Chaos Computer Club bemängelt RKI-App Corona-Datenspende

Der Chaos Computer Club sieht Mängel bei der RKI-App Corona-Datenspende.

Der Chaos Computer Club sieht Mängel bei der RKI-App Corona-Datenspende.

Die App Corona-Datenspende, die vom Robert-Koch-Institut veröffentlicht wurde, verstößt gegen die eigenen Datenschutzregeln. Zu diesem Schluss kommt der Chaos Computer Club (CCC) in einer am Montag veröffentlichten Auswertung. Sicherheitsforscher der Hackervereinigung hatten die Anwendung zuvor umfangreich analysiert.

Weiterlesen nach der Anzeige
Weiterlesen nach der Anzeige

Seit zwei Wochen ist die App Corona-Datenspende des Robert-Koch-Instituts im App und Play Store erhältlich, mittlerweile haben rund 400.000 Nutzer die Anwendung installiert. Smartwatches oder Fitnessarmbänder sollen Daten liefern, von denen sich das Institut neue Erkenntnisse über die Ausbreitung des Coronavirus in Deutschland erhofft. Dazu laden sich Nutzer zunächst die App auf ihr Smartphone und verbinden sie anschließend mit ihrem Wearable. Die Daten werden nach Angaben des RKI unter einem Pseudonym gespeichert und vom Smartphone aus unter einer individuellen Nutzer-ID an das Institut weitergeleitet.

RKI erhält direkten Zugriff auf die Daten

Zu einem anderen Schluss kommen die Sicherheitsforscher des CCC. In ihrer Analyse konnten die Experten insgesamt acht Schwachstellen ausmachen, die “auf Dauer nicht tragbar“ seien. Bedenken ergeben sich etwa aus der Cloudanbindung. Das Robert-Koch-Institut erhält die Daten der Appnutzer demnach direkt von den Servern der Wearableanbieter – mit Ausnahme von Apple Health. Der Zwischenschritt über das Smartphone des Nutzers entfällt offenbar. Dadurch erhalte das RKI auch Zugriff auf ältere Nutzungsdaten, die nicht unter einem Pseudonym gespeichert sind, und mitunter auf die vollständigen Namen der Datenspender.

Weiterlesen nach der Anzeige
Weiterlesen nach der Anzeige

Die Pseudonymisierung erfolge nicht bereits auf dem Smartphone, sondern finde erst auf den Servern des RKI statt. Der Nutzer könne so nicht selbstständig überprüfen, welche Daten übermittelt und ob sie tatsächlich unter einem Pseudonym gespeichert werden. Außerdem prangert der CCC an, dass der Zugriff des RKI auf die Daten bei der Deinstallation der App nicht automatisch beendet wird.

Apphersteller geloben Besserung

Zudem sei die App unzureichend vor Manipulation geschützt. “Es ist beabsichtigt, aus den Analyseergebnissen der Fitnessdaten lokale Maßnahmen zur Eindämmung der Sars-CoV-2-Pandemie abzuleiten. Das einfache Einbringen falscher Fitnessdaten erlaubt jedoch eine gezielte Beeinflussung dieser Maßnahmen”, heißt es in dem CCC-Bericht. Dass kein Abgleich der IP-Adressen stattfindet, begünstige den möglichen Missbrauch. So sei es möglich, dass Hacker zahlreiche gefälschte Gesundheitsdaten an das RKI übermitteln.

Eine weitere Lücke im Datenschutz machen die Experten im Bereich der Zugangsdaten aus. Diese könnten durch sogenannte Man-in-the-middle-Angriffe mitgelesen werden. Bei dieser Cyberattacke schalten sich Dritte zwischen zwei Kommunikatoren – in diesem Falle die RKI-App und den Nutzer – um so sensible Daten abzugreifen.

Weiterlesen nach der Anzeige
Weiterlesen nach der Anzeige

Nachbesserungen angekündigt

Der Chaos Computer Club hat das RKI sowie die Entwickler der App Mhealth Pioneers über die Risiken vorab informiert. Der Hersteller habe die Funde bestätigt und Besserung gelobt. Erste technische Verbesserungen seien bereits vorgenommen worden. Wer seine Freigabe der Daten zurückziehen will, kann dies in der Datenspende-App tun. Dazu das Menü der App (oben links) wählen, dann den Punkt “Datenquellen“ öffnen. Hier lässt sich die Verbindung zu entsprechenden Geräten trennen. Laut der RKI-Webseite kann man seine bereits gespendeten Daten zudem jederzeit unter der Nennung des Pseudonyms löschen lassen.

RND/mkr

Mehr aus Digital regional

 
 
 
 
 
Anzeige
Anzeige
Empfohlener redaktioneller Inhalt

An dieser Stelle finden Sie einen externen Inhalt von Outbrain UK Ltd, der den Artikel ergänzt. Sie können ihn sich mit einem Klick anzeigen lassen.

 

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unseren Datenschutzhinweisen.

Letzte Meldungen