From 8a2e5f881ff15805f21e3fdcde2727d55d5992ab Mon Sep 17 00:00:00 2001 From: linus Date: Mon, 20 Apr 2020 11:57:30 +0000 Subject: committing page revision 1 --- updates/2020/abofalle-datenspende.md | 175 +++++++++++++++++++++++++++++++++++ 1 file changed, 175 insertions(+) create mode 100644 updates/2020/abofalle-datenspende.md diff --git a/updates/2020/abofalle-datenspende.md b/updates/2020/abofalle-datenspende.md new file mode 100644 index 00000000..5678487d --- /dev/null +++ b/updates/2020/abofalle-datenspende.md @@ -0,0 +1,175 @@ +title: Vorsicht Abofalle! CCC analysiert Corona-Datenspende des RKI +date: 2020-04-20 11:57:30 +updated: 2020-04-20 11:57:30 +author: presse +tags: update, pressemitteilung + +Der Chaos Computer Club (CCC) veröffentlichte heute die Analyse der im Namen des Robert-Koch-Institut (RKI) als "Corona Datenspende" verbreiteten App. Vollmundige Versprechungen über Sicherheit und Datenschutz bei geheimgehaltenen Quellcode hatten das Interesse der Hacker geweckt. Ihr Argwohn war berechtigt: Auch in einer Black-Box-Analyse ließen sich eine handvoll Probleme identifizieren. Der Hersteller wurde informiert, bestätigte die Funde und gelobt Besserung. + + + +Seit Wochen wird in Europa eine lebhafte Diskussion über „Corona Apps“ +geführt. Für derartige Anwendungen hat der CCC [kürzlich zehn +Prüfsteine](/de/updates/2020/contact-tracing-requirements "Prüfsteine des CCC für Contact-Tracing-Apps") +veröffentlicht. „Contact Tracing“ soll Infektionsketten zurückverfolgbar +und die Pandemie beherrschbar machen, so die Hoffnung. + +In diese Erwartungshaltung hinein platzierte das RKI am 7. April eine +App ganz anderer Natur – die „Corona-Datenspende“. Über diese App leiten +inzwischen über 400.000 Freiwillige Daten ihres Fitnesstrackers an das +RKI. Das erklärte Ziel: Eine bessere Vorhersage von Infektionen und +damit eine verbesserte Steuerung von Eindämmungsmaßnahmen gegen die +SARS-CoV-2-Pandemie. + +Auch wenn die zehn Prüfsteine des CCC nicht für diese Art von App +formuliert wurden, beinhalten sie doch einige wichtige Prinzipien, die +auch bei einer „Datenspende“ berücksichtigt werden sollten. So wäre eine +Offenlegung von Architektur und Quellcode der App die wohl wichtigste +vertrauensbildende Maßnahme gewesen. + +Doch auch ohne eine solche Offenlegung haben Sicherheitsforscher des CCC +der „Datenspende“ auf den Zahn gefühlt. + +Insgesamt werden im Rahmen der Analyse sieben technische Aspekte +bemängelt. Darüber hinaus bestehen Zweifel an der sauberen Umsetzung der +DSGVO-Maßnahmen. Der CCC veröffentlicht heute die Ergebnisse dieser +Analyse in einem detaillierten Bericht: [Blackbox-Sicherheitsbetrachtung +der +Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf) + +- ***Cloudanbindung:*** Das RKI holt sich die Daten der meisten Nutzer + wider Erwarten nicht vom Smartphone, sondern direkt von den + Anbietern der Fitnesstracker – und hat über einen Zugangscode + potentiell Zugriff sowohl auf Klarnamen der Spender als auch deren + Fitnessdaten vor Beginn der Spende. Bei einer einfachen + Deinstallation der App bleibt dieser Zugriff auch weiterhin bestehen + – es droht die klassische Abofalle. +- ***Mangelhafte Pseudonymisierung:*** Entgegen der Darstellungen + werden die hochsensiblen Gesundheitsdaten der meisten Nutzer nicht + schon auf dem Smartphone pseudonymisiert, sondern vollständig und + teils mitsamt Klarnamen der Datenspender abgerufen. Eine + Pseudonymisierung findet erst auf Seiten des RKI statt und kann + durch die Nutzer nicht kontrolliert oder verifiziert werden. +- ***Unzureichender Schutz der Zugangsdaten:*** Bei Verknüpfung der + App mit einem Fitnesstracker müssen dessen Zugangsdaten eingegeben + werden. In der Mehrzahl der Fälle könnten diese durch + Man-in-the-Middle-Angreifer mitgelesen werden. Zudem können + Zugangsdaten beispielsweise zum Google-Konto des Nutzers bei Verlust + oder Diebstahl des Smartphones durch Dritte ausgelesen werden. + +## Fazit + +Das RKI hat vor dem Hintergrund der gebotenen Eile im Umgang mit der +SARS-CoV-2-Pandemie in sehr kurzer Zeit eine „Corona-App“ herausgegeben. +Der CCC konnte darin die Verletzung einiger „best practices“ +feststellen. Zwar gelang zum jetzigen Zeitpunkt kein unmittelbarer +direkter Zugriff auf die gesammelten Daten, aber die Risiken sind auf +Dauer nicht tragbar. Der CCC empfiehlt eine rasche Umsetzung der +empfohlenen Maßnahmen zur Behebung. + +Für künftige Vorhaben empfiehlt der CCC darüber hinaus proaktives +Handeln: Viele der identifizierten Risiken ließen sich durch +Berücksichtigung der vom CCC