Der Chaos Computer Club (CCC) veröffentlichte heute die Analyse der im Namen des Robert-Koch-Institut (RKI) als "Corona Datenspende" verbreiteten App. Versprechungen über Sicherheit und Datenschutz bei geheimgehaltenem Quellcode hatten das Interesse der Sicherheitsforscher geweckt. Ihr Argwohn war berechtigt: Auch in einer Black-Box-Analyse ließen sich eine Handvoll Probleme identifizieren. Der Hersteller wurde informiert, bestätigte die Funde und gelobt Besserung.

Seit Wochen wird in Europa eine lebhafte Diskussion über „Corona Apps“ geführt. Für derartige Anwendungen hat der CCC kürzlich zehn Prüfsteine veröffentlicht. „Contact Tracing“ soll Infektionsketten zurückverfolgbar und die Pandemie beherrschbar machen, so die Hoffnung.

In diese Erwartungshaltung hinein platzierte das RKI am 7. April eine App ganz anderer Natur – die „Corona-Datenspende“. Über diese App leiten inzwischen über 400.000 Freiwillige Daten ihres Fitnesstrackers an das RKI. Das erklärte Ziel: Eine bessere Vorhersage von Infektionen und damit eine verbesserte Steuerung von Eindämmungsmaßnahmen gegen die SARS-CoV-2-Pandemie.

Auch wenn die zehn Prüfsteine des CCC nicht für diese Art von App formuliert wurden, beinhalten sie doch einige wichtige Prinzipien, die auch bei einer „Datenspende“ berücksichtigt werden sollten. So wäre eine Offenlegung von Architektur und Quellcode der App die wohl wichtigste vertrauensbildende Maßnahme gewesen.

Doch auch ohne eine solche Offenlegung haben Sicherheitsforscher des CCC der „Datenspende“ auf den Zahn gefühlt.

Insgesamt werden im Rahmen der Analyse acht technische und organisatorische Aspekte bemängelt. Der CCC veröffentlicht heute die Ergebnisse dieser Analyse in einem detaillierten Bericht: Blackbox-Sicherheitsbetrachtung der Corona-Datenspende

Cloudanbindung: Das RKI holt sich die Daten der meisten Nutzer wider Erwarten nicht vom Smartphone, sondern direkt von den Anbietern der Fitnesstracker – und hat über einen Zugangscode potentiell Zugriff sowohl auf Klarnamen der Spender als auch deren Fitnessdaten vor Beginn der Spende. Bei einer einfachen Deinstallation der App bleibt dieser Zugriff auch weiterhin bestehen.

Das RKI holt sich die Daten der meisten Nutzer wider Erwarten nicht vom Smartphone, sondern direkt von den Anbietern der Fitnesstracker – und hat über einen Zugangscode potentiell Zugriff sowohl auf Klarnamen der Spender als auch deren Fitnessdaten vor Beginn der Spende. Bei einer einfachen Deinstallation der App bleibt dieser Zugriff auch weiterhin bestehen. Mangelhafte Pseudonymisierung: Entgegen der Darstellungen werden die hochsensiblen Gesundheitsdaten der meisten Nutzer nicht schon auf dem Smartphone pseudonymisiert, sondern vollständig und teils mitsamt Klarnamen der Datenspender abgerufen. Eine Pseudonymisierung findet erst auf Seiten des RKI statt und kann durch die Nutzer nicht kontrolliert oder verifiziert werden.

Entgegen der Darstellungen werden die hochsensiblen Gesundheitsdaten der meisten Nutzer nicht schon auf dem Smartphone pseudonymisiert, sondern vollständig und teils mitsamt Klarnamen der Datenspender abgerufen. Eine Pseudonymisierung findet erst auf Seiten des RKI statt und kann durch die Nutzer nicht kontrolliert oder verifiziert werden. Unzureichender Schutz der Zugangsdaten: Bei Verknüpfung der App mit einem Fitnesstracker müssen dessen Zugangsdaten eingegeben werden. In der Mehrzahl der Fälle könnten diese durch Man-in-the-Middle-Angreifer mitgelesen werden. Zudem können Zugangsdaten beispielsweise zum Google-Konto des Nutzers bei Verlust oder Diebstahl des Smartphones durch Dritte ausgelesen werden.

Bei Verknüpfung der App mit einem Fitnesstracker müssen dessen Zugangsdaten eingegeben werden. In der Mehrzahl der Fälle könnten diese durch Man-in-the-Middle-Angreifer mitgelesen werden. Zudem können Zugangsdaten beispielsweise zum Google-Konto des Nutzers bei Verlust oder Diebstahl des Smartphones durch Dritte ausgelesen werden. Organisatorische Defizite: Das RKI weiß weder, wer die Daten spendet, noch ob der Spender überhaupt existiert. Dies öffnet Manipulation Tür und Tor. Auch die bei Einwilligung zugesagten Betroffenenrechte können nicht gewährt werden, da nicht sichergestellt ist, dass es sich tatsächlich um den Betroffenen handelt. Das RKI holt keine wirksame Einwilligung in die Datenverarbeitung ein.

Fazit

Das RKI hat vor dem Hintergrund der gebotenen Eile im Umgang mit der SARS-CoV-2-Pandemie in sehr kurzer Zeit eine „Corona-App“ herausgegeben. Der CCC konnte darin die Verletzung einiger „best practices“ feststellen. Zwar gelang zum jetzigen Zeitpunkt kein unmittelbarer direkter Zugriff auf die gesammelten Daten, aber die Risiken sind auf Dauer nicht tragbar. Der CCC empfiehlt eine rasche Umsetzung der empfohlenen Maßnahmen zur Behebung.

Für künftige Vorhaben empfiehlt der CCC darüber hinaus proaktives Handeln: Viele der identifizierten Risiken ließen sich durch Berücksichtigung der vom CCC veröffentlichten zehn Prüfsteine eliminieren. Die darin vom CCC geforderte Transparenz fördert zudem eine aktive und konstruktive Einbindung der Fachöffentlichkeit und hat damit das Potential, künftige App-gestützte Maßnahmen zur Eindämmung der SARS-CoV-2-Pandemie und anderer Anwendungen noch schneller zur Reife zu bringen.

Technische und organisatorische Risiken sollten immer transparent kommuniziert werden, so dass Nutzer eine informierte Entscheidung für oder gegen den Einsatz der App treffen können. Indem auf die fertige technische Lösung eines Dienstleisters zurückgegriffen wurde, hat das RKI Flexibilität in der Berücksichtigung von Expertenmeinungen verloren.

Die Digitalisierung im Gesundheitswesen könnte ferner eine Basis schaffen, dass in Zukunft auf ähnliche gesellschaftliche Situationen schnell reagiert werden kann, wenn nun schnellstmöglich auch die organisatorischen Mängel um die elektronische Gesundheitskarte abgestellt werden. Gerade die Umsetzung der organisatorischen Maßnahmen verschlingt viel Zeit und kann nicht erst im Notfall durchgeführt werden

Download: Blackbox-Sicherheitsbetrachtung der Corona-Datenspende (PDF)

FAQ

Konnte der CCC auf meine Gesundheitsdaten zugreifen?

Nein. Der CCC hat vielmehr festgestellt, dass die Hürde für Angreifer zu niedrig liegt. Einem erfolgreichen Angreifer würden sich Gesundheitsdaten aus der Zeit vor der Datenspende sowie Klarnamen der Spender offenbaren. Dies ist ein vermeidbares Risiko.

Hat das RKI bereits reagiert?

Der CCC hat seine Analyse vorab an das RKI und seinen Dienstleister übermittelt. Mit beiden stehen wir im Austausch. Erste technische Verbesserungen wurden sofort nach der Übermittlung der Befunde implementiert und damit einhergehende Schwachstellen geschlossen.

Wie schnell lassen sich die gefundenen technischen und organisatorischen Mängel abstellen?

Die technischen Mängel lassen sich teilweise rasch, teilweise aber nur mit einigem Entwicklungsaufwand beseitigen. Die organisatorischen Mängel können jedoch nur mit großem Aufwand beseitigt werden. Hier zeigt sich, dass die in den letzten fünfzehn Jahren versäumte Digitalisierung des Gesundheitswesens einen zügigen und zielgerichteten Einsatz solcher Apps erheblich erschwert.

Was können Nutzer unternehmen?

Grundsätzlich könnten erfolgreiche Angreifer Ihren Namen und Ihre Fitnesstracker-Daten extrahieren. Je nachdem, wie Sie persönlich den Schutzbedarf ihrer Fitnesstracker-Daten bewerten, können Sie entscheiden, ob Sie überhaupt reagieren wollen. In der Informiertheit liegt ein wesentlicher Punkt, um sich für oder gegen die Nutzung der App zu entscheiden. Neben den bereits vom Bundesdatenschutzbeauftragten Herrn Kelber genannten Punkten, dass die Nutzer eindeutig und widerspruchsfrei informiert sein müssen, welche Daten die App zu welchem Zweck sammelt, müssen die Bürger auch über die mit der Nutzung der App verbunden Risiken der Informationssicherheit informiert werden. Unter iOS ist die Datenbereitstellung über Apple Health zu bevorzugen, da hierüber im Gegensatz zu anderen Datenquellen keinen Zugriff von Seiten des RKI über einen zentralen Zugangscode möglich ist.

Was hätte bei der Entwicklung der App besser laufen müssen?

Gerade vor dem Hintergrund des hohen Zeitdrucks, schnell eine App zu realisieren, hätte der Entwicklungsprozess anders gestaltet werden können. Die aktuellen Bemühungen im Rahmen der Entwicklung der „Contact Tracing“-Apps haben gezeigt, dass durch eine Nutzung von Experten aus verschiedenen Fachrichtungen Ergebnisse erzielt werden können, die weit über das hinausgehen, was einzelne Unternehmen mit begrenzten Ressourcen leisten können. Indem auf eine bereits etablierte technische Lösung zurückgegriffen wurde, hat das RKI Flexibilität in der Berücksichtigung dieser Expertenmeinungen verloren.

Kann ich die Datenspende auch nach Deinstallation der App noch abbrechen?