Totalüberwachung: Experten zerpflücken Datenspende-App des RKI

11.04.2020, Coronavirus-App auf einem Smartphone. Die Datenspende-App vom Robert Koch Institut (RKI) auf einem iphone i — Viele Fragezeichen: RKI-Datenspende-App

Peinliche Enthüllungen von Expertenseite über die von Bundesgesundheitsminister Jens Spahn und dem Robert-Koch-Institut (RKI) gepriesene „Corona-Datenspende-App“, die angeblich Sicherheit und Datenschutz über alles stellen soll: Der Chaos Computer Club analysierte die App – und stieß auf gravierende Mängel und Sicherheitslücken.

April 2020Peinliche Enthüllungen von Expertenseite über die von Bundesgesundheitsminister Jens Spahn und dem Robert-Koch-Institut (RKI) gepriesene „Corona-Datenspende-App“, die angeblich Sicherheit und Datenschutz über alles stellen soll: Der Chaos Computer Club analysierte die App – und…

Nicht weniger als acht „organisatorische und technische Aspekte“ stufen die Prüfer als teilweise hochproblematisch ein. Anhand einer von den Computercracks aufgestellten 10-Punkte-Prüfliste wurde die Anwendung, die vor allem auf „Contact Tracing“ zur Nachverfolgung von Infektionsketten setzt, auf Herz und Nieren geprüft. „Der Argwohn war berechtigt“, resümiert der CCC in einer Stellungnahme.

Beispielsweise greift das RKI nicht etwa, wie eigentlich zu erwarten wäre, auf das Smartphone zu, um die Nutzerdaten der „Spender“ auszulesen, sondern direkt von den Anbietern der Fitness-Tracker (etwa Apple Health). Damit allerdings hat die Behörde über einen Access Code potentiellen Zugriff nicht nur auf die Klarnamen, sondern auch die Gesundheits- und Fitnessdaten, die bis zum Zeitpunkt der „Spende“ – also oftmals Monate oder Jahre davor – erfasst und gespeichert wurden. Noch schlimmer: Die sensiblen Daten können durch sogenannte Man-in-the-Middle-Hacker problemlos mitgelesen werden.

Zweifel an der Unkenntlichmachung der Spender

Auch was die von der Regierung zugesicherte Unkenntlichmachung der Nutzeridentität anlangt, sind größte Zweifel angebracht: „Eine Pseudonymisierung findet erst auf Seiten des RKI statt und kann durch die Nutzer nicht kontrolliert oder verifiziert werden“, schreibt der CCC. Zumindest theoretisch könnte der Staat also intime persönliche Daten der Bürger einsehen. Selbst wenn man unterstellt, dass dies unterbleibt und das RKI tatsächlich alle Spender pseudonymisiert, so ergeben sich gerade hieraus neue Probleme.

Denn während externe Angreifer sehr wohl die Klarnamen in Erfahrung bringen können, um wen es sich handelt, weiß das RKI laut CCC „weder, wer die Daten spendet, noch ob der Spender überhaupt existiert“. Dies, so die Experten, öffnet „der Manipulation Tür und Tor“. Weil nicht einmal eine wirksame Einwilligung in die Datenverarbeitung eingeholt wird, ist es kaum möglich festzustellen, ob es sich nicht um Phantomspender handelt.

Im Ergebnis halten die App-Tester fest, dass die „Corona-Datenspende“ zwar vom Ansatz eine gute Idee, aber in der Umsetzung mit heißer Nadel gestrickt ist – was natürlich der „gebotenen Eile im Umgang mit der SARS-CoV-2-Pandemie“ geschuldet war. Als Fazit stellt der CCC fest: „Die Risiken sind auf Dauer nicht tragbar.“ (DM)

Der Chaos Computer Club analysierte die App – und…