Corona-Datenspende App des RKI – CCC erkennt deutliche Mängel und Lücken

Die Corona-Datenspende App des Robert-Koch-Instituts (RKI) soll anonymisierte Daten sammeln, um Coronavirus-Hotspots auszumachen. Doch der Chaos Computer Club (CCC) erkennt deutliche Mängel. Der Datenschutz ist nicht im ausreichenden Maß bedacht worden und das Auslesen von persönlichen Daten ist nicht nur durch den Anbieter der App, sondern auch durch Dritte möglich. Weiterhin sind die App und die Prozedur zur Datenerhebung dahinter nicht mit der europäischen Datenschutzgrundverordnung (DSGVO) konform. Ein hartes Urteil also; aber wichtig für jene, die ihre Fitness-Tracker mit der App und damit mit dem RKI verknüpfen wollen.

Bei der Corona-Datenspende App des RKI erkennt der Chaos Computer Club deutliche Mängel und Sicherheitslücken. Technisch und organisatorisch muss nachgebessert werden.

Bei der Corona-Datenspende App des RKI erkennt der Chaos Computer Club deutliche Mängel und Sicherheitslücken. Technisch und organisatorisch muss nachgebessert werden.

Chaos Computer Club kritisiert die Corona-Datenspende App des RKI

Mit der App des RKI sollen Infektionsketten zurückverfolgt werden können, um die durch den Coronavirus (SARS-CoV-2) ausgelöste Pandemie einzudämmen. Die Software für iOS- und Android-Geräte wurde am 7. April 2020 veröffentlicht und ist auch im Apple App Store für das iPhone und iPad zu finden. Der CCC hat die App nun unter die Lupe genommen und mehrere Punkte gefunden, die kritikwürdig sind bzw. auf grobe Mängel hinweisen. Der Datenschutz ist nicht umfassend gegeben und auch Angriffe von außen sind möglich, könnte man die Meldung auf der Webseite des Chaos Computer Clubs zusammenfassen.

DIY-Tipp: Handdesinfektionsmittel selber mischen

Die Kritikpunkte des CCC gegenüber der App des Robert-Koch-Instituts

Insgesamt acht Aspekte bekommen eine negative Bewertung – nicht nur in technischer, sondern auch in organisatorischer Hinsicht. Der CCC weist dabei auch noch einmal auf die am 6. April 2020 veröffentlichten „10 Prüfsteine für die Beurteilung von ‚Contact Tracing‘-Apps“ hin, die ihr hier einsehen könnt. Im weiter oben verlinkten Beitrag finden sich zusammengefasst und aufgelistet die folgenden Mängelpunkte:

  • Cloud-Anbindung: Die Daten der Nutzer/innen werden nicht dem Smartphone entnommen (wie vorher angenommen), sondern direkt von den Fitnesstracker-Anbietern. Über den entsprechenden Zugangscode gibt es die Möglichkeit, die Klarnamen sowie andere personenbezogene Daten auszulesen.
  • Mangelhafte Pseudonymisierung: Die Gesundheitsdaten und weitere Angaben der Nutzer/innen werden nicht lokal auf dem Smartphone pseudo- bzw. anonymisiert, sondern erst nach ihrem Abruf und der Übertragung zum RKI. Ob, wann und wie das passiert, lässt sich von Nutzer/innen-Seite nicht nachprüfen.
  • Unzureichender Schutz der Zugangsdaten: Für den Zugriff auf den Fitnesstracker bzw. die von ihm erhobenen Daten benötigt die RKI-App die Zugangsdaten zum jeweiligen User-Account. „In der Mehrzahl der Fälle könnten diese durch Man-in-the-Middle-Angreifer mitgelesen werden“, heißt es dazu vom CCC. Dritte können zudem bei Verlust des Smartphones Daten auslesen, etwa vom Google-Konto.
  • Organisatorische Defizite: Gegen Manipulation wird nichts getan, da das RKI laut CCC nicht weiß, wer die Daten spendet oder ob es die entsprechende Person wirklich gibt. Außerdem wird keine wirksame Einwilligung in die Verarbeitung der Daten eingeholt (nicht DSGVO-konform) – und Betroffenenrechte bei einer Manipulation sind nicht gewährleistet.

Ein FAQ zu den Mängeln und deren Behebung 

Ich empfehle euch über meine Zusammenfassung hinaus die Lektüre des oben verlinkten Beitrags auf der Webseite des Chaos Computer Clubs. Da gibt es am Ende auch noch häufig gestellte Fragen und die Antworten darauf, also ein FAQ. Darin wird geklärt, dass der CCC keinen Zugriff auf irgendwelche Nutzer/innen-Daten hatte, dass das RKI bereits reagiert hat, wie schnell sich die Mängel beheben lassen, was Anwender/innen der App tun können und so weiter. Vor allem, wenn ihr die App bereits installiert und genutzt habt, solltet ihr mal reinschauen. Denn durch ein bloßes Deinstallieren der Corona-Datenspende App wird die Verbindung des Fitnesstracker-Accounts mit dem RKI nicht per se aufgehoben! Das ist wichtig zu wissen…


Aktuelle Aktion bei MacTrade: Mac kaufen und 100 EUR Sofortrabatt und einen gratis USB-C-Hub erhalten. Mehr Infos dazu hier bei MacTrade€).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Alle News 1x pro Woche

Du magst die Artikel auf Sir Apfelot?
Dann trage dich in meinen wöchentlichen Newsletter ein.