Die österreichische "Stopp-Corona-App" soll die Privatsphäre ihrer Nutzer stärker absichern und funktionsfähiger werden. Dies kündigte Gerry Foitik, Bundesrettungskommandant des Österreichischen Roten Kreuzes (ÖRK), am Mittwoch an. "Unsere Lösung soll zum Vorzeigemodell für Europa werden."

Österreich gehört mit der seit Mitte März verfügbaren und mittlerweile über 400.000 Mal installierten App zu den ersten Ländern in Europa, die eine Mobilanwendung zur Nachverfolgung von Corona-Infektionsketten setzen.

heise online daily Newsletter Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden. Newsletter jetzt abonnieren

Nach einiger Kritik etwa von der Arge-Gesellschaft für Datenschutz an dem "nicht praxistauglichen" Ansatz stellten die Macher ihren Quellcode den drei österreichischen Bürgerrechts- und Forschungsorganisationen Epicenter.works, Noyb und SBA Research zur Verfügung. Diese haben der App auf den Zahn gefühlt und ihre Ergebnisse jetzt in einer 50-seitigen technischen und rechtlichen Analyse veröffentlicht.

"Gutes Ausgangsniveau"

Grundsätzlich bescheinigen die Experten der Anwendung ein "gutes Ausgangsniveau" bei Sicherheit und Datenschutz, empfehlen aber einige Korrekturen. "In der App war eine Statistikfunktion eingebaut, die den Kontaktaustausch über Bluetooth und den Empfang von Infektionsnachrichten an das Rote Kreuz übermittelt hat", erläuterte Christian Kudera, IT-Sicherheitsforscher bei SBA Research. Diesen Makel habe der für die Programmierung zuständige Konzern Accenture "aufgrund unserer dringenden Empfehlung umgehend entfernt".

Auch hielten die Prüfer ein "Offline-Tracking von Geräten" etwa über Bluetooth-Sniffer im physischen Raum für möglich. "Es ist für Angreifer möglich, Smartphones über längere Zeiträume an bestimmten Orten wiederzuerkennen und im Extremfall Bewegungsprofile zu erstellen", warnte Kudera. "Uns wurde zugesagt, dass dieses Problem mit einer neuen Version in der Ende nächster Woche behoben wird." Nutzer könnten bis dahin als Zwischenlösung den "automatischen Handshake" zwischen per Bluetooth übertragenen Kennungen deaktivieren.

Libraries von Facebook und Airbnb

Derzeit seien noch Software-Bibliotheken von Facebook und Airbnb im Code, ließen die Sachverständigen bei der Präsentation des Gutachtens durchblicken. Diese hielten sie aber für unkritisch. Weil beim Datenaustausch etwa Systeme von Google und Server von Amazon zum Einsatz kämen, könnten grundsätzlich auch US-Behörden Zugriff auf die Daten haben, heißt es in dem Papier ferner. Zu bedenken sei auch, dass vergleichsweise viele Falschalarme entstehen könnten, was die Akzeptanz der Nutzer einschränken dürfte.

Der Verarbeitungszweck und die Speicherdauer von IP-Adressen bleibe "im Dunkeln", monieren die Experten. Hier müsse ebenfalls nachgebessert werden. Ferner sei die siebentägige Speicherdauer der "digitalen Handshakes" in der Datenschutzerklärung auszuweisen. Die App müsse diese "umgehend nach der Löschfrist auch tatsächlich löschen", derzeit gebe es dafür keine Routine. Zudem fehle ein Hinweis darauf, dass ein Widerspruchsrecht gemäß Artikel 21 Datenschutz-Grundverordnung (DSGVO) für sämtliche auf Basis berechtigter Interessen erfolgender Verarbeitungen bestehe.

Wechsel auf DP3T

Die App basiert speichert die Daten zwar dezentral auf dem eigenen Handy, die Kommunikation zwischen den Telefonen erfolgt aber noch weitestgehend über zentrale Server, da das relevante Bluetooth-Protokoll zu wenig Daten zwischen den Smartphones übertragen kann. Inzwischen gebe es mit Konzepten wie DP3T oder Co-Epi Lösungen, "die auch den Großteil der Kommunikation direkt von Handy zu Handy ermöglichen und damit noch datenschutzfreundlicher sind", merkte Thomas Lohninger von Epicenter.works an. Das ÖRK sollte daher auf ein solches Verfahren umstellen.

"Derzeit sind wir am Stand der Technik. Wir entscheiden uns aber für eine noch bessere Architektur", kündigte Foitik einen Wechsel auf eine Lösung wie DP3T an. Zudem solle der Quellcode "in den kommenden Tagen in Abstimmung mit den Technikpartnern" veröffentlicht werden. Das Feedback aus der Zivilgesellschaft werde dazu beitragen, "einen wirklich hohen Datenschutzstandard zu erreichen".

Unter das Dach des Projekts PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing), das die Bundesregierung und die Ministerpräsidenten hierzulande befürworten, wollen die Österreicher nicht ziehen. Die Prüfer bezeichneten die Initiative als intransparent und rieben sich daran, dass Deutschland und Frankreich offenbar auf ein zentrales System setzen. Zuvor hatten zahlreiche europäische Wissenschaftler PEPP-PT den Rücken gekehrt und Bedenken rund um den Datensammelansatz geäußert.

Die ÖRK-App muss unter iOS derzeit – im Gegensatz zu Android – noch ständig im Vordergrund laufen, was unter anderem auf den Akku geht. Im Mai wollen Apple und Google aber Schnittstellen fürs Corona-Tracing verfügbar machen, von denen die österreichischen Programmierer Gebrauch machen und den reibungslosen Einsatz der Anwendung auch auf iPhones so ermöglichen wollen. Accenture hat zugesagt, 16 der Empfehlungen der Gutachter mit einem "Hotfix" noch am Mittwoch nachzukommen, die restlichen sollen mit den nächsten Updates spätestens innerhalb von vier Wochen berücksichtigt werden.

[Update 23.04.2020 09:04]:

Formulierung zu den Libraries von Facebook und Airbnb klargestellt: Die Forscher halten die Libraries für unkritisch und meinen daher auch nicht, dass sie aus dem Code entfernt werden müssten. "Die Verwendung von Facebook Stehto ist unbedenklich und wäre es auch, wenn es auch in der Release-Version aktiv wäre, da nicht von eingebauter Logging- oder Tracking-Funktion ausgegangen werden kann", heißt es zur Facebook-Bibliothek. Zu der Airbnb-Lirbary heißt es zudem: "Auch hier gilt, dass nicht dokumentierte Logging- oder Tracking.Funktionen sehr unwahrscheinlich sind, da die Programmbibliothek Open Source ist und über eine große Nutzerbasis verfügt. Solche Funktionen würden der Community aller Voraussicht nach sehr schnell auffallen." (vbr)