veröffentlichten zehn Prüfsteine +eliminieren. Die darin vom CCC geforderte Transparenz fördert zudem eine +aktive und konstruktive Einbindung der Fachöffentlichkeit und hat damit +das Potential, künftige App-gestützte Maßnahmen zur Eindämmung der +SARS-CoV-2-Pandemie und anderer Anwendungen noch schneller zur Reife zu +bringen. + +Technische und organisatorische Risiken sollten immer transparent +kommuniziert werden, so dass Nutzer eine informierte Entscheidung für +oder gegen den Einsatz der App treffen können. Indem auf die fertige +technische Lösung eines Dienstleisters zurückgegriffen wurde, hat das +RKI Flexibilität in der Berücksichtigung von Expertenmeinungen verloren. + +Download: [Blackbox-Sicherheitsbetrachtung der +Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf) +(PDF) + +## FAQ + +**Konnte der CCC auf meine Gesundheitsdaten zugreifen?** + +: Nein. Der CCC hat vielmehr festgestellt, dass die Hürde für + Angreifer zu niedrig liegt. Einem erfolgreichen Angreifer würden + sich Gesundheitsdaten aus der Zeit vor der Datenspende sowie + Klarnamen der Spender offenbaren. Dies ist ein vermeidbares Risiko. + +**Hat das RKI bereits reagiert?** + +: Der CCC hat seine Analyse vorab an das RKI und seinen Dienstleister + übermittelt. Mit beiden stehen wir im Austausch. + +**Wie schnell lassen sich die gefundenen technischen und organisatorischen Mängel abstellen?** + +: Die technischen Mängel lassen sich teilweise rasch, teilweise aber + nur mit einigem Entwicklungsaufwand beseitigen. Die + organisatorischen Mängel können jedoch nur mit großem Aufwand + beseitigt werden. + + Hier zeigt sich, dass die in den letzten fünfzehn Jahren versäumte + Digitalisierung des Gesundheitswesens einen zügigen und + zielgerichteten Einsatz solcher Apps erheblich erschwert. + +**Kann ich meine Datenspende rückgängig machen, indem ich die App deinstalliere?** + +: Grundsätzlich *könnten* erfolgreiche Angreifer Ihren Namen und Ihre + Fitnesstracker-Daten extrahieren. Je nachdem, wie Sie persönlich den + Schutzbedarf ihrer Fitnesstracker-Daten bewerten, können Sie + entscheiden, ob Sie überhaupt reagieren wollen. Wenn dieses Szenario + Sie nicht um den Schlaf bringt, müssen Sie gar nichts tun. + + **Wenn Sie Ihr Datenspende-Abo beenden wollen, [empfiehlt das RKI + folgendes + Vorgehen](https://corona-datenspende.de/faq/ "Corona Datenspende FAQ"):** + + *Sie können jederzeit die Freigabe der Daten in der + Corona-Datenspende-App zurücknehmen. Bitte folgen Sie diesen + Schritten:* + + 1. *Öffnen Sie die Corona-Datenspende-App* + 2. *Öffnen Sie das Menü in der App (oben links)* + 3. *Wählen Sie den Menüpunkt „Datenquellen“ aus* + 4. *Trennen Sie die Verbindung bei den entsprechenden Quellen + (siehe Hinweis zu Apple Health; hier ist ein anderes Vorgehen + erforderlich)* + 5. *Wurde die Verknüpfung mit den Datenquellen getrennt, werden + keine Daten mehr an das Robert Koch-Institut übermittelt.* + + *Sie können jederzeit alle an das Robert Koch-Institut übermittelten + Daten unter Angabe Ihres Pseudonyms löschen lassen.* + + **Hinweis für Apple-Health-Nutzer:* Wenn Ihr Fitnessarmband oder + Ihre Smartwatch mit Apple Health arbeitet, muss die Datenfreigabe in + Apple Health zurückgezogen werden. Für die Trennung der + Corona-Datenspende von Apple Health folgen Sie bitte den folgenden + Schritten:* + + 1. *Gehen Sie in die Einstellungen Ihres iPhones oder iPads* + 2. *Wählen Sie „Health“ aus* + 3. *Klicken Sie auf „Datenzugriff & Geräte“* + 4. *Wählen Sie „Datenspende“ aus* + 5. *Deaktivieren Sie die Freigabe für die verschiedenen Datentypen* + + *Es werden dann keine weiteren Daten an das Robert Koch-Institut + übermittelt. Die Freigabe der Daten kann bei Verwendung von Apple + Health nicht in der Corona-Datenspende-App sondern nur in Apple + Health zurückgezogen werden.* + + **Wenn Sie die bisher gespendeten Daten löschen lassen wollen, + [empfiehlt das RKI folgendes + Vorgehen](https://corona-datenspende.de/faq/ "Corona Datenspende FAQ"):** + + *Sie können jederzeit alle dem Robert Koch-Institut zur Verfügung + gestellten Daten löschen lassen. Bitte folgen Sie diesen Schritten:* + + 1. *Öffnen Sie die Corona-Datenspende-App* + 2. *Öffnen Sie das Menü in der App (oben links)* + 3. *Wählen Sie den Menüpunkt „Datenquellen“ aus* + 4. *Klicken Sie auf „Nutzer löschen“* + 5. *Bestätigen Sie die Löschung ein weiteres Mal* + + *Die Daten werden automatisch innerhalb von 24 Stunden gelöscht.* + + Wer ganz sicher gehen möchte, kann im Nachhinein eine + Betroffenenanfrage nach der Datenschutz-Grundverordnung stellen. -- cgit v1.2.3