diff options
author | linus <linus@berlin.ccc.de> | 2020-04-20 11:57:30 +0000 |
---|---|---|
committer | linus <linus@berlin.ccc.de> | 2020-05-23 13:40:26 +0000 |
commit | 8a2e5f881ff15805f21e3fdcde2727d55d5992ab (patch) | |
tree | 05cf91ffb3f1a6c998c4073e08a775cdb8f83566 /updates/2020 | |
parent | fd2addc85755d8c43a1acef6542327af321f23e4 (diff) |
committing page revision 1
Diffstat (limited to 'updates/2020')
-rw-r--r-- | updates/2020/abofalle-datenspende.md | 175 |
1 files changed, 175 insertions, 0 deletions
diff --git a/updates/2020/abofalle-datenspende.md b/updates/2020/abofalle-datenspende.md new file mode 100644 index 00000000..5678487d --- /dev/null +++ b/updates/2020/abofalle-datenspende.md | |||
@@ -0,0 +1,175 @@ | |||
1 | title: Vorsicht Abofalle! CCC analysiert Corona-Datenspende des RKI | ||
2 | date: 2020-04-20 11:57:30 | ||
3 | updated: 2020-04-20 11:57:30 | ||
4 | author: presse | ||
5 | tags: update, pressemitteilung | ||
6 | |||
7 | Der Chaos Computer Club (CCC) veröffentlichte heute die Analyse der im Namen des Robert-Koch-Institut (RKI) als "Corona Datenspende" verbreiteten App. Vollmundige Versprechungen über Sicherheit und Datenschutz bei geheimgehaltenen Quellcode hatten das Interesse der Hacker geweckt. Ihr Argwohn war berechtigt: Auch in einer Black-Box-Analyse ließen sich eine handvoll Probleme identifizieren. Der Hersteller wurde informiert, bestätigte die Funde und gelobt Besserung. | ||
8 | |||
9 | <!-- TEASER_END --> | ||
10 | |||
11 | Seit Wochen wird in Europa eine lebhafte Diskussion über „Corona Apps“ | ||
12 | geführt. Für derartige Anwendungen hat der CCC [kürzlich zehn | ||
13 | Prüfsteine](/de/updates/2020/contact-tracing-requirements "Prüfsteine des CCC für Contact-Tracing-Apps") | ||
14 | veröffentlicht. „Contact Tracing“ soll Infektionsketten zurückverfolgbar | ||
15 | und die Pandemie beherrschbar machen, so die Hoffnung. | ||
16 | |||
17 | In diese Erwartungshaltung hinein platzierte das RKI am 7. April eine | ||
18 | App ganz anderer Natur – die „Corona-Datenspende“. Über diese App leiten | ||
19 | inzwischen über 400.000 Freiwillige Daten ihres Fitnesstrackers an das | ||
20 | RKI. Das erklärte Ziel: Eine bessere Vorhersage von Infektionen und | ||
21 | damit eine verbesserte Steuerung von Eindämmungsmaßnahmen gegen die | ||
22 | SARS-CoV-2-Pandemie. | ||
23 | |||
24 | Auch wenn die zehn Prüfsteine des CCC nicht für diese Art von App | ||
25 | formuliert wurden, beinhalten sie doch einige wichtige Prinzipien, die | ||
26 | auch bei einer „Datenspende“ berücksichtigt werden sollten. So wäre eine | ||
27 | Offenlegung von Architektur und Quellcode der App die wohl wichtigste | ||
28 | vertrauensbildende Maßnahme gewesen. | ||
29 | |||
30 | Doch auch ohne eine solche Offenlegung haben Sicherheitsforscher des CCC | ||
31 | der „Datenspende“ auf den Zahn gefühlt. | ||
32 | |||
33 | Insgesamt werden im Rahmen der Analyse sieben technische Aspekte | ||
34 | bemängelt. Darüber hinaus bestehen Zweifel an der sauberen Umsetzung der | ||
35 | DSGVO-Maßnahmen. Der CCC veröffentlicht heute die Ergebnisse dieser | ||
36 | Analyse in einem detaillierten Bericht: [Blackbox-Sicherheitsbetrachtung | ||
37 | der | ||
38 | Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf) | ||
39 | |||
40 | - ***Cloudanbindung:*** Das RKI holt sich die Daten der meisten Nutzer | ||
41 | wider Erwarten nicht vom Smartphone, sondern direkt von den | ||
42 | Anbietern der Fitnesstracker – und hat über einen Zugangscode | ||
43 | potentiell Zugriff sowohl auf Klarnamen der Spender als auch deren | ||
44 | Fitnessdaten vor Beginn der Spende. Bei einer einfachen | ||
