path: root/updates/2020/abofalle-datenspende.md

title: CCC analysiert Corona-Datenspende des RKI
date: 2020-04-20 11:57:30 
updated: 2020-04-20 13:14:23 
author: presse
tags: update, pressemitteilung

Der Chaos Computer Club (CCC) veröffentlichte heute die Analyse der im Namen des Robert-Koch-Institut (RKI) als "Corona Datenspende" verbreiteten App. Vollmundige Versprechungen über Sicherheit und Datenschutz bei geheimgehaltenen Quellcode hatten das Interesse der Hacker geweckt. Ihr Argwohn war berechtigt: Auch in einer Black-Box-Analyse ließen sich eine handvoll Probleme identifizieren. Der Hersteller wurde informiert, bestätigte die Funde und gelobt Besserung.

<!-- TEASER_END -->

Seit Wochen wird in Europa eine lebhafte Diskussion über „Corona Apps“
geführt. Für derartige Anwendungen hat der CCC [kürzlich zehn
Prüfsteine](/de/updates/2020/contact-tracing-requirements "Prüfsteine des CCC für Contact-Tracing-Apps")
veröffentlicht. „Contact Tracing“ soll Infektionsketten zurückverfolgbar
und die Pandemie beherrschbar machen, so die Hoffnung.

In diese Erwartungshaltung hinein platzierte das RKI am 7. April eine
App ganz anderer Natur – die „Corona-Datenspende“. Über diese App leiten
inzwischen über 400.000 Freiwillige Daten ihres Fitnesstrackers an das
RKI. Das erklärte Ziel: Eine bessere Vorhersage von Infektionen und
damit eine verbesserte Steuerung von Eindämmungsmaßnahmen gegen die
SARS-CoV-2-Pandemie.

Auch wenn die zehn Prüfsteine des CCC nicht für diese Art von App
formuliert wurden, beinhalten sie doch einige wichtige Prinzipien, die
auch bei einer „Datenspende“ berücksichtigt werden sollten. So wäre eine
Offenlegung von Architektur und Quellcode der App die wohl wichtigste
vertrauensbildende Maßnahme gewesen.

Doch auch ohne eine solche Offenlegung haben Sicherheitsforscher des CCC
der „Datenspende“ auf den Zahn gefühlt.

Insgesamt werden im Rahmen der Analyse sieben technische Aspekte
bemängelt. Darüber hinaus bestehen Zweifel an der sauberen Umsetzung der
DSGVO-Maßnahmen. Der CCC veröffentlicht heute die Ergebnisse dieser
Analyse in einem detaillierten Bericht: [Blackbox-Sicherheitsbetrachtung
der
Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf)

-   ***Cloudanbindung:*** Das RKI holt sich die Daten der meisten Nutzer
    wider Erwarten nicht vom Smartphone, sondern direkt von den
    Anbietern der Fitnesstracker – und hat über einen Zugangscode
    potentiell Zugriff sowohl auf Klarnamen der Spender als auch deren
    Fitnessdaten vor Beginn der Spende. Bei einer einfachen
    Deinstallation der App bleibt dieser Zugriff auch weiterhin
    bestehen.
-   ***Mangelhafte Pseudonymisierung:*** Entgegen der Darstellungen
    werden die hochsensiblen Gesundheitsdaten der meisten Nutzer nicht
    schon auf dem Smartphone pseudonymisiert, sondern vollständig und
    teils mitsamt Klarnamen der Datenspender abgerufen. Eine
    Pseudonymisierung findet erst auf Seiten des RKI statt und kann
    durch die Nutzer nicht kontrolliert oder verifiziert werden.
-   ***Unzureichender Schutz der Zugangsdaten:*** Bei Verknüpfung der
    App mit einem Fitnesstracker müssen dessen Zugangsdaten eingegeben
    werden. In der Mehrzahl der Fälle könnten diese durch
    Man-in-the-Middle-Angreifer mitgelesen werden. Zudem können
    Zugangsdaten beispielsweise zum Google-Konto des Nutzers bei Verlust
    oder Diebstahl des Smartphones durch Dritte ausgelesen werden.

## Fazit

Das RKI hat vor dem Hintergrund der gebotenen Eile im Umgang mit der
SARS-CoV-2-Pandemie in sehr kurzer Zeit eine „Corona-App“ herausgegeben.
Der CCC konnte darin die Verletzung einiger „best practices“
feststellen. Zwar gelang zum jetzigen Zeitpunkt kein unmittelbarer
direkter Zugriff auf die gesammelten Daten, aber die Risiken sind auf
Dauer nicht tragbar. Der CCC empfiehlt eine rasche Umsetzung der
empfohlenen Maßnahmen zur Behebung.

Für künftige Vorhaben empfiehlt der CCC darüber hinaus proaktives
Handeln: Viele der identifizierten Risiken ließen sich durch
Berücksichtigung der vom CCC veröffentlichten zehn Prüfsteine
eliminieren. Die darin vom CCC geforderte Transparenz fördert zudem eine
aktive und konstruktive Einbindung der Fachöffentlichkeit und hat damit
das Potential, künftige App-gestützte Maßnahmen zur Eindämmung der
SARS-CoV-2-Pandemie und anderer Anwendungen noch schneller zur Reife zu
bringen.

