Corona-Apps: Datenschutzkonforme Lösungen angemahnt

/Kzenon, stock.adobe.com

Berlin – Digitale Lösungen können nach Meinung vieler Experten zur Bekämpfung der Corona-Pandemie beitragen und werden grundsätzlich von der Bevölkerung auch akzeptiert. So hat die erst seit Anfang April verfügbare App „Corona Datenspende“ des Robert-Koch-Instituts (RKI) inzwischen bereits mehr als 400.000 Nutzer. Gleichzeitig gibt es jedoch eine anhaltende öffentliche Diskussion um die Sicherheit und den Datenschutz solcher Anwendungen.

Mit der Datenspende-App können Träger von Wearables dem RKI Daten zur Aktivität und zur Herzfrequenz sowie ihre Postleitzahl übermitteln. Anhand der Daten können die Forscher verschiedene Symptome erkennen, die sich mit einer Coronavirus-Infektion in Verbindung bringen lassen, und – so die Hoffnung − schneller Informationen über die Ausbreitung des Virus erhalten.

Chaos Computer Club sieht erhebliche Mängel bei der Datenspende-App

Schon beim Start der App haben Datenschützer darauf hingewiesen, dass der Code der App nicht als Open Source veröffentlicht und damit nicht unabhängig überprüfbar ist. Am Montag hat nun der Chaos Computer Club (CCC) die Ergebnisse seiner App-Analyse veröffentlicht, und das Urteil der Sicherheitsforscher fällt nicht besonders günstig aus.

Der CCC bemängelt insbesondere, dass sich das RKI die freigegebenen Daten der meisten Nutzer nicht direkt vom Smartphone holt, sondern von den Anbietern der Fitness-Tracker und dabei über einen Zugangscode potenziell auch auf die Klarnamen der Spender als auch auf historische Fitnessdaten zugreifen kann.

Schlecht gelöst ist ihm zufolge auch die Möglichkeit der Deinstallation der App: „Bei einer einfachen Deinstallation der App bleibt der Zugriff auch weiterhin bestehen“, so der CCC. Zudem würden die sensiblen Daten der meisten Nutzer nicht bereits auf dem Smartphone pseudonymisiert, sondern vollständig und teilweise mit Klarnamen der Datenspender abgerufen und erst beim RKI pseudonymisiert.

Zusätzlich sieht der CCC auch ein potenzielles Risiko bei der Verknüpfung der App mit Fitness-Trackern, weil die Zugangsdaten des Wearables hierbei von Angreifern ausgelesen werden könnten.

Neben den technischen gibt es laut CCC auch organisatorische Mängel: „Das RKI weiß weder, wer die Daten spendet, noch ob der Spender überhaupt existiert. Dies öffnet Manipulation Tür und Tor“, heißt es. Auch hole das RKI keine wirksame Einwilligung in die Datenverarbeitung ein.

Der CCC hat seine Analyse vorab an das RKI und seinen Dienstleister übermittelt und steht mit diesen im Austausch. Die technischen Mängel lassen sich ihm zufolge teilweise rasch, teilweise nur mit einigem Entwicklungsaufwand beseitigen. Die organisatorischen Mängel seien jedoch nur mit großem Aufwand zu beseitigen, so die Einschätzung.

Krise beim PEPP-PT-Projekt

Kontrovers diskutiert wird darüber hinaus ebenso die für Mai geplante „Contact Tracing“-App zur Kontaktnachverfolgung möglicher Infizierter, die die Bundesregierung zur Eindämmung des Coronavirus nutzen will. Die Warn-App soll auf Basis der europäischen PEPP-PT-Initiative (Pan-European Privacy-Preserving Proximity Tracing) entwickelt werden, die zuletzt jedoch stark in die Kritik von Datenschützern geraten ist.

