title: CCC analysiert Corona-Datenspende des RKI date: 2020-04-20 11:57:30 updated: 2020-04-20 13:14:23 author: presse tags: update, pressemitteilung Der Chaos Computer Club (CCC) veröffentlichte heute die Analyse der im Namen des Robert-Koch-Institut (RKI) als "Corona Datenspende" verbreiteten App. Vollmundige Versprechungen über Sicherheit und Datenschutz bei geheimgehaltenen Quellcode hatten das Interesse der Hacker geweckt. Ihr Argwohn war berechtigt: Auch in einer Black-Box-Analyse ließen sich eine handvoll Probleme identifizieren. Der Hersteller wurde informiert, bestätigte die Funde und gelobt Besserung. Seit Wochen wird in Europa eine lebhafte Diskussion über „Corona Apps“ geführt. Für derartige Anwendungen hat der CCC [kürzlich zehn Prüfsteine](/de/updates/2020/contact-tracing-requirements "Prüfsteine des CCC für Contact-Tracing-Apps") veröffentlicht. „Contact Tracing“ soll Infektionsketten zurückverfolgbar und die Pandemie beherrschbar machen, so die Hoffnung. In diese Erwartungshaltung hinein platzierte das RKI am 7. April eine App ganz anderer Natur – die „Corona-Datenspende“. Über diese App leiten inzwischen über 400.000 Freiwillige Daten ihres Fitnesstrackers an das RKI. Das erklärte Ziel: Eine bessere Vorhersage von Infektionen und damit eine verbesserte Steuerung von Eindämmungsmaßnahmen gegen die SARS-CoV-2-Pandemie. Auch wenn die zehn Prüfsteine des CCC nicht für diese Art von App formuliert wurden, beinhalten sie doch einige wichtige Prinzipien, die auch bei einer „Datenspende“ berücksichtigt werden sollten. So wäre eine Offenlegung von Architektur und Quellcode der App die wohl wichtigste vertrauensbildende Maßnahme gewesen. Doch auch ohne eine solche Offenlegung haben Sicherheitsforscher des CCC der „Datenspende“ auf den Zahn gefühlt. Insgesamt werden im Rahmen der Analyse sieben technische Aspekte bemängelt. Darüber hinaus bestehen Zweifel an der sauberen Umsetzung der DSGVO-Maßnahmen. Der CCC veröffentlicht heute die Ergebnisse dieser Analyse in einem detaillierten Bericht: [Blackbox-Sicherheitsbetrachtung der Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf) - ***Cloudanbindung:*** Das RKI holt sich die Daten der meisten Nutzer wider Erwarten nicht vom Smartphone, sondern direkt von den Anbietern der Fitnesstracker – und hat über einen Zugangscode potentiell Zugriff sowohl auf Klarnamen der Spender als auch deren Fitnessdaten vor Beginn der Spende. Bei einer einfachen Deinstallation der App bleibt dieser Zugriff auch weiterhin bestehen. - ***Mangelhafte Pseudonymisierung:*** Entgegen der Darstellungen werden die hochsensiblen Gesundheitsdaten der meisten Nutzer nicht schon auf dem Smartphone pseudonymisiert, sondern vollständig und teils mitsamt Klarnamen der Datenspender abgerufen. Eine Pseudonymisierung findet erst auf Seiten des RKI statt und kann durch die Nutzer nicht kontrolliert oder verifiziert werden. - ***Unzureichender Schutz der Zugangsdaten:*** Bei Verknüpfung der App mit einem Fitnesstracker müssen dessen Zugangsdaten eingegeben werden. In der Mehrzahl der Fälle könnten diese durch Man-in-the-Middle-Angreifer mitgelesen werden. Zudem können Zugangsdaten beispielsweise zum Google-Konto des Nutzers bei Verlust oder Diebstahl des Smartphones durch Dritte ausgelesen werden. ## Fazit Das RKI hat vor dem Hintergrund der gebotenen Eile im Umgang mit der SARS-CoV-2-Pandemie in sehr kurzer Zeit eine „Corona-App“ herausgegeben. Der CCC konnte darin die Verletzung einiger „best practices“ feststellen. Zwar gelang zum jetzigen Zeitpunkt kein unmittelbarer direkter Zugriff auf die gesammelten Daten, aber die Risiken sind auf Dauer nicht tragbar. Der CCC empfiehlt eine rasche Umsetzung der empfohlenen Maßnahmen zur Behebung. Für künftige Vorhaben empfiehlt der CCC darüber hinaus proaktives Handeln: Viele der identifizierten Risiken ließen sich durch Berücksichtigung der vom CCC veröffentlichten zehn Prüfsteine eliminieren. Die darin vom CCC geforderte Transparenz fördert zudem eine aktive und konstruktive Einbindung der Fachöffentlichkeit und hat damit das Potential, künftige App-gestützte Maßnahmen zur Eindämmung der SARS-CoV-2-Pandemie und anderer Anwendungen noch schneller zur Reife zu bringen. Technische und organisatorische Risiken sollten immer transparent kommuniziert werden, so dass Nutzer eine informierte Entscheidung für oder gegen den Einsatz der App treffen können. Indem auf die fertige technische Lösung eines Dienstleisters zurückgegriffen wurde, hat das RKI Flexibilität in der Berücksichtigung von Expertenmeinungen verloren. Download: [Blackbox-Sicherheitsbetrachtung der Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf) (PDF) ## FAQ **Konnte der CCC auf meine Gesundheitsdaten zugreifen?