Technische und organisatorische Risiken sollten immer transparent
kommuniziert werden, so dass Nutzer eine informierte Entscheidung für
oder gegen den Einsatz der App treffen können. Indem auf die fertige
technische Lösung eines Dienstleisters zurückgegriffen wurde, hat das
RKI Flexibilität in der Berücksichtigung von Expertenmeinungen verloren.

Download: [Blackbox-Sicherheitsbetrachtung der
Corona-Datenspende](/system/uploads/297/original/CCC_Analyse_Datenspende.pdf)
(PDF)

## FAQ

**Konnte der CCC auf meine Gesundheitsdaten zugreifen?**

:   Nein. Der CCC hat vielmehr festgestellt, dass die Hürde für
    Angreifer zu niedrig liegt. Einem erfolgreichen Angreifer würden
    sich Gesundheitsdaten aus der Zeit vor der Datenspende sowie
    Klarnamen der Spender offenbaren. Dies ist ein vermeidbares Risiko.

**Hat das RKI bereits reagiert?**

:   Der CCC hat seine Analyse vorab an das RKI und seinen Dienstleister
    übermittelt. Mit beiden stehen wir im Austausch.

**Wie schnell lassen sich die gefundenen technischen und organisatorischen Mängel abstellen?**

:   Die technischen Mängel lassen sich teilweise rasch, teilweise aber
    nur mit einigem Entwicklungsaufwand beseitigen. Die
    organisatorischen Mängel können jedoch nur mit großem Aufwand
    beseitigt werden.

    Hier zeigt sich, dass die in den letzten fünfzehn Jahren versäumte
    Digitalisierung des Gesundheitswesens einen zügigen und
    zielgerichteten Einsatz solcher Apps erheblich erschwert.

**Kann ich meine Datenspende rückgängig machen, indem ich die App deinstalliere?**

:   Grundsätzlich *könnten* erfolgreiche Angreifer Ihren Namen und Ihre
    Fitnesstracker-Daten extrahieren. Je nachdem, wie Sie persönlich den
    Schutzbedarf ihrer Fitnesstracker-Daten bewerten, können Sie
    entscheiden, ob Sie überhaupt reagieren wollen. Wenn dieses Szenario
    Sie nicht um den Schlaf bringt, müssen Sie gar nichts tun.

    **Wenn Sie Ihr Datenspende-Abo beenden wollen, [empfiehlt das RKI
    folgendes
    Vorgehen](https://corona-datenspende.de/faq/ "Corona Datenspende FAQ"):**

    *Sie können jederzeit die Freigabe der Daten in der
    Corona-Datenspende-App zurücknehmen. Bitte folgen Sie diesen
    Schritten:*

    1.  *Öffnen Sie die Corona-Datenspende-App*
    2.  *Öffnen Sie das Menü in der App (oben links)*
    3.  *Wählen Sie den Menüpunkt „Datenquellen“ aus*
    4.  *Trennen Sie die Verbindung bei den entsprechenden Quellen
        (siehe Hinweis zu Apple Health; hier ist ein anderes Vorgehen
        erforderlich)*
    5.  *Wurde die Verknüpfung mit den Datenquellen getrennt, werden
        keine Daten mehr an das Robert Koch-Institut übermittelt.*

    *Sie können jederzeit alle an das Robert Koch-Institut übermittelten
    Daten unter Angabe Ihres Pseudonyms löschen lassen.*

    **Hinweis für Apple-Health-Nutzer:* Wenn Ihr Fitnessarmband oder
    Ihre Smartwatch mit Apple Health arbeitet, muss die Datenfreigabe in
    Apple Health zurückgezogen werden. Für die Trennung der
    Corona-Datenspende von Apple Health folgen Sie bitte den folgenden
    Schritten:*

    1.  *Gehen Sie in die Einstellungen Ihres iPhones oder iPads*
    2.  *Wählen Sie „Health“ aus*
    3.  *Klicken Sie auf „Datenzugriff & Geräte“*
    4.  *Wählen Sie „Datenspende“ aus*
    5.  *Deaktivieren Sie die Freigabe für die verschiedenen Datentypen*

    *Es werden dann keine weiteren Daten an das Robert Koch-Institut
    übermittelt. Die Freigabe der Daten kann bei Verwendung von Apple
    Health nicht in der Corona-Datenspende-App sondern nur in Apple
    Health zurückgezogen werden.*

    **Wenn Sie die bisher gespendeten Daten löschen lassen wollen,
    [empfiehlt das RKI folgendes
    Vorgehen](https://corona-datenspende.de/faq/ "Corona Datenspende FAQ"):**

    *Sie können jederzeit alle dem Robert Koch-Institut zur Verfügung
    gestellten Daten löschen lassen. Bitte folgen Sie diesen Schritten:*

    1.  *Öffnen Sie die Corona-Datenspende-App*
    2.  *Öffnen Sie das Menü in der App (oben links)*
    3.  *Wählen Sie den Menüpunkt „Datenquellen“ aus*
    4.  *Klicken Sie auf „Nutzer löschen“*
    5.  *Bestätigen Sie die Löschung ein weiteres Mal*

    *Die Daten werden automatisch innerhalb von 24 Stunden gelöscht.*

    Wer ganz sicher gehen möchte, kann im Nachhinein eine
    Betroffenenanfrage nach der Datenschutz-Grundverordnung stellen.