1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
|
title: CCC analysiert Corona-Datenspende des RKI
date: 2020-04-20 11:57:30
updated: 2020-04-20 16:36:08
author: presse
tags: update, pressemitteilung
Der Chaos Computer Club (CCC) veröffentlichte heute die Analyse der im Namen des Robert-Koch-Institut (RKI) als "Corona Datenspende" verbreiteten App. Versprechungen über Sicherheit und Datenschutz bei geheimgehaltenem Quellcode hatten das Interesse der Sicherheitsforscher geweckt. Ihr Argwohn war berechtigt: Auch in einer Black-Box-Analyse ließen sich eine Handvoll Probleme identifizieren. Der Hersteller wurde informiert, bestätigte die Funde und gelobt Besserung.
<!-- TEASER_END -->
Seit Wochen wird in Europa eine lebhafte Diskussion über „Corona Apps“
geführt. Für derartige Anwendungen hat der CCC [kürzlich zehn
Prüfsteine](/de/updates/2020/contact-tracing-requirements "Prüfsteine des CCC für Contact-Tracing-Apps")
veröffentlicht. „Contact Tracing“ soll Infektionsketten zurückverfolgbar
und die Pandemie beherrschbar machen, so die Hoffnung.
In diese Erwartungshaltung hinein platzierte das RKI am 7. April eine
App ganz anderer Natur – die „Corona-Datenspende“. Über diese App leiten
inzwischen über 400.000 Freiwillige Daten ihres Fitnesstrackers an das
RKI. Das erklärte Ziel: Eine bessere Vorhersage von Infektionen und
damit eine verbesserte Steuerung von Eindämmungsmaßnahmen gegen die
SARS-CoV-2-Pandemie.
Auch wenn die zehn Prüfsteine des CCC nicht für diese Art von App
formuliert wurden, beinhalten sie doch einige wichtige Prinzipien, die
auch bei einer „Datenspende“ berücksichtigt werden sollten. So wäre eine
Offenlegung von Architektur und Quellcode der App die wohl wichtigste
vertrauensbildende Maßnahme gewesen.
Doch auch ohne eine solche Offenlegung haben Sicherheitsforscher des CCC
der „Datenspende“ auf den Zahn gefühlt.
Insgesamt werden im Rahmen der Analyse acht technische und
organisatorische Aspekte bemängelt. Der CCC veröffentlicht heute die
Ergebnisse dieser Analyse in einem detaillierten
Bericht: [Blackbox-Sicherheitsbetrachtung der
Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf)
- ***Cloudanbindung:*** Das RKI holt sich die Daten der meisten Nutzer
wider Erwarten nicht vom Smartphone, sondern direkt von den
Anbietern der Fitnesstracker – und hat über einen Zugangscode
potentiell Zugriff sowohl auf Klarnamen der Spender als auch deren
Fitnessdaten vor Beginn der Spende. Bei einer einfachen
Deinstallation der App bleibt dieser Zugriff auch weiterhin
bestehen.
- ***Mangelhafte Pseudonymisierung:*** Entgegen der Darstellungen
werden die hochsensiblen Gesundheitsdaten der meisten Nutzer nicht
schon auf dem Smartphone pseudonymisiert, sondern vollständig und
teils mitsamt Klarnamen der Datenspender abgerufen. Eine
Pseudonymisierung findet erst auf Seiten des RKI statt und kann
durch die Nutzer nicht kontrolliert oder verifiziert werden.
- ***Unzureichender Schutz der Zugangsdaten:*** Bei Verknüpfung der
App mit einem Fitnesstracker müssen dessen Zugangsdaten eingegeben
werden. In der Mehrzahl der Fälle könnten diese durch
Man-in-the-Middle-Angreifer mitgelesen werden. Zudem können
Zugangsdaten beispielsweise zum Google-Konto des Nutzers bei Verlust
oder Diebstahl des Smartphones durch Dritte ausgelesen werden.
- ***Organisatorische Defizite:*** Das RKI weiß weder, wer die Daten
spendet, noch ob der Spender überhaupt existiert. Dies öffnet
Manipulation Tür und Tor. Auch die bei Einwilligung zugesagten
Betroffenenrechte können nicht gewährt werden, da nicht
sichergestellt ist, dass es sich tatsächlich um den Betroffenen
handelt. Das RKI holt keine wirksame Einwilligung in die
Datenverarbeitung ein.
## Fazit
Das RKI hat vor dem Hintergrund der gebotenen Eile im Umgang mit der
SARS-CoV-2-Pandemie in sehr kurzer Zeit eine „Corona-App“ herausgegeben.
Der CCC konnte darin die Verletzung einiger „best practices“
feststellen. Zwar gelang zum jetzigen Zeitpunkt kein unmittelbarer
direkter Zugriff auf die gesammelten Daten, aber die Risiken sind auf
Dauer nicht tragbar. Der CCC empfiehlt eine rasche Umsetzung der
empfohlenen Maßnahmen zur Behebung.
