Bei den Vorschlägen zu Corona-Apps lässt sich leicht der Überblick verlieren. In Rekordzeit werden neue Technologien und Anwendungen entwickelt. Bei der Tracing-Technologie ist ein großer Konflikt entbrannt und die Verfechter dezentraler und zentraler Lösungsansätze streiten miteinander, eine Veröffentlichung der App ist noch nicht absehbar. Bereits in Betrieb ist hingegen die sogenannte Datenspende-App, die das Robert Koch-Institut (RKI) Anfang April vorgestellt hat und bei der Nutzer:innen Informationen aus ihren Fitnesstrackern und -Apps zur Verfügung stellen.
Der Chaos Computer Club hat nun eine Analyse der Datenspende-App veröffentlicht und bei der Anwendung einige Sicherheitsprobleme festgestellt. Wir haben mit dem IT-Sicherheitsexperten Martin Tschirsich gesprochen, der an der Analyse beteiligt war.
netzpolitik.org: Was ist Sinn und Zweck der Datenspende-App?
Martin Tschirsich: Ziel dieser App ist eine bessere Vorhersage von Infektionen und dabei auch eine bessere Steuerung der Eindämmungsmaßnahmen in der Corona-Pandemie. Über die App spenden derzeit über 400.000 Freiwillige die Fitnessdaten ihrer Fitnesstracker. Daraus sollen Maßnahmen auch zur regionalen Bekämpfung der Pandemie abgeleitet werden, denn die Daten sind auch immer mit der Postleitzahl des Datenspenders verknüpft.
Wir haben uns diese App angeschaut, da das RKI von sich aus nicht transparent genug war. Weder Funktionsweise der App im Hintergrund noch Sicherheitskonzept oder Code wurden offengelegt. Damit fordert das RKI von den Datenspendern sehr viel Vertrauen in die Sicherheit ein.
netzpolitik.org: Wer hat die App entwickelt?
Martin Tschirsich: Die App wurde im Auftrag des RKI durch einen Dienstleister entwickelt und wird auch durch ihn betrieben. Das Berliner Startup Thryve hat einen Algorithmus entwickelt, mit dem man Grippewellen basierend auf Fitnesstracker-Daten nachvollziehen kann. Damit lässt sich – so die Hoffnung – auch die Coronaverbreitung nachvollziehen und Maßnahmen ableiten.
netzpolitik.org: Welche Probleme habt ihr bei eurer Analyse entdeckt?
Martin Tschirsich: Grundsätzlich sind die Hürden für einen Angreifer zu niedrig und es werden mehr Daten gespeichert als notwendig. Die Daten der Fitnesstracker werden etwa in den meisten Fällen nicht wie erwartet vom Smartphone an das RKI geschickt. Das RKI holt sich die Daten vielmehr im Hintergrund von den Betreibern der Fitnesstracker. Die App dient dabei dem Zweck, dem Server des RKI ein sogenanntes Zugangstoken auszustellen, mit dem das RKI auf die Fitnessdaten direkt zugreifen kann. Die App schickt die Postleitzahl und ein anschließend abgefragtes Zugangstoken von beispielsweise Google Fit oder Fitbit an das RKI. Selbst wenn der Nutzer anschließend die App beendet oder deinstalliert, läuft die Spende im Hintergrund weiter.
Sowohl die Pseudonymisierung als auch der Datenfluss sind so leider sehr intransparent. Der Nutzer hat keine Kontrolle, da alles zwischen dem Fitnesstracker-Anbieter und dem RKI passiert und nicht auf seinem Gerät. Die Daten sollen eigentlich pseudonym erhoben werden, aber diese Pseudonymisierung findet erst statt, nachdem das RKI die Daten bereits vollständig empfangen hat.
Das Ziel einer Pseudonymisierung ist, dass bei einer missbräuchlichen Datenverwendung kein unmittelbarer Rückschluss auf die Spenderperson gezogen werden kann. Wenn ich die pseudonymisierten Daten aber mit einem Zugangstoken zusammen abspeichere und dieses Zugangstoken einen Zugriff auf den Spendernamen ermöglicht, dann ist die Pseudonymisierung hinfällig.
netzpolitik.org: Wie sollte die Datenspende stattdessen aussehen?
Martin Tschirsich: Apple Health speichert Fitnessdaten nur lokal auf dem Gerät des Nutzers ab. Die Daten können gar nicht serverseitig durch einen Dritten ausgelesen werden. Dafür haben die Entwickler der Datenspende-App den Sonderweg gewählt, dass sie die Daten vom Smartphone lokal auslesen. Diesen Weg fordern wir auch für alle anderen Fitnesstracker.
