nd-aktuell.de / 21.04.2020 / Politik

Erneuter Nachbesserungsbedarf

Chaos-Computer-Club veröffentlicht Mängelliste zur App des Robert Koch-Instituts

Daniel Lücking

Die Datenspende-App des Robert-Koch-Instituts (RKI) fällt bei den Analysen des Chaos-Computer-Clubs (CCC) durch. In einem 29-seitigen Papier »Blackbox-Sicherheitsbetrachtung der Corona-Datenspende«[1] äußert sich ein Team zu den Schwachpunkten der App. »Zwar gelang zum jetzigen Zeitpunkt kein unmittelbarer direkter Zugriff auf die gesammelten Daten, aber die Risiken sind auf Dauer nicht tragbar. Der CCC empfiehlt eine rasche Umsetzung der empfohlenen Maßnahmen zur Behebung«, teilt der Club mit.

RKI-Präsident Lothar Wieler hatte bei der Präsentation der App die Pseudonymisierung der Daten geschildert. Es entstand der Eindruck, dass die Daten nicht zum einzelnen Nutzer zurückverfolgbar seien. Die Analyse des CCC zeigt, dass die App vollständig auf die Daten des Smartphones zugreift und dabei auch teilweise die Klarnamen der Datenspender abruft. Es mag stimmen, dass das RKI die Daten nur pseudonym nutzt. Nachprüfbar ist das jedoch nicht. Selbst nach der Deinstallation der App habe das Robert Koch-Institut weiterhin Zugriff auf die Login-Daten der Fitnesstracker.

ndPodcast zu Corona-Apps

Auch an anderen Stellen wurden die Namen und Passworte von Nutzer*innen durch die App verwendet, die Rückschlüsse auf Einzelpersonen ermöglichen. Die Übermittlung der Daten erwies sich als anfällig für »Man-in-the-Middle«-Attacken. Dabei werden die Anmeldedaten abgefangen und durch eine dritte Person - den »Man in the Middle« - weiter genutzt. Auf diesem Weg lassen sich unbemerkt abgewandelte Datensätze einschleusen. »Das RKI weiß weder, wer die Daten spendet, noch ob der Spender überhaupt existiert. Dies öffnet Manipulation Tür und Tor«, stellte der CCC in Bezug auf die Datenschutzzusicherungen des RKI an die Nutzer*innen der App fest.

Laut RKI seien die Mängel unverzüglich abgestellt worden. Man habe sich seit dem 17. April in einem »konstruktiven Austausch über mögliche Angriffsszenarien« mit dem CCC verständigt und an die Beseitigung der Mängel gemacht. »Einige Hinweise und Empfehlungen des CCC sind unverzüglich von unserem technischen Dienstleister umgesetzt worden«, teilt die Pressesprecherin des RKI mit. »Die Sicherheit der von den Nutzern übermittelten Daten wurde zu keinem Zeitpunkt beeinträchtigt.« Der aktuelle Versionsstand in den Apple[2]- und Android[3]-Appstores wird bei Artikelveröffentlichung allerdings weiterhin mit 13. April angegeben.

Links:

  1. https://www.ccc.de/system/uploads/297/original/CCC_Analyse_Datenspende.pdf
  2. https://apps.apple.com/de/app/corona-datenspende/id1504705422
  3. https://play.google.com/store/apps/details?id=de.rki.coronadatenspende&hl=de