summaryrefslogtreecommitdiff
path: root/updates
diff options
context:
space:
mode:
authorlinus <linus@berlin.ccc.de>2020-04-20 11:57:30 +0000
committerlinus <linus@berlin.ccc.de>2020-05-23 13:40:26 +0000
commit8a2e5f881ff15805f21e3fdcde2727d55d5992ab (patch)
tree05cf91ffb3f1a6c998c4073e08a775cdb8f83566 /updates
parentfd2addc85755d8c43a1acef6542327af321f23e4 (diff)
committing page revision 1
Diffstat (limited to 'updates')
-rw-r--r--updates/2020/abofalle-datenspende.md175
1 files changed, 175 insertions, 0 deletions
diff --git a/updates/2020/abofalle-datenspende.md b/updates/2020/abofalle-datenspende.md
new file mode 100644
index 00000000..5678487d
--- /dev/null
+++ b/updates/2020/abofalle-datenspende.md
@@ -0,0 +1,175 @@
1title: Vorsicht Abofalle! CCC analysiert Corona-Datenspende des RKI
2date: 2020-04-20 11:57:30
3updated: 2020-04-20 11:57:30
4author: presse
5tags: update, pressemitteilung
6
7Der Chaos Computer Club (CCC) veröffentlichte heute die Analyse der im Namen des Robert-Koch-Institut (RKI) als "Corona Datenspende" verbreiteten App. Vollmundige Versprechungen über Sicherheit und Datenschutz bei geheimgehaltenen Quellcode hatten das Interesse der Hacker geweckt. Ihr Argwohn war berechtigt: Auch in einer Black-Box-Analyse ließen sich eine handvoll Probleme identifizieren. Der Hersteller wurde informiert, bestätigte die Funde und gelobt Besserung.
8
9<!-- TEASER_END -->
10
11Seit Wochen wird in Europa eine lebhafte Diskussion über „Corona Apps“
12geführt. Für derartige Anwendungen hat der CCC [kürzlich zehn
13Prüfsteine](/de/updates/2020/contact-tracing-requirements "Prüfsteine des CCC für Contact-Tracing-Apps")
14veröffentlicht. „Contact Tracing“ soll Infektionsketten zurückverfolgbar
15und die Pandemie beherrschbar machen, so die Hoffnung.
16
17In diese Erwartungshaltung hinein platzierte das RKI am 7. April eine
18App ganz anderer Natur – die „Corona-Datenspende“. Über diese App leiten
19inzwischen über 400.000 Freiwillige Daten ihres Fitnesstrackers an das
20RKI. Das erklärte Ziel: Eine bessere Vorhersage von Infektionen und
21damit eine verbesserte Steuerung von Eindämmungsmaßnahmen gegen die
22SARS-CoV-2-Pandemie.
23
24Auch wenn die zehn Prüfsteine des CCC nicht für diese Art von App
25formuliert wurden, beinhalten sie doch einige wichtige Prinzipien, die
26auch bei einer „Datenspende“ berücksichtigt werden sollten. So wäre eine
27Offenlegung von Architektur und Quellcode der App die wohl wichtigste
28vertrauensbildende Maßnahme gewesen.
29
30Doch auch ohne eine solche Offenlegung haben Sicherheitsforscher des CCC
31der „Datenspende“ auf den Zahn gefühlt.
32
33Insgesamt werden im Rahmen der Analyse sieben technische Aspekte
34bemängelt. Darüber hinaus bestehen Zweifel an der sauberen Umsetzung der
35DSGVO-Maßnahmen. Der CCC veröffentlicht heute die Ergebnisse dieser
36Analyse in einem detaillierten Bericht: [Blackbox-Sicherheitsbetrachtung
37der
38Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf)
39
40- ***Cloudanbindung:*** Das RKI holt sich die Daten der meisten Nutzer
41 wider Erwarten nicht vom Smartphone, sondern direkt von den
42 Anbietern der Fitnesstracker – und hat über einen Zugangscode
43 potentiell Zugriff sowohl auf Klarnamen der Spender als auch deren
44 Fitnessdaten vor Beginn der Spende. Bei einer einfachen
45 Deinstallation der App bleibt dieser Zugriff auch weiterhin bestehen
46 – es droht die klassische Abofalle.
