Der Chaos Computer Club (CCC) hat sich in den Reigen der Kritiker der App "Corona-Datenspende" eingereiht, die das Robert-Koch-Institut (RKI) im Kampf gegen die Pandemie veröffentlichte. Versprechen rund um IT-Sicherheit und Datenschutz der Anwendung bei gleichzeitig geheim gehaltenem Quellcode weckten nach eigenen Angaben das Interesse der Hacker. Der Argwohn habe sich bestätigt, da sie selbst bei einer nicht sehr tiefgehenden "Blackbox-Analyse" von außen "eine Handvoll Probleme" identifizieren konnten.

Das RKI hole sich die Daten der meisten Nutzer "wider Erwarten nicht vom Smartphone", sondern direkt von den Anbietern von Fitnessarmbändern und Smartwatches wie Fitbit, Garmin, Polar, Withings oder Google Fit, wundern sich die CCC-Sicherheitsexperten Martin Tschirsich, Patrick Jäger und André Zilch in ihrer am Montag veröffentlichten Analyse. Die Behörde habe so über einen Zugangscode potenziell Zugriff auf Klarnamen der Anwender sowie deren Körperdaten "noch vor Beginn der Spende".

Erst anschließend würden die abgezogenen Informationen pseudonymisiert, schreiben die Prüfer. Dazu speichere das RKI Zugangsdaten, mit denen etwa "auf die vollständige Fitness-Historie und die Namen der Datenspender zugegriffen werden kann". Die damit gegebene Möglichkeit, Nutzer unter Missbrauch dieser Zugangskennungen direkt zu identifizieren, "hebelt den Zweck der Pseudonymisierung aus".

Zusagen nicht eingehalten

Die Zusage: "Ihre Daten werden komplett verschlüsselt und pseudonym übertragen", stimmt den Autoren zufolge somit in vielen Fällen nicht. Nur bei der Wahl des Programms Apple Health unter iOS würden Fitnessdaten vom Smartphone zunächst an die App des kalifornischen Konzern und von dort aus an den RKI-Server übermittelt.

Beim Verknüpfen der App mit einem Fitness-Tracker müssten generell dessen Zugangsdaten eingegeben werden, haben die Experten weiter herausgefunden. In der Mehrzahl der Fälle könnten diese so durch Man-in-the-Middle-Angreifer mitgelesen werden. Zudem sei es möglich für Dritte, Zugangsdaten etwa zum Google-Konto des Nutzers bei Verlust oder Diebstahl des Smartphones auszulesen.

heise online daily Newsletter Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden. Newsletter jetzt abonnieren

Dazu kommen laut der Analyse organisatorische Defizite: Das RKI wisse weder, wer die Daten spendet, noch ob der Nutzer überhaupt existiere. Eine Kenntnis des Pseudonyms eines Datenspenders erlaube es Dritten, dessen Verknüpfung mit einem Fitness-Tracker einzusehen. Dies öffne "Manipulation Tür und Tor". Auch die im Einwilligungsverfahren zugesagten Betroffenenrechte könnten nicht gewährt werden, da die Identität des Spenders nicht überprüft werde. Insgesamt hole das RKI keine wirksame Einwilligung in die Informationsverarbeitung laut Datenschutz-Grundverordnung (DSGVO) ein.

Vermeidbare Risiken

"Technische und organisatorische Risiken sollten immer transparent kommuniziert werden, sodass Nutzer eine informierte Entscheidung für oder gegen den Einsatz der App treffen können", lautet das Fazit des Clubs. Indem das RKI angesichts der sich ausbreitenden Pandemie auf eine "fertige technische Lösung" des Dienstleisters mHealth Pioneers zurückgegriffen habe, hätten sich die identifizierten Schwachstellen ohne ein externes Audit eingeschlichen. Dabei wären viele der Risiken vermeidbar gewesen, wenn die Entwickler die vom CCC herausgegebenen zehn Prüfsteine für Corona-Apps berücksichtigt hätten.

Die aus den Sicherheitslücken resultierenden Risiken seien auf Dauer "nicht tragbar", mahnen die Verfasser Korrekturen an. Sonst könnten auch weitere App-gestützte Vorhaben des RKI wie die geplante umstrittene Anwendung zum Kontakt-Tracing Schaden nehmen, da von vornherein ein Vertrauensverlust potenzieller Nutzer zu befürchten sei. Proaktives Handeln und "eine aktive und konstruktive Einbindung der Fachöffentlichkeit" seien wichtig, um künftige einschlägige Initiativen "noch zielgerichteter zur Reife zu bringen".

"Schlecht gemacht"

Zuvor hatte die Gesellschaft für Informatik (GI) die Datenspende-App als "schlecht gemacht" kritisiert. Auch Kontrolleure wie der baden-württembergische Datenschutzbeauftragte Stefan Brink halten das ganze Projekt für bedenklich gerade angesichts der "notorischen Probleme" von Herstellern von Fitness-Armbändern, die Privatheit der Anwender abzusichern.

Dirk Brockmann, Professor im Fachbereich Biologie der Humboldt-Universität und am RKI, räumte als Mitinitiator der Datenspende-App mittlerweile ein, anfangs "ziemlich blauäugig" an die Sache herangegangen zu sein. Dass bereits 400.000 Menschen mitmachten, sei aber ein großer Erfolg. Bundesgesundheitsminister Jens Spahn (CDU) sorgt derweil mit seiner Ankündigung einer zusätzlichen "Quarantäne-App" für Verunsicherung, mit der er den öffentlichen Gesundheitsdienst digital aufrüsten will. Der Bundesdatenschutzbeauftragte Ulrich Kelber teilte bereits mit, sich eine solche Lösung hierzulande nicht vorstellen zu können. (jk)