließen sich eine handvoll Probleme identifizieren. Der Hersteller wurde informiert, bestätigte die Funde und gelobt Besserung.
	8
	9	<!-- TEASER_END -->
	10
	11	Seit Wochen wird in Europa eine lebhafte Diskussion über „Corona Apps“
	12	geführt. Für derartige Anwendungen hat der CCC [kürzlich zehn
	13	Prüfsteine](/de/updates/2020/contact-tracing-requirements "Prüfsteine des CCC für Contact-Tracing-Apps")
	14	veröffentlicht. „Contact Tracing“ soll Infektionsketten zurückverfolgbar
	15	und die Pandemie beherrschbar machen, so die Hoffnung.
	16
	17	In diese Erwartungshaltung hinein platzierte das RKI am 7. April eine
	18	App ganz anderer Natur – die „Corona-Datenspende“. Über diese App leiten
	19	inzwischen über 400.000 Freiwillige Daten ihres Fitnesstrackers an das
	20	RKI. Das erklärte Ziel: Eine bessere Vorhersage von Infektionen und
	21	damit eine verbesserte Steuerung von Eindämmungsmaßnahmen gegen die
	22	SARS-CoV-2-Pandemie.
	23
	24	Auch wenn die zehn Prüfsteine des CCC nicht für diese Art von App
	25	formuliert wurden, beinhalten sie doch einige wichtige Prinzipien, die
	26	auch bei einer „Datenspende“ berücksichtigt werden sollten. So wäre eine
	27	Offenlegung von Architektur und Quellcode der App die wohl wichtigste
	28	vertrauensbildende Maßnahme gewesen.
	29
	30	Doch auch ohne eine solche Offenlegung haben Sicherheitsforscher des CCC
	31	der „Datenspende“ auf den Zahn gefühlt.
	32
	33	Insgesamt werden im Rahmen der Analyse sieben technische Aspekte
	34	bemängelt. Darüber hinaus bestehen Zweifel an der sauberen Umsetzung der
	35	DSGVO-Maßnahmen. Der CCC veröffentlicht heute die Ergebnisse dieser
	36	Analyse in einem detaillierten Bericht: [Blackbox-Sicherheitsbetrachtung
	37	der
	38	Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf)
	39
	40	- *Cloudanbindung:* Das RKI holt sich die Daten der meisten Nutzer
	41	wider Erwarten nicht vom Smartphone, sondern direkt von den
	42	Anbietern der Fitnesstracker – und hat über einen Zugangscode
	43	potentiell Zugriff sowohl auf Klarnamen der Spender als auch deren
	44	Fitnessdaten vor Beginn der Spende. Bei einer einfachen
	45	Deinstallation der App bleibt dieser Zugriff auch weiterhin bestehen
	46	– es droht die klassische Abofalle.
	47	- *Mangelhafte Pseudonymisierung:* Entgegen der Darstellungen
	48	werden die hochsensiblen Gesundheitsdaten der meisten Nutzer nicht
	49	schon auf dem Smartphone pseudonymisiert, sondern vollständig und
	50	teils mitsamt Klarnamen der Datenspender abgerufen. Eine
	51	Pseudonymisierung findet erst auf Seiten des RKI statt und kann
	52	durch die Nutzer nicht kontrolliert oder verifiziert werden.
	53	- *Unzureichender Schutz der Zugangsdaten:* Bei Verknüpfung der
	54	App mit einem Fitnesstracker müssen dessen Zugangsdaten eingegeben
	55	werden. In der Mehrzahl der Fälle könnten diese durch
	56	Man-in-the-Middle-Angreifer mitgelesen werden. Zudem können
	57	Zugangsdaten beispielsweise zum Google-Konto des Nutzers bei Verlust
	58	oder Diebstahl des Smartphones durch Dritte ausgelesen werden.
	59
	60	## Fazit
	61
	62	Das RKI hat vor dem Hintergrund der gebotenen Eile im Umgang mit der
	63	SARS-CoV-2-Pandemie in sehr kurzer Zeit eine „Corona-App“ herausgegeben.
	64	Der CCC konnte darin die Verletzung einiger „best practices“
	65	feststellen. Zwar gelang zum jetzigen Zeitpunkt kein unmittelbarer
	66	direkter Zugriff auf die gesammelten Daten, aber die Risiken sind auf
	67	Dauer nicht tragbar. Der CCC empfiehlt eine rasche Umsetzung der
	68	empfohlenen Maßnahmen zur Behebung.
	69
	70	Für künftige Vorhaben empfiehlt der CCC darüber hinaus proaktives
	71	Handeln: Viele der identifizierten Risiken ließen sich durch
	72	Berücksichtigung der vom CCC veröffentlichten zehn Prüfsteine
	73	eliminieren. Die darin vom CCC geforderte Transparenz fördert zudem eine
	74	aktive und konstruktive Einbindung der Fachöffentlichkeit und hat damit
	75	das Potential, künftige App-gestützte Maßnahmen zur Eindämmung der
	76	SARS-CoV-2-Pandemie und anderer Anwendungen noch schneller zur Reife zu
	77	bringen.
