News

CCC: Corona-Datenspende-App des RKI zeigt sich datenspendabel

Mit der Datenspende-App des RKI können Nutzerinnen Daten aus ihren Fitnesstrackern dem RKI zur Verfügung stellen. Mit diesen Daten wollen Forscher abschätzen, wo zum Beispiel ein neuer Corona-Hotspot entstehen könnte. (Foto: Shutterstock)

Der Chaos Computer Club (CCC) hat schon bei einer nur oberflächlichen Prüfung der RKI-Datenspende-App einige Schwachstellen gefunden, die sowohl den Datenschutz als auch die Sicherheit und Rechtskonformität der App infrage stellen.

Die vom Robert-Koch-Institut (RKI) auf der Basis einer bereits existierenden Lösung des Berliner Startups Mhealth Pioneers erstellte Datenspende-App zieht weitere Kritik auf sich. Auch die Experten vom Chaos Computer Club schließen sich dem wachsenden Kreis der App-Kritiker an. Was sie bei einer lediglich oberflächlichen Prüfung bereits finden konnten, hat das Potenzial, zu beunruhigen.

Datenschutzmangel: RKI pseudonymisiert die Trackerdaten zu spät

So behauptet etwa das RKI, die Daten, die Bürgerinnen und Bürger über die App „spenden“, würden komplett verschlüsselt und pseudonymisiert übertragen. Ausgerechnet an diesem kritischen Punkt kommt der CCC zu anderen Ergebnissen.

Die CCC-Experten fanden nämlich heraus, dass sich das RKI die Daten der meisten Nutzer „wider Erwarten nicht vom Smartphone“, sondern direkt von den Anbietern von Fitnesstrackern wie Fitbit, Garmin, Polar oder Withings hole. Damit könne die Behörde über einen Zugangscode potenziell Zugriff auf Klarnamen der Anwender sowie deren Körperdaten nehmen, und zwar schon vor Beginn der Spende.

Die Pseudonymisierung erfolge erst im Anschluss an die Speicherung von Zugangsdaten, mit denen „auf die vollständige Fitness-Historie und die Namen der Datenspender zugegriffen werden kann“. Daraus ergebe sich die Möglichkeit, Nutzer unter Missbrauch dieser Zugangskennungen direkt zu identifizieren, was den Zweck der Pseudonymisierung aushebele, so der CCC.

Lediglich unter Verwendung von Apple Health auf einem iPhone sei die versprochene Pseudonymisierung durchgängig gewährleistet, denn diese Daten würden stets über Apple-Server an das RKI geleitet und nicht direkt über die Tracker-Hersteller.

Sicherheitsmangel: Man-in-the-Middle-Attacken möglich

In diesem Zusammenhang kritisieren die CCC-Experten auch die Notwendigkeit, innerhalb der Datenspende-App die Zugangsdaten zu den Fitnesstracker-Diensten angeben zu müssen, mit denen die App verknüpft werden soll. Über Man-in-the-Middle-Attacken sei es dabei leicht möglich, die eingegebenen Zugangsdaten mitzulesen.

Rechtsmangel: DSGVO-Konformität nicht gegeben

Zudem zweifeln die Experten an, dass die Datenspende-App überhaupt konform zur europäischen Datenschutzgrundverordnung (DSGVO) ist. Sie sehen in dem innerhalb der App zu durchlaufenden Einwilligungsverfahren keine der DSGVO entsprechende und damit wirksame Einwilligung in die Informationsverarbeitung. Auf dieser Basis dürfe die App im Grunde nicht betrieben werden.

Der Schwachpunkt an dieser Stelle liege in der fehlenden Überprüfung der Nutzeridentität. So wisse das RKI weder, wer konkret spende, noch ob es diesen Nutzer überhaupt gibt. Und Nutzer, deren Identität nicht klar ist, können wiederum ihre Betroffenenrechte nicht ausüben.

Fazit: Mängel so nicht tragbar

Im Ergebnis regen die CCC-Experten dringend Korrekturen und dabei die Beachtung der zehn Prüfsteine für Corona-Apps an. Die aus den Sicherheitslücken resultierenden Risiken seien auf Dauer „nicht tragbar“.