Für künftige Vorhaben empfiehlt der CCC darüber hinaus proaktives
Handeln: Viele der identifizierten Risiken ließen sich durch
Berücksichtigung der vom CCC veröffentlichten zehn Prüfsteine
eliminieren. Die darin vom CCC geforderte Transparenz fördert zudem eine
aktive und konstruktive Einbindung der Fachöffentlichkeit und hat damit
das Potential, künftige App-gestützte Maßnahmen zur Eindämmung der
SARS-CoV-2-Pandemie und anderer Anwendungen noch schneller zur Reife zu
bringen.
Technische und organisatorische Risiken sollten immer transparent
kommuniziert werden, so dass Nutzer eine informierte Entscheidung für
oder gegen den Einsatz der App treffen können. Indem auf die fertige
technische Lösung eines Dienstleisters zurückgegriffen wurde, hat das
RKI Flexibilität in der Berücksichtigung von Expertenmeinungen verloren.
Die Digitalisierung im Gesundheitswesen könnte ferner eine Basis
schaffen, dass in Zukunft auf ähnliche gesellschaftliche Situationen
schnell reagiert werden kann, wenn nun schnellstmöglich auch [die
organisatorischen Mängel um die elektronische
Gesundheitskarte](/de/updates/2019/neue-schwachstellen-gesundheitsnetzwerk)
abgestellt werden. Gerade die Umsetzung der organisatorischen Maßnahmen
verschlingt viel Zeit und kann nicht erst im Notfall durchgeführt werden
Download: [Blackbox-Sicherheitsbetrachtung der
Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf)
(PDF)
## FAQ
**Konnte der CCC auf meine Gesundheitsdaten zugreifen?**
: Nein. Der CCC hat vielmehr festgestellt, dass die Hürde für
Angreifer zu niedrig liegt. Einem erfolgreichen Angreifer würden
sich Gesundheitsdaten aus der Zeit vor der Datenspende sowie
Klarnamen der Spender offenbaren. Dies ist ein vermeidbares Risiko.
**Hat das RKI bereits reagiert?**
: Der CCC hat seine Analyse vorab an das RKI und seinen Dienstleister
übermittelt. Mit beiden stehen wir im Austausch.
Erste technische Verbesserungen wurden sofort nach der Übermittlung
der Befunde implementiert und damit einhergehende Schwachstellen
geschlossen.
**Wie schnell lassen sich die gefundenen technischen und organisatorischen Mängel abstellen?**
: Die technischen Mängel lassen sich teilweise rasch, teilweise aber
nur mit einigem Entwicklungsaufwand beseitigen. Die
organisatorischen Mängel können jedoch nur mit großem Aufwand
beseitigt werden.
Hier zeigt sich, dass die in den letzten fünfzehn Jahren versäumte
Digitalisierung des Gesundheitswesens einen zügigen und
zielgerichteten Einsatz solcher Apps erheblich erschwert.
**Was können Nutzer unternehmen?**
: Grundsätzlich *könnten* erfolgreiche Angreifer Ihren Namen und Ihre
Fitnesstracker-Daten extrahieren. Je nachdem, wie Sie persönlich den
Schutzbedarf ihrer Fitnesstracker-Daten bewerten, können Sie
entscheiden, ob Sie überhaupt reagieren wollen.
In der Informiertheit liegt ein wesentlicher Punkt, um sich für oder
gegen die Nutzung der App zu entscheiden. Neben den bereits vom
Bundesdatenschutzbeauftragten Herrn Kelber genannten Punkten, dass
die Nutzer eindeutig und widerspruchsfrei informiert sein müssen,
welche Daten die App zu welchem Zweck sammelt, müssen die Bürger
auch über die mit der Nutzung der App verbunden Risiken der
Informationssicherheit informiert werden.
Unter iOS ist die Datenbereitstellung über Apple Health zu
bevorzugen, da hierüber im Gegensatz zu anderen Datenquellen keinen
Zugriff von Seiten des RKI über einen zentralen Zugangscode möglich
ist.
**Was hätte bei der Entwicklung der App besser laufen müssen?**
: Gerade vor dem Hintergrund des hohen Zeitdrucks, schnell eine App zu
realisieren, hätte der Entwicklungsprozess anders gestaltet werden
können. Die aktuellen Bemühungen im Rahmen der Entwicklung der
„Contact Tracing“-Apps haben gezeigt, dass durch eine Nutzung von
Experten aus verschiedenen Fachrichtungen Ergebnisse erzielt werden
können, die weit über das hinausgehen, was einzelne Unternehmen mit
begrenzten Ressourcen leisten können.
Indem auf eine bereits etablierte technische Lösung zurückgegriffen
wurde, hat das RKI Flexibilität in der Berücksichtigung dieser
Expertenmeinungen verloren.
**Kann ich die Datenspende auch nach Deinstallation der App noch abbrechen?**
: Sie können die Datenweitergabe manuell auch nach Deinstallation der
App über ihren Fitnesstracker-Anbieter beenden. Das Vorgehen bei
Datenspende über Apple Health hat das RKI [in seinen
FAQ](https://corona-datenspende.de/faq/) beschrieben. Das Vorgehen
bei Datenspende über Google Fit ist ähnlich: Öffnen Sie die Google
Fit-App, und gehen Sie in die Einstellungen unter „Profil“. Unter
„Verbundene Apps verwalten“ können Sie die Verbindung mit der
Corona-Datenspende aufheben.
|