	78
	79	Technische und organisatorische Risiken sollten immer transparent
	80	kommuniziert werden, so dass Nutzer eine informierte Entscheidung für
	81	oder gegen den Einsatz der App treffen können. Indem auf die fertige
	82	technische Lösung eines Dienstleisters zurückgegriffen wurde, hat das
	83	RKI Flexibilität in der Berücksichtigung von Expertenmeinungen verloren.
	84
	85	Download: [Blackbox-Sicherheitsbetrachtung der
	86	Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf)
	87	(PDF)
	88
	89	## FAQ
	90
	91	Konnte der CCC auf meine Gesundheitsdaten zugreifen?
	92
	93	: Nein. Der CCC hat vielmehr festgestellt, dass die Hürde für
	94	Angreifer zu niedrig liegt. Einem erfolgreichen Angreifer würden
	95	sich Gesundheitsdaten aus der Zeit vor der Datenspende sowie
	96	Klarnamen der Spender offenbaren. Dies ist ein vermeidbares Risiko.
	97
	98	Hat das RKI bereits reagiert?
	99
	100	: Der CCC hat seine Analyse vorab an das RKI und seinen Dienstleister
	101	übermittelt. Mit beiden stehen wir im Austausch.
	102
	103	Wie schnell lassen sich die gefundenen technischen und organisatorischen Mängel abstellen?
	104
	105	: Die technischen Mängel lassen sich teilweise rasch, teilweise aber
	106	nur mit einigem Entwicklungsaufwand beseitigen. Die
	107	organisatorischen Mängel können jedoch nur mit großem Aufwand
	108	beseitigt werden.
	109
	110	Hier zeigt sich, dass die in den letzten fünfzehn Jahren versäumte
	111	Digitalisierung des Gesundheitswesens einen zügigen und
	112	zielgerichteten Einsatz solcher Apps erheblich erschwert.
	113
	114	Kann ich meine Datenspende rückgängig machen, indem ich die App deinstalliere?
	115
	116	: Grundsätzlich könnten erfolgreiche Angreifer Ihren Namen und Ihre
	117	Fitnesstracker-Daten extrahieren. Je nachdem, wie Sie persönlich den
	118	Schutzbedarf ihrer Fitnesstracker-Daten bewerten, können Sie
	119	entscheiden, ob Sie überhaupt reagieren wollen. Wenn dieses Szenario
	120	Sie nicht um den Schlaf bringt, müssen Sie gar nichts tun.
	121
	122	**Wenn Sie Ihr Datenspende-Abo beenden wollen, [empfiehlt das RKI
	123	folgendes
	124	Vorgehen](https://corona-datenspende.de/faq/ "Corona Datenspende FAQ"):**
	125
	126	*Sie können jederzeit die Freigabe der Daten in der
	127	Corona-Datenspende-App zurücknehmen. Bitte folgen Sie diesen
	128	Schritten:*
	129
	130	1. Öffnen Sie die Corona-Datenspende-App
	131	2. Öffnen Sie das Menü in der App (oben links)
	132	3. Wählen Sie den Menüpunkt „Datenquellen“ aus
	133	4. *Trennen Sie die Verbindung bei den entsprechenden Quellen
	134	(siehe Hinweis zu Apple Health; hier ist ein anderes Vorgehen
	135	erforderlich)*
	136	5. *Wurde die Verknüpfung mit den Datenquellen getrennt, werden
	137	keine Daten mehr an das Robert Koch-Institut übermittelt.*
	138
	139	*Sie können jederzeit alle an das Robert Koch-Institut übermittelten
	140	Daten unter Angabe Ihres Pseudonyms löschen lassen.*
	141
	142	*Hinweis für Apple-Health-Nutzer: Wenn Ihr Fitnessarmband oder
	143	Ihre Smartwatch mit Apple Health arbeitet, muss die Datenfreigabe in
	144	Apple Health zurückgezogen werden. Für die Trennung der
	145	Corona-Datenspende von Apple Health folgen Sie bitte den folgenden
	146	Schritten:*
	147
	148	1. Gehen Sie in die Einstellungen Ihres iPhones oder iPads
	149	2. Wählen Sie „Health“ aus
	150	3. Klicken Sie auf „Datenzugriff & Geräte“
	151	4. Wählen Sie „Datenspende“ aus
	152	5. Deaktivieren Sie die Freigabe für die verschiedenen Datentypen
	153
	154	*Es werden dann keine weiteren Daten an das Robert Koch-Institut
	155	übermittelt. Die Freigabe der Daten kann bei Verwendung von Apple
	156	Health nicht in der Corona-Datenspende-App sondern nur in Apple
	157	Health zurückgezogen werden.*
	158
	159	**Wenn Sie die bisher gespendeten Daten löschen lassen wollen,
	160	[empfiehlt das RKI folgendes
	161	Vorgehen](https://corona-datenspende.de/faq/ "Corona Datenspende FAQ"):**
	162
	163	*Sie können jederzeit alle dem Robert Koch-Institut zur Verfügung
	164	gestellten Daten löschen lassen. Bitte folgen Sie diesen Schritten:*
	165
	166	1. Öffnen Sie die Corona-Datenspende-App
	167	2. Öffnen Sie das Menü in der App (oben links)
	168	3. Wählen Sie den Menüpunkt „Datenquellen“ aus
	169	4. Klicken Sie auf „Nutzer löschen“
	170	5. Bestätigen Sie die Löschung ein weiteres Mal
	171
	172	Die Daten werden automatisch innerhalb von 24 Stunden gelöscht.
	173
	174	Wer ganz sicher gehen möchte, kann im Nachhinein eine
	175	Betroffenenanfrage nach der Datenschutz-Grundverordnung stellen.