47- ***Mangelhafte Pseudonymisierung:*** Entgegen der Darstellungen
48 werden die hochsensiblen Gesundheitsdaten der meisten Nutzer nicht
49 schon auf dem Smartphone pseudonymisiert, sondern vollständig und
50 teils mitsamt Klarnamen der Datenspender abgerufen. Eine
51 Pseudonymisierung findet erst auf Seiten des RKI statt und kann
52 durch die Nutzer nicht kontrolliert oder verifiziert werden.
53- ***Unzureichender Schutz der Zugangsdaten:*** Bei Verknüpfung der
54 App mit einem Fitnesstracker müssen dessen Zugangsdaten eingegeben
55 werden. In der Mehrzahl der Fälle könnten diese durch
56 Man-in-the-Middle-Angreifer mitgelesen werden. Zudem können
57 Zugangsdaten beispielsweise zum Google-Konto des Nutzers bei Verlust
58 oder Diebstahl des Smartphones durch Dritte ausgelesen werden.
59
60## Fazit
61
62Das RKI hat vor dem Hintergrund der gebotenen Eile im Umgang mit der
63SARS-CoV-2-Pandemie in sehr kurzer Zeit eine „Corona-App“ herausgegeben.
64Der CCC konnte darin die Verletzung einiger „best practices“
65feststellen. Zwar gelang zum jetzigen Zeitpunkt kein unmittelbarer
66direkter Zugriff auf die gesammelten Daten, aber die Risiken sind auf
67Dauer nicht tragbar. Der CCC empfiehlt eine rasche Umsetzung der
68empfohlenen Maßnahmen zur Behebung.
69
70Für künftige Vorhaben empfiehlt der CCC darüber hinaus proaktives
71Handeln: Viele der identifizierten Risiken ließen sich durch
72Berücksichtigung der vom CCC veröffentlichten zehn Prüfsteine
73eliminieren. Die darin vom CCC geforderte Transparenz fördert zudem eine
74aktive und konstruktive Einbindung der Fachöffentlichkeit und hat damit
75das Potential, künftige App-gestützte Maßnahmen zur Eindämmung der
76SARS-CoV-2-Pandemie und anderer Anwendungen noch schneller zur Reife zu
77bringen.
78
79Technische und organisatorische Risiken sollten immer transparent
80kommuniziert werden, so dass Nutzer eine informierte Entscheidung für
81oder gegen den Einsatz der App treffen können. Indem auf die fertige
82technische Lösung eines Dienstleisters zurückgegriffen wurde, hat das
83RKI Flexibilität in der Berücksichtigung von Expertenmeinungen verloren.
84
85Download: [Blackbox-Sicherheitsbetrachtung der
86Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf)
87(PDF)
88
89## FAQ
90
91**Konnte der CCC auf meine Gesundheitsdaten zugreifen?**
92
93: Nein. Der CCC hat vielmehr festgestellt, dass die Hürde für
94 Angreifer zu niedrig liegt. Einem erfolgreichen Angreifer würden
95 sich Gesundheitsdaten aus der Zeit vor der Datenspende sowie
96 Klarnamen der Spender offenbaren. Dies ist ein vermeidbares Risiko.
97
98**Hat das RKI bereits reagiert?**
99
100: Der CCC hat seine Analyse vorab an das RKI und seinen Dienstleister
101 übermittelt. Mit beiden stehen wir im Austausch.
102
103**Wie schnell lassen sich die gefundenen technischen und organisatorischen Mängel abstellen?**
104
105: Die technischen Mängel lassen sich teilweise rasch, teilweise aber
106 nur mit einigem Entwicklungsaufwand beseitigen. Die
107 organisatorischen Mängel können jedoch nur mit großem Aufwand
108 beseitigt werden.