Bei der Corona-Warn-App geht es unter anderem um die Frage, ob ein zentrales oder dezentrales Architekturkonzept verfolgt werden soll. Während bei einem zentralen Ansatz die über Bluetooth ausgetauschten Identifikationsnummern (IDs) der App-Nutzer auf dem Server einer Behörde oder eines Datentreuhänders zentral gespeichert werden sollen, würden bei einem dezentralen Ansatz die IDs von Kontaktpersonen nur zwischen den jeweiligen Smartphones ausgetauscht und verwaltet werden.

Verfechter eines dezentralen Konzepts, darunter etwa das Helmholtz-Institut für Informationssicherheit sowie zwei Schweizer Hochschulen, hatten sich am letzten Wochenende aus der Initiative zurückgezogen und Kritik an der mangelnden Transparenz der PEPP-PT geäußert.

Entscheidung über Warn-App steht noch aus

Endgültig entschieden ist offenbar bezüglich der Corona-Warn-App noch nichts. So zieht die Bundesregierung für die geplante App drei unterschiedliche technische Konzepte in Betracht, wie ihrer Antwort auf eine schriftliche Anfrage der Bundestagsabgeordneten Anke Domscheit-Berg (Linke) zu entnehmen ist.

Danach prüft die Regierung nicht nur das PEPP-PT-Konzept, sondern auch den alterna­tiven dezentralen Ansatz der D3PT-Gruppierung (Decentralized Privacy Preserving Proximity Tracing) sowie eine in Österreich eingesetzte Lösung der Accenture GmbH.

Domscheit-Berg, die netzpolitische Sprecherin der Linksfraktion im Bundestag, begrüßte, „dass die Bundesregierung entgegen bisheriger öffentlicher Äußerungen nicht nur die zunehmend umstrittene PEPP-PT-Variante berücksichtigt, die auf zentralen Datenab­gleich setzt, sondern neben einer in Österreich eingesetzten proprietären App auch die dezentrale und offen gestaltete Variante D3PT“.

Transparenz als oberstes Gebot

„Eine Corona-App muss möglichst barrierefrei und als Open-Source-Entwicklung zur Verfügung gestellt werden, um sie fortwährend und transparent auf die Wahrung von Datenschutz und IT-Sicherheit überprüfen zu können“, fordert hingegen der grüne Netzpolitiker Konstantin von Notz.

Absolute Grundbedingungen seien „Freiwilligkeit der Nutzung, Verzicht auf Lokalisie­rungs-/Positionsdaten, Anonymisierung der Daten und Nutzung dezentraler Datenbanken“, heißt es im Positionspapier „Digitalisierung und Corona: Mit digitalen Lösungen die Krise besser bewältigen“, das die Arbeitsgruppe Digitalisierung der grünen Bundestagsfraktion heute vorgelegt hat.

Durch eine dezentrale Speicherung auf den Handys der Nutzerinnen und Nutzer und die Bereitstellung des Source Codes würde zudem Vertrauen zusätzlich gestärkt. In ihrem Positionspapier stellen die Grünen digitale Lösungsansätze für eine datenschutzkonforme Pandemiebekämpfung vor. Darin fordern sie eine enge und frühzeitige Einbeziehung und Überprüfung der Technik sowohl durch den Bundesdaten­schutzbeauftragten als auch das Bundesamt für Sicherheit in der Informationstechnik.

Für die unmittelbare Bekämpfung von COVID-19 regt die Arbeitsgruppe unter anderem an, eine nationale und europäisch vernetzte „Corona Technologie Task Force“ einzusetzen, die sich auf die Entwicklung und das Bereitstellen von kurz-und mittelfristigen technolo­gischen und digitalen Lösungen fokussiert.

Bestehende Initiativen und Informationen zu Corona sollten auf einer öffentlichen Plattform zentral gebündelt und öffentlich zugänglich gemacht werden. Diese Plattform sollte als zentrale Informationsstelle für Bürgerinnen und Bürger rund um Fragen zu Corona genutzt werden. © KBr/aerzteblatt.de