Die gesamte CCC-Analyse steht als PDF zum Download zur Verfügung.

Passend dazu: Das Robert-Koch-Institut will eure Fitness-Tracker-Daten

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

5 Kommentare
Sebastian Jacobitz

Schade, dass solch eine wichtige und eigentlich nützliche App mit „niederen“ Interessen untersetzt werden muss. Damit wird diese kaum Verbreitung finden.

Antworten
Reinhard Beierlein
Reinhard Beierlein

Eigentlich hätte man es wissen müssen!

Wenn man bedenkt, mit welchen Argumenten (Gesundheitsschutz, Alternativlos, absolut anonymisiert usw.) die Bundesregierung für die App wirbt, sollte die Erfahrung oder der gesunde Menschenverstand die Alarmglocken ertönen lassen.

Dass nun – bereits bevor diese App überhaupt verfügbar ist – bekannt wird, dass getrickst und gelogen wird, stellt den Verantwortlichen kein gutes Zeugnis aus. Da helfen auch Unterstützer-Videos von Technik-Gurus wie Frank Thelen nicht weiter. Das Projekt wird scheitern, auch wenn die Idee grundsätzlich gut war.

Es zeichnet sich ab, dass es um eine reine Überwachungsfunktion gehen wird. Und ich hoffe, dass die Bevölkerung die richtige Antwort geben wird!

Ich werde mir diese App auf keinen Fall freiwillig herunterladen. Fitness-Tracker benutze ich auch nicht und nicht einmal der sicheren (angeblich?!) Apple-Umgebung vertraue ich nun noch.

Antworten
Peter Tho
Peter Tho

@Reinhard Beierlein

Da bleibt allerdings die Frage:

wieso vertraut man dem Smartphone, aber nicht der Uhr des selben Herstellers? Das ist mir zu selektiv aluhutig.

Desweiteren,
wenn man schon glaubt, dass die Regierung uns mit der App nur ausspionieren will, wieso geht man dann noch zum Arzt und hat eine Krankenversicherung, oder überhaupt einen Handyvertrag?
Die dortigen Daten sind viel lückenloser und aussagekräftiger. Was interessiert den Staat wieviele Schritte und Herzschläge man hat (was mitunter bei den ganzen Fitness-Trackern sehr ungenau ist, bis hin zu Faktor 2), wenn die Mobilfunkbetreiber, Ärzte, Apotheken, Krankenkassen, Überwachungskameras dahingehend viel genauere Daten über meine Gesundheit und Aufenthaltsort haben?

Antworten
Kahner
Kahner

Es ist ein großer Trugschluss zu glauben, dass es so etwas wie „unpersönliche“ Daten gibt.

Jede Art von Information, die im Zusammenhang mit einer Person erhoben wird, erlaubt Rückschlüsse auf sie.
Ein „persönlicher“ Name, eine Adresse oder andere klassische Personenmerkmale sind lediglich Etiketten, die die Zuordnung vereinfachen. Wenn diese nicht vorhanden sind, dann verwenden wir ja auch Interims-Label wie „John Doe“ oder „der dicke Mittvierziger, der jeden morgen mit seinem Hund zum Bäcker geht, einen komischen Hut hat und murmelt“. Der nächste Schritt ist dann eine Vereinfachung auf „Depp von gegenüber“, da unter Menschen der gleichen Wahrnehmungsgruppe eine weiter beschreibende Bezeichnung nicht notwendig ist.

Und irgendwann einmal wird dieses Label dann gegen Peter Pan, Helmut Kohl oder sonstigen Namen ausgetauscht werden. Aber auch dann ist der Name eigentlich irrelevant, denn „Depp“ reicht ja schließlich vollkommen aus.

Wir erkennen Menschen zu allererst an ihrem Verhalten und erst dann an ihrem Äußeren. Ein Name ist lediglich Bequemlichkeit. Äußerlichkeiten lassen sich ändern (iMake-Up, Friseur, Kleidung, Wohnung, Chirurgie, …) , aber körperliche wie soziale wie psychische Verhalten nicht, außer man ist schizophren.

