summaryrefslogtreecommitdiff
path: root/updates/2020/abofalle-datenspende.md
blob: 8f8d57cb5849060566641c719955fb3814f5995d (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
title: CCC analysiert Corona-Datenspende des RKI
date: 2020-04-20 11:57:30 
updated: 2020-04-20 16:36:08 
author: presse
tags: update, pressemitteilung

Der Chaos Computer Club (CCC) veröffentlichte heute die Analyse der im Namen des Robert-Koch-Institut (RKI) als "Corona Datenspende" verbreiteten App. Versprechungen über Sicherheit und Datenschutz bei geheimgehaltenem Quellcode hatten das Interesse der Sicherheitsforscher geweckt. Ihr Argwohn war berechtigt: Auch in einer Black-Box-Analyse ließen sich eine Handvoll Probleme identifizieren. Der Hersteller wurde informiert, bestätigte die Funde und gelobt Besserung.

<!-- TEASER_END -->

Seit Wochen wird in Europa eine lebhafte Diskussion über „Corona Apps“
geführt. Für derartige Anwendungen hat der CCC [kürzlich zehn
Prüfsteine](/de/updates/2020/contact-tracing-requirements "Prüfsteine des CCC für Contact-Tracing-Apps")
veröffentlicht. „Contact Tracing“ soll Infektionsketten zurückverfolgbar
und die Pandemie beherrschbar machen, so die Hoffnung.

In diese Erwartungshaltung hinein platzierte das RKI am 7. April eine
App ganz anderer Natur – die „Corona-Datenspende“. Über diese App leiten
inzwischen über 400.000 Freiwillige Daten ihres Fitnesstrackers an das
RKI. Das erklärte Ziel: Eine bessere Vorhersage von Infektionen und
damit eine verbesserte Steuerung von Eindämmungsmaßnahmen gegen die
SARS-CoV-2-Pandemie.

Auch wenn die zehn Prüfsteine des CCC nicht für diese Art von App
formuliert wurden, beinhalten sie doch einige wichtige Prinzipien, die
auch bei einer „Datenspende“ berücksichtigt werden sollten. So wäre eine
Offenlegung von Architektur und Quellcode der App die wohl wichtigste
vertrauensbildende Maßnahme gewesen.

Doch auch ohne eine solche Offenlegung haben Sicherheitsforscher des CCC
der „Datenspende“ auf den Zahn gefühlt.

Insgesamt werden im Rahmen der Analyse acht technische und
organisatorische Aspekte bemängelt. Der CCC veröffentlicht heute die
Ergebnisse dieser Analyse in einem detaillierten
Bericht: [Blackbox-Sicherheitsbetrachtung der
Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf)

-   ***Cloudanbindung:*** Das RKI holt sich die Daten der meisten Nutzer
    wider Erwarten nicht vom Smartphone, sondern direkt von den
    Anbietern der Fitnesstracker – und hat über einen Zugangscode
    potentiell Zugriff sowohl auf Klarnamen der Spender als auch deren
    Fitnessdaten vor Beginn der Spende. Bei einer einfachen
    Deinstallation der App bleibt dieser Zugriff auch weiterhin
    bestehen.
-   ***Mangelhafte Pseudonymisierung:*** Entgegen der Darstellungen
    werden die hochsensiblen Gesundheitsdaten der meisten Nutzer nicht
    schon auf dem Smartphone pseudonymisiert, sondern vollständig und
    teils mitsamt Klarnamen der Datenspender abgerufen. Eine
    Pseudonymisierung findet erst auf Seiten des RKI statt und kann
    durch die Nutzer nicht kontrolliert oder verifiziert werden.
-   ***Unzureichender Schutz der Zugangsdaten:*** Bei Verknüpfung der
    App mit einem Fitnesstracker müssen dessen Zugangsdaten eingegeben
    werden. In der Mehrzahl der Fälle könnten diese durch
    Man-in-the-Middle-Angreifer mitgelesen werden. Zudem können
    Zugangsdaten beispielsweise zum Google-Konto des Nutzers bei Verlust
    oder Diebstahl des Smartphones durch Dritte ausgelesen werden.
-   ***Organisatorische Defizite:*** Das RKI weiß weder, wer die Daten
    spendet, noch ob der Spender überhaupt existiert. Dies öffnet
    Manipulation Tür und Tor. Auch die bei Einwilligung zugesagten
    Betroffenenrechte können nicht gewährt werden, da nicht
    sichergestellt ist, dass es sich tatsächlich um den Betroffenen
    handelt. Das RKI holt keine wirksame Einwilligung in die
    Datenverarbeitung ein.

## Fazit

Das RKI hat vor dem Hintergrund der gebotenen Eile im Umgang mit der
SARS-CoV-2-Pandemie in sehr kurzer Zeit eine „Corona-App“ herausgegeben.
Der CCC konnte darin die Verletzung einiger „best practices“
feststellen. Zwar gelang zum jetzigen Zeitpunkt kein unmittelbarer
direkter Zugriff auf die gesammelten Daten, aber die Risiken sind auf
Dauer nicht tragbar. Der CCC empfiehlt eine rasche Umsetzung der
empfohlenen Maßnahmen zur Behebung.

Für künftige Vorhaben empfiehlt der CCC darüber hinaus proaktives
Handeln: Viele der identifizierten Risiken ließen sich durch
Berücksichtigung der vom CCC veröffentlichten zehn Prüfsteine
eliminieren. Die darin vom CCC geforderte Transparenz fördert zudem eine
aktive und konstruktive Einbindung der Fachöffentlichkeit und hat damit
das Potential, künftige App-gestützte Maßnahmen zur Eindämmung der
SARS-CoV-2-Pandemie und anderer Anwendungen noch schneller zur Reife zu
bringen.

Technische und organisatorische Risiken sollten immer transparent
kommuniziert werden, so dass Nutzer eine informierte Entscheidung für
oder gegen den Einsatz der App treffen können. Indem auf die fertige
technische Lösung eines Dienstleisters zurückgegriffen wurde, hat das
RKI Flexibilität in der Berücksichtigung von Expertenmeinungen verloren.

Die Digitalisierung im Gesundheitswesen könnte ferner eine Basis
schaffen, dass in Zukunft auf ähnliche gesellschaftliche Situationen
schnell reagiert werden kann, wenn nun schnellstmöglich auch [die
organisatorischen Mängel um die elektronische
Gesundheitskarte](/de/updates/2019/neue-schwachstellen-gesundheitsnetzwerk)
abgestellt werden. Gerade die Umsetzung der organisatorischen Maßnahmen
verschlingt viel Zeit und kann nicht erst im Notfall durchgeführt werden

Download: [Blackbox-Sicherheitsbetrachtung der
Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf)
(PDF)

## FAQ

**Konnte der CCC auf meine Gesundheitsdaten zugreifen?**

:   Nein. Der CCC hat vielmehr festgestellt, dass die Hürde für
    Angreifer zu niedrig liegt. Einem erfolgreichen Angreifer würden
    sich Gesundheitsdaten aus der Zeit vor der Datenspende sowie
    Klarnamen der Spender offenbaren. Dies ist ein vermeidbares Risiko.

**Hat das RKI bereits reagiert?**

:   Der CCC hat seine Analyse vorab an das RKI und seinen Dienstleister
    übermittelt. Mit beiden stehen wir im Austausch.

    Erste technische Verbesserungen wurden sofort nach der Übermittlung
    der Befunde implementiert und damit einhergehende Schwachstellen
    geschlossen.

**Wie schnell lassen sich die gefundenen technischen und organisatorischen Mängel abstellen?**

:   Die technischen Mängel lassen sich teilweise rasch, teilweise aber
    nur mit einigem Entwicklungsaufwand beseitigen. Die
    organisatorischen Mängel können jedoch nur mit großem Aufwand
    beseitigt werden.

    Hier zeigt sich, dass die in den letzten fünfzehn Jahren versäumte
    Digitalisierung des Gesundheitswesens einen zügigen und
    zielgerichteten Einsatz solcher Apps erheblich erschwert.

**Was können Nutzer unternehmen?**

:   Grundsätzlich *könnten* erfolgreiche Angreifer Ihren Namen und Ihre
    Fitnesstracker-Daten extrahieren. Je nachdem, wie Sie persönlich den
    Schutzbedarf ihrer Fitnesstracker-Daten bewerten, können Sie
    entscheiden, ob Sie überhaupt reagieren wollen.

    In der Informiertheit liegt ein wesentlicher Punkt, um sich für oder
    gegen die Nutzung der App zu entscheiden. Neben den bereits vom
    Bundesdatenschutzbeauftragten Herrn Kelber genannten Punkten, dass
    die Nutzer eindeutig und widerspruchsfrei informiert sein müssen,
    welche Daten die App zu welchem Zweck sammelt, müssen die Bürger
    auch über die mit der Nutzung der App verbunden Risiken der
    Informationssicherheit informiert werden.

    Unter iOS ist die Datenbereitstellung über Apple Health zu
    bevorzugen, da hierüber im Gegensatz zu anderen Datenquellen keinen
    Zugriff von Seiten des RKI über einen zentralen Zugangscode möglich
    ist.

**Was hätte bei der Entwicklung der App besser laufen müssen?**

:   Gerade vor dem Hintergrund des hohen Zeitdrucks, schnell eine App zu
    realisieren, hätte der Entwicklungsprozess anders gestaltet werden
    können. Die aktuellen Bemühungen im Rahmen der Entwicklung der
    „Contact Tracing“-Apps haben gezeigt, dass durch eine Nutzung von
    Experten aus verschiedenen Fachrichtungen Ergebnisse erzielt werden
    können, die weit über das hinausgehen, was einzelne Unternehmen mit
    begrenzten Ressourcen leisten können.

    Indem auf eine bereits etablierte technische Lösung zurückgegriffen
    wurde, hat das RKI Flexibilität in der Berücksichtigung dieser
    Expertenmeinungen verloren.

**Kann ich die Datenspende auch nach Deinstallation der App noch abbrechen?**

:   Sie können die Datenweitergabe manuell auch nach Deinstallation der
    App über ihren Fitnesstracker-Anbieter beenden. Das Vorgehen bei
    Datenspende über Apple Health hat das RKI [in seinen
    FAQ](https://corona-datenspende.de/faq/) beschrieben. Das Vorgehen
    bei Datenspende über Google Fit ist ähnlich: Öffnen Sie die Google
    Fit-App, und gehen Sie in die Einstellungen unter „Profil“. Unter
    „Verbundene Apps verwalten“ können Sie die Verbindung mit der
    Corona-Datenspende aufheben.