Chaos Computer Club findet mehrere Schwachstellen in der Corona Datenspende App
Mit der App "Corona Datenspende" möchte das Robert Koch-Institut anonymisierte Gesundheitsdaten über Smartwatches und Fitnessarmbänder sammeln. Der Chaos Computer Club hat die App untersucht und deckt in seiner Analyse mehrere, teils gravierende Schwachstellen auf.
Um die Auswirkungen des Coronavirus besser vorhersagen und im Anschluss besser eindämmen zu können, hat das Robert Koch-Institut (RKI) vor zwei Wochen die App "Corona Datenspende" veröffentlicht. Diese kann auf dem Smartphone installiert und mit einer Smartwatch oder Fitnessarmband gekoppelt werden. So werden Daten wie die Körpertemperatur, Atemfrequenz, der Puls oder die Qualität des Schlafs erfasst und an das RKI übermittelt.
Das RKI hat in einer Pressekonferenz garantiert, dass die gesammelten Daten pseudonymisiert übermittelt werden. Der Nutzer geht also davon aus, dass die Anonymisierung seiner Daten bereits in der App passiert, sodass kein Außenstehender anhand der Daten Rückschlüsse auf die eigene Person ziehen kann.
Analyse des Chaos Computer Club ernüchternd
Nachdem schon kurz nach Veröffentlichung der App die Gesellschaft für Informatik bemängelte, dass die Corona Datenspende nicht die grundlegenden Anforderungen für Datenschutz und IT-Sicherheit erfüllt, legt der Chaos Computer Club (CCC) jetzt nach. Der CCC hat die App im Rahmen einer Black-Box-Analyse untersucht und mehrere Sicherheitslücken entdeckt. In der gestern bereitgestellten Analyse zur RKI-App werden die Schwachstellen im Detail aufgeführt.
Konkret hat der CCC folgende Lücken herausgearbeitet:
Anbindung über die Cloud
Bisher ging man davon aus, dass die in der App gesammelten Daten auf dem Gerät des Nutzers anonymisiert und dann an das RKI gesendet werden. Das ist aber nicht der Fall. Stattdessen werden die Daten ohne jegliche Pseudonymisierung in die jeweilige Cloud der Hersteller der genutzten Fitness-Gadgets wie Garmin oder Google gesendet. Dort holt sich das RKI die Daten ab und anonymisiert diese erst auf den eigenen Servern.
Offenlegung der Klardaten
Bis zur Pseudonymisierung auf den Servern des RKI sind die Daten des Spenders für alle Zugriffsberechtigte offen einsehbar. Neben den erfassten Daten zur Gesundheit, beinhalten viele Datensätze auch den vollen Namen der Nutzer.
Zugriff auf die Nutzerdaten auch nach Deinstallation
Wer denkt, nach der Deinstallation der Corona Datenspende App wird der Zugang des RKI zu den Daten in der Cloud eingeschränkt, liegt falsch. Auch wenn die App nicht mehr genutzt wird, bleibt der Zugriff des RKI auf die Daten in den Clouds der Hersteller uneingeschränkt erhalten.
Zugangsdaten unzureichend geschützt
Wird die Corona Datenspende mit einem Fitnesstracker verknüpft, passiert dies über die Eingabe der jeweiligen Zugangsdaten. Dieser Vorgang ist laut der Analyse des CCC nur unzureichend geschützt. Eingegebene Daten könnten im schlimmsten Fall durch einen "Man-in-the-Middle-Angreifer" ausgelesen werden, indem zum Beispiel eine Schwachstelle der Software des Tracker-Herstellers ausgenutzt wird.
Schwachstellen bei der Organisation
Hier prangert der CCC die mangelhafte Digitalisierung des Gesundheitswesens an. Beim RKI könne nicht gewährleistet werden, ob die Datensätze legitim sind. Auch die Möglichkeit von Manipulationen schließt der CCC nicht aus.
Datenschutz auf Apple-Geräten jederzeit gewährleistet
Während sich Nutzer von Android-Smartphones und -Tablets durchaus Gedanken über die Sicherheit ihrer Daten machen müssen, gibt der CCC Entwarnung für iPhone- und iPad-Besitzer. Wer seine Smartwatch oder sein Fitnessarmband mit einem iOS- bzw. iPadOS-Gerät koppelt, schaltet Apple Health dazwischen.
Hier scheint der Fluss der Daten anders abzulaufen als bei den Clouds der Konkurrenz, denn das RKI erhält von Apple keinen Zugriff auf die unverschlüsselten Nutzerdaten. Der CCC empfiehlt deshalb: Wenn im Haushalt ein Apple-Gerät zur Verfügung steht, sollte man dieses für die Corona Datenspende nutzen.
Fazit
Bisher wurde zwar nicht festgestellt, dass die bestehenden Sicherheitslücken der Corona Datenspende ausgenutzt wurden, auf Dauer sei dieser Zustand allerdings nicht tragbar, so der CCC in seiner Abschlusserklärung. Das RKI habe „vor dem Hintergrund der gebotenen Eile im Umgang mit der SARS-CoV-2-Pandemie in sehr kurzer Zeit eine „Corona-App“ herausgegeben". Man empfiehlt, die vorgeschlagenen Maßnahmen zur Behebung rasch umzusetzen.
Zukünftige Apps, beispielsweise die Programme, die derzeit als sogenannte "Kontakterfassungs-Apps" in Planung sind, sollten dringend unter den vom CCC erarbeiteten Leitlinien entwickelt werden. Die "10 Prüfsteine für die Beurteilung von „Contact Tracing“-Apps" liegen den Verantwortlichen vor, genau wie die Analyse der Corona Datenspende, die der CCC im Vorfeld der Veröffentlichung auf seiner Webseite an das RKI übermittelte.
Hat das RKI bereits gehandelt? Nein. Zumindest gab es bis heute kein Update der App. Die letzte Aktualisierung ist vom 13. April. Dabei könnten einige der genannten Schwachstellen schon durch wenig technischen Aufwand behoben werden. Andere Mängel sind jedoch „nur mit einigem Entwicklungsaufwand" zu beseitigen.
Vom RKI gibt es bis jetzt noch kein offizielles Statement zur Analyse der Corona Datenspende. Mittlerweile wurde die App von mehr als 400.000 Nutzern installiert.
Passend zum Thema
Möchtest du keine News mehr verpassen? Folge uns auf Twitter, oder werde unser Fan auf Facebook.
Oder noch besser, lade hier unsere kostenlose App und sei damit immer auf dem neuesten Stand.
1 Kommentar
Apple
Ich liebe meine Apple-Geräte! Sie machen so Vieles einfach sicherer...!