Maschinen erkennen Menschen an den gleichen Dingen. Aber im Gegensatz zu uns, macht sie ein Überangebot von Daten nicht „verwirrter“, sondern „schlauer“, da sie bei der Bearbeitung immer gleicher Daten nicht ermüden. Es lassen sich viel subtilere Merkmale erkennen und zuordnen.

Zur eigentlichen Sache:
Selbst wenn es keine zusätzlichen Individual-Tags neben den eigentlichen Nutzdaten (Bluetooth-Fremdgeräte-Erkennung) geben würde, stellen diese ein einmaliges Beziehungsgeflecht dar. Das ist schließlich Sinn und Zweck der Angelegenheit. Und dieses Geflecht ist und muss auf den Einzelnen rückführbar sein – auch das ist Sinn und Zweck.

Reine Metadaten reichten schon immer aus, Personen eindeutig zu identifizieren – oder wenigstens gut genug, um die unvermeidlichen Kollateralschäden vertretbar gering zu halten. Ich darf bei dieser Gelegenheit an den bedeutsamen Satz von 4*-General Hayden (u.a. ex CIA & NSA-Chef) 2014 im TV erinnern:
[b]Wir töten auf Basis von Metadaten.[/b]

Zudem werden auch in der RKI-Lösung eindeutige UUIDs verwendet (Ad-ID / SSAID), die dafür gemacht wurden, SmartPhone-Nutzer (werbetechnisch) eindeutig zu tracken. Diese dürfen im Gegensatz zu IMSI und IMEI auch offiziell verwendet werden. Dass die letzten beiden auch ohne Berechtigung oft übertragen werden, ist eine andere Sache.
Und selbst wenn dem nicht so wäre, müssen die Daten zugeordnet werden können. Am Ende muss ich nicht wissen, ob Peter Pan Corona haben KÖNNTE oder mit anderen Menschen zweifelhaften Verhaltens oder Ansichten Kontakt hat (vergessen wir nicht, was ein Virus wirklich ist!).
Es reicht, dass ich eine ausreichende genaue Aussage zu einer SmartPhone-ID treffen kann. Den Aufenthalt dieser ID und damit der dazugehörigen Person kann ich zeitnah sehr einfach nachvollziehen.

Damit die hier gewünschte Bluetooth-Erkennung funktioniert, muss diese Funktion dauerhaft eingeschaltet sein. Das Ausschalten, um beispielsweise Händler-Beacons, die ja die gleiche Technik zu vergleichbaren Zwecken verwenden, aber auch eigene „illegale Aktivitäten“ (Corona Party in der Nachbar-WG, Treffen mit Freunden, Besuch des Dealers [bei mir oder bei ihm] oder eines Pornokinos, etc.) ist daher zu unterbinden.
Das ist technisch auch kein Problem.

Am Ende kann und wird selbst eine vollständig anonymisierte also personendatenfreie Lösung nicht verhindern, dass einzelne Personen und ihr Verhalten jederzeit eindeutig zu identifizieren sind.

Und solange diese Daten auf dem SmartPhone bleiben und nur „bei begründetem Verdacht“ auf sie zugegriffen wird, ist auch der DSGVO genüge getan. Der Anwender als Walter und Verwalter seiner eigenen intimen Daten – sehr achtsam, sehr DSGVO-konform, sehr freiwillig und sehr sehr nachvollziehbar!

Der letzte Absatz ist übrigens eine, vor knapp zwei Wochen von Google und Apple gemeinsam veröffentlichte Kooperation, eine Bluetooth-Tracking-API in den Betriebssystemen zu verankern, um (Zitat) „gemeinsam eines der dringlichsten Probleme der Welt zu lösen“. Mehr Euphemismus geht kaum, denn Corona wird vergehen, diese Funktion nicht!
Schließlich wollte ich immer schon mal wissen, mit wem der Journalist Dieter Petereit so alles Kontakt hat – rein aus seuchenschutztechnischen Gründen und damit im Interesse der Öffentlichkeit natürlich!

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung