Fehler des RKI? : Corona-App verstößt angeblich gegen eigene Datenschutzerklärung
- -Aktualisiert am
Der Eingang des Robert Koch-Instituts ist mit einem Bundesadler geschmückt. Bild: dpa
Laut dem Chaos Computer Club könnte das Robert Koch-Institut entgegen eigener Angaben sehr wohl auf die Namen der Nutzer seiner Datenspende-App zugreifen. Ein Gutachten offenbart weitere angebliche Schwachstellen.
Die Datenspende-App des Robert Koch-Instituts (RKI) weist erhebliche Schwachstellen auf und verstößt gegen ihre eigene Datenschutzerklärung. Zu diesem Ergebnis kommt ein am Montag veröffentlichtes Gutachten des Hackervereins Chaos Computer Club (CCC), das der F.A.Z. vorab vorlag.
Die Datenspende-App, die von Fitnessarmbändern und Smartwatches gemessene Gesundheitsdaten an das RKI übertragen soll, wurde am 7. April 2020 veröffentlicht, was zunächst für Irritationen sorgte, da zu diesem Zeitpunkt rege über eine Tracing-App zur Kontaktnachverfolgung debattiert wurde, nicht jedoch über eine Gesundheitsdatenspende-App. Dennoch hatten innerhalb einer Woche bereits mehr als 300.000 Menschen diese App freiwillig heruntergeladen und installiert. Das RKI hofft, auf diesem Weg zusätzliche Informationen über die Ausbreitung der Covid-19-Infektionen sammeln zu können.
Das nach Angaben des CCC unabhängig erstellte Gutachten bescheinigt dieser App nun jedoch mehrere teils erhebliche Schwächen. So würden die Gesundheitsdaten bei Nutzern von Google Fit, Fitbit, Withings sowie Polar – nicht aber bei Nutzern von Apple Health – direkt vom Server des jeweiligen Fitnessarmbandherstellers an das RKI übertragen, statt zunächst an das Smartphone des Nutzers und sodann von dort an das RKI gesendet zu werden. Was wie eine rein technische Unterscheidung klingt, bedeutet nach Ansicht des CCC einen erheblichen Unterschied: Bei einer Übertragung via Smartphone könne die App auf dem Smartphone sicherstellen, dass wirklich nur diejenigen Daten an das RKI übertragen werden, die auch gespendet werden sollen, und dass sie zudem vor der Übertragung pseudonymisiert würden.
So hingegen erhalte das RKI Zugriff auf den Account des jeweiligen Nutzers auf dem Server des Fitnessarmband-Herstellers und könne von dort theoretisch sämtliche Nutzerdaten abrufen, also beispielsweise auch Gesundheitsdaten aus dem Zeitraum vor der Corona-Krise oder den vollständigen Namen des Nutzers. In der Datenschutzerklärung zur Datenspende-App heißt es: „Erfasste Daten werden von meinem Smartphone verschlüsselt zu den von uns ausschließlich in Deutschland betriebenen Servern übertragen, dort verarbeitet und gespeichert.“ Und weiter: „Die App hat zu keinem Zeitpunkt Zugriff auf unmittelbar identifizierende Informationen wie Namen oder Adresse.“ Das RKI pseudonymisiert die Daten zwar, sobald sie auf seinem Server angekommen sind. Dennoch sei dieser Übertragungsweg aus datenschutzrechtlicher Sicht ungünstig – zumal so auch die Gefahr geschaffen werde, dass etwaige Angreifer, denen es gelingt, die Server des RKI zu kompromittieren, auf die Accounts der Datenspender bei den Herstellern ihrer jeweiligen Fitnessarmbänder zugreifen könnten.
Ein weiteres Problem sieht der CCC in der Manipulierbarkeit der Daten: Da – jedenfalls ausweislich der Datenschutzerklärung – kein Abgleich der IP-Adressen der Nutzer zur Missbrauchskontrolle stattfindet, sei es vorstellbar, dass ein Hacker in großer Zahl gefälschte Gesundheitsdaten an das RKI überträgt. Anschließend widmet das Gutachten sich weiteren möglichen Angriffswegen, die jedoch jeweils sehr voraussetzungsreich sind, auch im Erfolgsfall nur geringe Handlungsoptionen eröffnen oder sich mangels eingehender Erprobung im spekulativen Bereich bewegen. Fast schon bizarr wirkt es etwa, wenn der CCC auf etlichen Seiten darstellt, wie es einem Angreifer, der unmittelbaren Zugriff auf das Handy eines Nutzers hat, unter einigem Aufwand gelingen könnte, einzelne Daten aus der Datenspende-App auszulesen.