** : Nein. Der CCC hat vielmehr festgestellt, dass die Hürde für Angreifer zu niedrig liegt. Einem erfolgreichen Angreifer würden sich Gesundheitsdaten aus der Zeit vor der Datenspende sowie Klarnamen der Spender offenbaren. Dies ist ein vermeidbares Risiko. **Hat das RKI bereits reagiert?** : Der CCC hat seine Analyse vorab an das RKI und seinen Dienstleister übermittelt. Mit beiden stehen wir im Austausch. **Wie schnell lassen sich die gefundenen technischen und organisatorischen Mängel abstellen?** : Die technischen Mängel lassen sich teilweise rasch, teilweise aber nur mit einigem Entwicklungsaufwand beseitigen. Die organisatorischen Mängel können jedoch nur mit großem Aufwand beseitigt werden. Hier zeigt sich, dass die in den letzten fünfzehn Jahren versäumte Digitalisierung des Gesundheitswesens einen zügigen und zielgerichteten Einsatz solcher Apps erheblich erschwert. **Kann ich meine Datenspende rückgängig machen, indem ich die App deinstalliere?** : Grundsätzlich *könnten* erfolgreiche Angreifer Ihren Namen und Ihre Fitnesstracker-Daten extrahieren. Je nachdem, wie Sie persönlich den Schutzbedarf ihrer Fitnesstracker-Daten bewerten, können Sie entscheiden, ob Sie überhaupt reagieren wollen. Wenn dieses Szenario Sie nicht um den Schlaf bringt, müssen Sie gar nichts tun. **Wenn Sie Ihr Datenspende-Abo beenden wollen, [empfiehlt das RKI folgendes Vorgehen](https://corona-datenspende.de/faq/ "Corona Datenspende FAQ"):** *Sie können jederzeit die Freigabe der Daten in der Corona-Datenspende-App zurücknehmen. Bitte folgen Sie diesen Schritten:* 1. *Öffnen Sie die Corona-Datenspende-App* 2. *Öffnen Sie das Menü in der App (oben links)* 3. *Wählen Sie den Menüpunkt „Datenquellen“ aus* 4. *Trennen Sie die Verbindung bei den entsprechenden Quellen (siehe Hinweis zu Apple Health; hier ist ein anderes Vorgehen erforderlich)* 5. *Wurde die Verknüpfung mit den Datenquellen getrennt, werden keine Daten mehr an das Robert Koch-Institut übermittelt.* *Sie können jederzeit alle an das Robert Koch-Institut übermittelten Daten unter Angabe Ihres Pseudonyms löschen lassen.* **Hinweis für Apple-Health-Nutzer:* Wenn Ihr Fitnessarmband oder Ihre Smartwatch mit Apple Health arbeitet, muss die Datenfreigabe in Apple Health zurückgezogen werden. Für die Trennung der Corona-Datenspende von Apple Health folgen Sie bitte den folgenden Schritten:* 1. *Gehen Sie in die Einstellungen Ihres iPhones oder iPads* 2. *Wählen Sie „Health“ aus* 3. *Klicken Sie auf „Datenzugriff & Geräte“* 4. *Wählen Sie „Datenspende“ aus* 5. *Deaktivieren Sie die Freigabe für die verschiedenen Datentypen* *Es werden dann keine weiteren Daten an das Robert Koch-Institut übermittelt. Die Freigabe der Daten kann bei Verwendung von Apple Health nicht in der Corona-Datenspende-App sondern nur in Apple Health zurückgezogen werden.* **Wenn Sie die bisher gespendeten Daten löschen lassen wollen, [empfiehlt das RKI folgendes Vorgehen](https://corona-datenspende.de/faq/ "Corona Datenspende FAQ"):** *Sie können jederzeit alle dem Robert Koch-Institut zur Verfügung gestellten Daten löschen lassen. Bitte folgen Sie diesen Schritten:* 1. *Öffnen Sie die Corona-Datenspende-App* 2. *Öffnen Sie das Menü in der App (oben links)* 3. *Wählen Sie den Menüpunkt „Datenquellen“ aus* 4. *Klicken Sie auf „Nutzer löschen“* 5. *Bestätigen Sie die Löschung ein weiteres Mal* *Die Daten werden automatisch innerhalb von 24 Stunden gelöscht.* Wer ganz sicher gehen möchte, kann im Nachhinein eine Betroffenenanfrage nach der Datenschutz-Grundverordnung stellen.