Amnesty International: Große Missstände bei internationalen Corona-Tracing-Apps

Experten für IT-Sicherheit von Amnesty International haben Corona-Tracing-Apps in elf Ländern im Nahen Osten, in Nordafrika und Europa analysiert. Das Ergebnis gibt Grund zur Sorge: Einige Apps gefährden Privatsphäre und Sicherheit der Nutzer:innen. Die Apps „BeAware Bahrain“ aus Bahrain, „Shlonik“ aus Kuwait und „Smittestopp“ aus Norwegen seien potentielle Massenüberwachungsinstrumente, heißt es in der Pressemitteilung von Amnesty. Das dezentrale deutsche Modell, für das seit Dienstag eine App verfügbar ist, könne laut Amnesty die Privatsphäre deutlich besser schützen.

Norwegen hat seine App mittlerweile zurückgezogen sowie angekündigt, alle bislang gesammelten Daten zu löschen. Amnesty fordert auch die Regierungen von Bahrain und Kuwait dazu auf, ihre übergriffigen Apps zu stoppen. „Sie übermitteln die Standorte der Nutzer in Echtzeit an eine zentrale staatliche Datenbank – ein Vorgehen, das im Rahmen von Maßnahmen des öffentlichen Gesundheitswesens kaum notwendig oder gar angemessen sein dürfte“, sagt Claudio Guarnieri, Leiter des Security Labs von Amnesty.

Nutzer:innen in Katar, Bahrain und Kuwait müssen sich mit einer nationalen ID-Nummer registrieren, in Norwegen ist die Registrierung an eine gültige Telefonnummer gebunden. Die Behörden dieser Länder können durch einen zentralen Ansatz diese vertraulichen persönlichen Daten leicht einer Person zuordnen.

In der App von Katar hatte das Security Lab eine große Sicherheitslücke gefunden. „EHTERAZ“ erfasst neben den GPS-Koordinaten die Bluetooth-Kontakte zwischen den Geräten der Nutzer und lädt diese hoch. Angreifer hätten auf die vertraulichen persönlichen Informationen von mehr als einer Million Menschen Zugriff erlangen können. Die Sicherheitslücke wurde behoben, nachdem Amnesty die Behörden Ende Mai über die Entdeckung in Kenntnis gesetzt hatte.

Corona-Apps aus Frankreich, Island und den Vereinigten Arabischen Emiraten verwenden ein zentralisiertes Modell, wobei Informationen über Kontakte zwischen den Geräten nur hochgeladen werden, wenn Nutzer freiwillig oder auf Anfrage der Gesundheitsbehörden melden, dass sie unter Symptomen leiden. Das zentralisierte Modell der französischen App zur Kontaktverfolgung werfe allerdings die Frage auf, ob es möglich wäre, die Anonymisierung der Nutzerdaten im Nachhinein aufzuheben. Amnesty kritisiert die mangelnde Transparenz über die Datenspeicherung.

Daten auf Minimum begrenzen

Amnesty ist nicht gegen die Nutzung von Anti-Corona-Apps. Die Organisation betont aber, dass jegliche Datenerhebung auf den Zweck beschränkt sein muss, Covid-19 einzudämmen. Daten sollten nicht für andere Zwecke wie Strafverfolgung, nationale Sicherheit, Einwanderungskontrolle oder kommerzielle Zwecke verwendet werden. Außerdem müsse die Installation und Nutzung der Apps freiwillig sein.

Forderung nach Begleitgesetz in Deutschland

Markus N. Beeko, Generalsekretär von Amnesty International in Deutschland, lobt die Umsetzung in Deutschland: „Es ist gut, dass nach einer offenen Diskussion die deutsche App eine dezentrale Datenspeicherung, Freiwilligkeit und Transparenz vorsieht.“ Das sei Grundlage für das notwendige Vertrauen in die Nutzung der Technologie, so Beeko weiter.

Laut Amnesty könnte eine entsprechende noch zu verabschiedende Gesetzesgrundlage verhindern, dass die Funktionen der App in Zukunft schleichend ausgeweitet werden oder die Freiwilligkeit – auch durch private Akteure wie etwa Arbeitgeber – eingeschränkt werde. Hier könne Deutschland mit gutem Vorbild vorangehen. Das fordern auch andere, etwa der verbraucherzentrale Bundesverband oder Linke, Grüne und FDP im Bundestag. Bisher lehnen Regierungsvertreter:innen eine spezielle Gesetzgebung jedoch mehrheitlich ab, alles Erforderliche sei etwa durch die Datenschutzgrundverordnung abgedeckt.