45 | Deinstallation der App bleibt dieser Zugriff auch weiterhin bestehen | ||
46 | – es droht die klassische Abofalle. | ||
47 | - ***Mangelhafte Pseudonymisierung:*** Entgegen der Darstellungen | ||
48 | werden die hochsensiblen Gesundheitsdaten der meisten Nutzer nicht | ||
49 | schon auf dem Smartphone pseudonymisiert, sondern vollständig und | ||
50 | teils mitsamt Klarnamen der Datenspender abgerufen. Eine | ||
51 | Pseudonymisierung findet erst auf Seiten des RKI statt und kann | ||
52 | durch die Nutzer nicht kontrolliert oder verifiziert werden. | ||
53 | - ***Unzureichender Schutz der Zugangsdaten:*** Bei Verknüpfung der | ||
54 | App mit einem Fitnesstracker müssen dessen Zugangsdaten eingegeben | ||
55 | werden. In der Mehrzahl der Fälle könnten diese durch | ||
56 | Man-in-the-Middle-Angreifer mitgelesen werden. Zudem können | ||
57 | Zugangsdaten beispielsweise zum Google-Konto des Nutzers bei Verlust | ||
58 | oder Diebstahl des Smartphones durch Dritte ausgelesen werden. | ||
59 | |||
60 | ## Fazit | ||
61 | |||
62 | Das RKI hat vor dem Hintergrund der gebotenen Eile im Umgang mit der | ||
63 | SARS-CoV-2-Pandemie in sehr kurzer Zeit eine „Corona-App“ herausgegeben. | ||
64 | Der CCC konnte darin die Verletzung einiger „best practices“ | ||
65 | feststellen. Zwar gelang zum jetzigen Zeitpunkt kein unmittelbarer | ||
66 | direkter Zugriff auf die gesammelten Daten, aber die Risiken sind auf | ||
67 | Dauer nicht tragbar. Der CCC empfiehlt eine rasche Umsetzung der | ||
68 | empfohlenen Maßnahmen zur Behebung. | ||
69 | |||
70 | Für künftige Vorhaben empfiehlt der CCC darüber hinaus proaktives | ||
71 | Handeln: Viele der identifizierten Risiken ließen sich durch | ||
72 | Berücksichtigung der vom CCC veröffentlichten zehn Prüfsteine | ||
73 | eliminieren. Die darin vom CCC geforderte Transparenz fördert zudem eine | ||
74 | aktive und konstruktive Einbindung der Fachöffentlichkeit und hat damit | ||
75 | das Potential, künftige App-gestützte Maßnahmen zur Eindämmung der | ||
76 | SARS-CoV-2-Pandemie und anderer Anwendungen noch schneller zur Reife zu | ||
77 | bringen. | ||
78 | |||
79 | Technische und organisatorische Risiken sollten immer transparent | ||
80 | kommuniziert werden, so dass Nutzer eine informierte Entscheidung für | ||
81 | oder gegen den Einsatz der App treffen können. Indem auf die fertige | ||
82 | technische Lösung eines Dienstleisters zurückgegriffen wurde, hat das | ||
83 | RKI Flexibilität in der Berücksichtigung von Expertenmeinungen verloren. | ||
84 | |||
85 | Download: [Blackbox-Sicherheitsbetrachtung der | ||
86 | Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf) | ||
87 | (PDF) | ||
88 | |||
89 | ## FAQ | ||
90 | |||
91 | **Konnte der CCC auf meine Gesundheitsdaten zugreifen?** | ||
92 | |||
93 | : Nein. Der CCC hat vielmehr festgestellt, dass die Hürde für | ||
94 | Angreifer zu niedrig liegt. Einem erfolgreichen Angreifer würden | ||
95 | sich Gesundheitsdaten aus der Zeit vor der Datenspende sowie | ||
96 | Klarnamen der Spender offenbaren. Dies ist ein vermeidbares Risiko. | ||
97 | |||
98 | **Hat das RKI bereits reagiert?** | ||
99 | |||
100 | : Der CCC hat seine Analyse vorab an das RKI und seinen Dienstleister | ||
101 | übermittelt. Mit beiden stehen wir im Austausch. | ||
102 | |||
103 | **Wie schnell lassen sich die gefundenen technischen und organisatorischen Mängel abstellen?** | ||
104 | |||
105 | : Die technischen Mängel lassen sich teilweise rasch, teilweise aber | ||
106 | nur mit einigem Entwicklungsaufwand beseitigen. Die | ||
107 | organisatorischen Mängel können jedoch nur mit großem Aufwand | ||