So kann es tatsächlich eine Kontrollmöglichkeit geben, dass die Daten unter den Augen des Nutzers verarbeitet werden. Die Daten können lokal pseudonymisiert werden. Mit den Informationen, die dann ohne Zugangstoken auf dem Server des RKI landen, könnte nicht auf die Identität des Spenders geschlossen werden. Und wenn ein Nutzer die App deinstalliert, ist die Datenspende auch sofort beendet.
netzpolitik.org: Welche Probleme gibt es noch?
Martin Tschirsich: Wir haben festgestellt, dass die verschlüsselte Verbindung zum RKI nicht sicher gegen Man-in-the-Middle-Angriffe ist. Ein Angreifer, der beispielsweise im gleichen WLAN ist wie der Nutzer, kann in vielen Fällen die Kommunikation der App nachvollziehen. Insbesondere, wenn ich eine Verbindung mit einem Fitnesstracker herstelle – dabei werden natürlich wichtige Daten ausgetauscht. Darüber kann einem Angreifer der Zugriff auf diese Fitnessdaten beim Anbieter gelingen.
Wir haben uns die veröffentlichte App auch deshalb so genau angeschaut, weil sie der einzige Bestandteil des Systems ist, der öffentlich verfügbar ist. Wie bei einem Eisberg lässt dieser sichtbare Teil dann auf den größeren, unsichtbaren Teil schließen, also den Server beim RKI. Die aufgedeckten Defizite bei der Speicherung von Gesundheitsdaten und der verschlüsselten Kommunikation mit dem RKI bestärken uns in unserer Forderung, dass hier Transparenz hergestellt werden muss.
netzpolitik.org: Wie haben der App-Hersteller und das RKI auf eure Analyse reagiert?
Martin Tschirsich: Wir sind seit vergangenem Freitag mit den Entwicklern und dem RKI in Kontakt. Die Kommunikation lief gut: Wir haben Rückmeldung bekommen, dass unsere Befunde soweit zutreffen, konnten erste Hilfestellung leisten und erste Probleme wurden auch schon vom technischen Dienstleister behoben. Diese Kommunikation und so ein Responsible-Disclosure-Prozess verlangen Vertrauen von beiden Seiten. Wir haben im Vorfeld dem Hersteller und dem RKI unseren technischen Bericht zur Verfügung gestellt.
netzpolitik.org: Zuerst berichtete die FAZ über eure Analyse. In dem Artikel wird auch über eine „problematische Rolle“ des Chaos Computer Club geredet. Wie steht ihr zu dieser Kritik?
Martin Tschirsich: Der FAZ-Autor sät Zweifel an unserer Unabhängigkeit und unterstellt, der Chaos Computer Club verfolge finanzielle Interessen. Die nachweislich unwahre Behauptung, der CCC biete seine Dienste gegen Bezahlung an, musste der Autor inzwischen korrigieren.
Wahr ist: Der CCC engagiert sich seit mehr als drei Jahrzehnten ehrenamtlich im Spannungsfeld zwischen Technik und Gesellschaft. Wir machen auf Missstände aufmerksam, um sie abzustellen. Davon profitiert die gesamte Gesellschaft – nicht zuletzt natürlich auch die betroffenen Unternehmen, wie in diesem Fall Thryve oder das RKI.
Wir haben uns viele Tage und Nächte ehrenamtliche Arbeit mit der Analyse gemacht. Es ist schon bitter, dann auf diese Weise öffentlich diffamiert zu werden.
netzpolitik.org: Zuletzt: Was kann man tun, wenn man die Datenspende-App nicht mehr nutzen will?
Martin Tschirsich: Jeder sollte für sich entscheiden, ob er die Datenspende weiterlaufen lassen möchte. Meiner Meinung nach ist es wichtig, dass man diese Entscheidung informiert treffen kann. Wenn man die Möglichkeit hat, kann man seine Daten über Apple Health spenden. Wer die App jedoch deinstalliert hat und nun eine Möglichkeit sucht, die Spende ganz zu beenden, kann das auch nach der Deinstallation tun. Das geht über die Website des Fitnesstracker-Anbieters oder die Google-Fit-App, indem dort die Zugriffsberechtigung der Corona-Datenspende wieder entzogen wird.
Knackiges und informatives Interview. Besten Dank.