109
110 Hier zeigt sich, dass die in den letzten fünfzehn Jahren versäumte
111 Digitalisierung des Gesundheitswesens einen zügigen und
112 zielgerichteten Einsatz solcher Apps erheblich erschwert.
113
114**Kann ich meine Datenspende rückgängig machen, indem ich die App deinstalliere?**
115
116: Grundsätzlich *könnten* erfolgreiche Angreifer Ihren Namen und Ihre
117 Fitnesstracker-Daten extrahieren. Je nachdem, wie Sie persönlich den
118 Schutzbedarf ihrer Fitnesstracker-Daten bewerten, können Sie
119 entscheiden, ob Sie überhaupt reagieren wollen. Wenn dieses Szenario
120 Sie nicht um den Schlaf bringt, müssen Sie gar nichts tun.
121
122 **Wenn Sie Ihr Datenspende-Abo beenden wollen, [empfiehlt das RKI
123 folgendes
124 Vorgehen](https://corona-datenspende.de/faq/ "Corona Datenspende FAQ"):**
125
126 *Sie können jederzeit die Freigabe der Daten in der
127 Corona-Datenspende-App zurücknehmen. Bitte folgen Sie diesen
128 Schritten:*
129
130 1. *Öffnen Sie die Corona-Datenspende-App*
131 2. *Öffnen Sie das Menü in der App (oben links)*
132 3. *Wählen Sie den Menüpunkt „Datenquellen“ aus*
133 4. *Trennen Sie die Verbindung bei den entsprechenden Quellen
134 (siehe Hinweis zu Apple Health; hier ist ein anderes Vorgehen
135 erforderlich)*
136 5. *Wurde die Verknüpfung mit den Datenquellen getrennt, werden
137 keine Daten mehr an das Robert Koch-Institut übermittelt.*
138
139 *Sie können jederzeit alle an das Robert Koch-Institut übermittelten
140 Daten unter Angabe Ihres Pseudonyms löschen lassen.*
141
142 **Hinweis für Apple-Health-Nutzer:* Wenn Ihr Fitnessarmband oder
143 Ihre Smartwatch mit Apple Health arbeitet, muss die Datenfreigabe in
144 Apple Health zurückgezogen werden. Für die Trennung der
145 Corona-Datenspende von Apple Health folgen Sie bitte den folgenden
146 Schritten:*
147
148 1. *Gehen Sie in die Einstellungen Ihres iPhones oder iPads*
149 2. *Wählen Sie „Health“ aus*
150 3. *Klicken Sie auf „Datenzugriff & Geräte“*
151 4. *Wählen Sie „Datenspende“ aus*
152 5. *Deaktivieren Sie die Freigabe für die verschiedenen Datentypen*
153
154 *Es werden dann keine weiteren Daten an das Robert Koch-Institut
155 übermittelt. Die Freigabe der Daten kann bei Verwendung von Apple
156 Health nicht in der Corona-Datenspende-App sondern nur in Apple
157 Health zurückgezogen werden.*
158
159 **Wenn Sie die bisher gespendeten Daten löschen lassen wollen,
160 [empfiehlt das RKI folgendes
161 Vorgehen](https://corona-datenspende.de/faq/ "Corona Datenspende FAQ"):**
162
163 *Sie können jederzeit alle dem Robert Koch-Institut zur Verfügung
164 gestellten Daten löschen lassen. Bitte folgen Sie diesen Schritten:*
165
166 1. *Öffnen Sie die Corona-Datenspende-App*
167 2. *Öffnen Sie das Menü in der App (oben links)*
168 3. *Wählen Sie den Menüpunkt „Datenquellen“ aus*
169 4. *Klicken Sie auf „Nutzer löschen“*
170 5. *Bestätigen Sie die Löschung ein weiteres Mal*
171
172 *Die Daten werden automatisch innerhalb von 24 Stunden gelöscht.*
173
174 Wer ganz sicher gehen möchte, kann im Nachhinein eine
175 Betroffenenanfrage nach der Datenschutz-Grundverordnung stellen.