108 | beseitigt werden. | ||
109 | |||
110 | Hier zeigt sich, dass die in den letzten fünfzehn Jahren versäumte | ||
111 | Digitalisierung des Gesundheitswesens einen zügigen und | ||
112 | zielgerichteten Einsatz solcher Apps erheblich erschwert. | ||
113 | |||
114 | **Kann ich meine Datenspende rückgängig machen, indem ich die App deinstalliere?** | ||
115 | |||
116 | : Grundsätzlich *könnten* erfolgreiche Angreifer Ihren Namen und Ihre | ||
117 | Fitnesstracker-Daten extrahieren. Je nachdem, wie Sie persönlich den | ||
118 | Schutzbedarf ihrer Fitnesstracker-Daten bewerten, können Sie | ||
119 | entscheiden, ob Sie überhaupt reagieren wollen. Wenn dieses Szenario | ||
120 | Sie nicht um den Schlaf bringt, müssen Sie gar nichts tun. | ||
121 | |||
122 | **Wenn Sie Ihr Datenspende-Abo beenden wollen, [empfiehlt das RKI | ||
123 | folgendes | ||
124 | Vorgehen](https://corona-datenspende.de/faq/ "Corona Datenspende FAQ"):** | ||
125 | |||
126 | *Sie können jederzeit die Freigabe der Daten in der | ||
127 | Corona-Datenspende-App zurücknehmen. Bitte folgen Sie diesen | ||
128 | Schritten:* | ||
129 | |||
130 | 1. *Öffnen Sie die Corona-Datenspende-App* | ||
131 | 2. *Öffnen Sie das Menü in der App (oben links)* | ||
132 | 3. *Wählen Sie den Menüpunkt „Datenquellen“ aus* | ||
133 | 4. *Trennen Sie die Verbindung bei den entsprechenden Quellen | ||
134 | (siehe Hinweis zu Apple Health; hier ist ein anderes Vorgehen | ||
135 | erforderlich)* | ||
136 | 5. *Wurde die Verknüpfung mit den Datenquellen getrennt, werden | ||
137 | keine Daten mehr an das Robert Koch-Institut übermittelt.* | ||
138 | |||
139 | *Sie können jederzeit alle an das Robert Koch-Institut übermittelten | ||
140 | Daten unter Angabe Ihres Pseudonyms löschen lassen.* | ||
141 | |||
142 | **Hinweis für Apple-Health-Nutzer:* Wenn Ihr Fitnessarmband oder | ||
143 | Ihre Smartwatch mit Apple Health arbeitet, muss die Datenfreigabe in | ||
144 | Apple Health zurückgezogen werden. Für die Trennung der | ||
145 | Corona-Datenspende von Apple Health folgen Sie bitte den folgenden | ||
146 | Schritten:* | ||
147 | |||
148 | 1. *Gehen Sie in die Einstellungen Ihres iPhones oder iPads* | ||
149 | 2. *Wählen Sie „Health“ aus* | ||
150 | 3. *Klicken Sie auf „Datenzugriff & Geräte“* | ||
151 | 4. *Wählen Sie „Datenspende“ aus* | ||
152 | 5. *Deaktivieren Sie die Freigabe für die verschiedenen Datentypen* | ||
153 | |||
154 | *Es werden dann keine weiteren Daten an das Robert Koch-Institut | ||
155 | übermittelt. Die Freigabe der Daten kann bei Verwendung von Apple | ||
156 | Health nicht in der Corona-Datenspende-App sondern nur in Apple | ||
157 | Health zurückgezogen werden.* | ||
158 | |||
159 | **Wenn Sie die bisher gespendeten Daten löschen lassen wollen, | ||
160 | [empfiehlt das RKI folgendes | ||
161 | Vorgehen](https://corona-datenspende.de/faq/ "Corona Datenspende FAQ"):** | ||
162 | |||
163 | *Sie können jederzeit alle dem Robert Koch-Institut zur Verfügung | ||
164 | gestellten Daten löschen lassen. Bitte folgen Sie diesen Schritten:* | ||
165 | |||
166 | 1. *Öffnen Sie die Corona-Datenspende-App* | ||
167 | 2. *Öffnen Sie das Menü in der App (oben links)* | ||
168 | 3. *Wählen Sie den Menüpunkt „Datenquellen“ aus* | ||
169 | 4. *Klicken Sie auf „Nutzer löschen“* | ||
170 | 5. *Bestätigen Sie die Löschung ein weiteres Mal* | ||
171 | |||
172 | *Die Daten werden automatisch innerhalb von 24 Stunden gelöscht.* | ||
173 | |||
174 | Wer ganz sicher gehen möchte, kann im Nachhinein eine | ||
175 | Betroffenenanfrage nach der Datenschutz-Grundverordnung stellen. | ||