iphone-ticker.de — Alles zum iPhone. Seit 2007. 30 648 Artikel

Unzureichender Schutz der Zugangsdaten

CCC analysiert Corona-App des RKI: „Risiken auf Dauer nicht tragbar“

62 Kommentare 62

Die Anfang April vom Robert Koch-Institut veröffentlichte iPhone-App Corona Datenspende hat nicht viel mit den hitzig diskutierten Smartphone-Lösungen am Hut, die den Kampf gegen das Coronavirus durch sogenanntes Bluetooth-Tracing unterstützen sollen.

Datenspende Large

Statt Kontakte mit Mitmenschen zu überwachen, um diese im Fall eines Infektes warnen und zur Quarantäne anhalten zu können, konzentriert sich „Corona Datenspende“ auf die Gesundheitsdaten ihrer Nutzer und versucht den Wissenschaftlern des Robert Koch-Instituts genauere Einblicke in die Verbreitung des Coronavirus zu ermöglichen.

Die App will fieberhafte Infektionen auf Basis von Bewegungs-, Schlaf- und Pulsmuster automatisch erkennen. Ein recht unschuldiger Ansatz eigentlich, den der Chaos Computer Club (CCC) in den vergangenen Tagen genauer unter die Lupe genommen hat.

Hacker veröffentlichen Analyse

Jetzt steht CCC-Analyse der Corona-Datenspende App zum Download im PDF-Format bereit und bringt mehrere kritische Anmerkungen zu Papier. Abgesehen davon, dass das RKI den Quelltext der Anwendung geheimhält und damit der wohl wichtigsten vertrauensbildenden Maßnahme aus dem Weg gegangen ist, äußert der Chaos Computer Club auch Kritik an der Umsetzung.

Insgesamt wurden im Rahmen der Analyse acht technische und organisatorische Aspekte bemängelt. Darunter:

  • Cloudanbindung: Das RKI holt sich die Daten der meisten Nutzer wider Erwarten nicht vom Smartphone, sondern direkt von den Anbietern der Fitnesstracker – und hat über einen Zugangscode potentiell Zugriff sowohl auf Klarnamen der Spender als auch deren Fitnessdaten vor Beginn der Spende. Bei einer einfachen Deinstallation der App bleibt dieser Zugriff auch weiterhin bestehen.
  • Mangelhafte Pseudonymisierung: Entgegen der Darstellungen werden die hochsensiblen Gesundheitsdaten der meisten Nutzer nicht schon auf dem Smartphone pseudonymisiert, sondern vollständig und teils mitsamt Klarnamen der Datenspender abgerufen. Eine Pseudonymisierung findet erst auf Seiten des RKI statt und kann durch die Nutzer nicht kontrolliert oder verifiziert werden.
  • Unzureichender Schutz der Zugangsdaten: Bei Verknüpfung der App mit einem Fitnesstracker müssen dessen Zugangsdaten eingegeben werden. In der Mehrzahl der Fälle könnten diese durch Man-in-the-Middle-Angreifer mitgelesen werden. Zudem können Zugangsdaten beispielsweise zum Google-Konto des Nutzers bei Verlust oder Diebstahl des Smartphones durch Dritte ausgelesen werden.
  • Organisatorische Defizite: Das RKI weiß weder, wer die Daten spendet, noch ob der Spender überhaupt existiert. Dies öffnet Manipulation Tür und Tor. Auch die bei Einwilligung zugesagten Betroffenenrechte können nicht gewährt werden, da nicht sichergestellt ist, dass es sich tatsächlich um den Betroffenen handelt. Das RKI holt keine wirksame Einwilligung in die Datenverarbeitung ein.

Die Sicherheitsforscher merken jedoch an: „Unter iOS ist die Datenbereitstellung über Apple Health zu bevorzugen, da hierüber im Gegensatz zu anderen Datenquellen keinen Zugriff von Seiten des RKI über einen zentralen Zugangscode möglich ist.“

Das RKI hat vor dem Hintergrund der gebotenen Eile im Umgang mit der SARS-CoV-2-Pandemie in sehr kurzer Zeit eine „Corona-App“ herausgegeben. Der CCC konnte darin die Verletzung einiger „best practices“ feststellen. Zwar gelang zum jetzigen Zeitpunkt kein unmittelbarer direkter Zugriff auf die gesammelten Daten, aber die Risiken sind auf Dauer nicht tragbar. Der CCC empfiehlt eine rasche Umsetzung der empfohlenen Maßnahmen zur Behebung.

Für künftige Vorhaben empfiehlt der CCC darüber hinaus proaktives Handeln: Viele der identifizierten Risiken ließen sich durch Berücksichtigung der vom CCC veröffentlichten zehn Prüfsteine eliminieren. Die darin vom CCC geforderte Transparenz fördert zudem eine aktive und konstruktive Einbindung der Fachöffentlichkeit und hat damit das Potential, künftige App-gestützte Maßnahmen zur Eindämmung der SARS-CoV-2-Pandemie und anderer Anwendungen noch schneller zur Reife zu bringen. […]

 

Laden im App Store
‎Corona-Datenspende
‎Corona-Datenspende
Entwickler: Robert Koch-Institut
Preis: Kostenlos
Laden
Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
22. Apr 2020 um 16:11 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    62 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    62 Comments
    Oldest
    Newest Most Voted
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 30648 Artikel in den vergangenen 5135 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2021 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven