App des Robert Koch-Instituts Chaos Computer Club findet Schwachstellen in "Corona-Datenspende"

Das Robert Koch-Institut bittet die Träger von Wearables, ihm Fitnessdaten zu übermitteln. Der Chaos Computer Club hat die zugehörige "Datenspende"-App untersucht - und dabei einige Probleme entdeckt.
"Corona-Datenspende" ist eine App für Fitnessarmbänder und Smartwatches

"Corona-Datenspende" ist eine App für Fitnessarmbänder und Smartwatches

Foto: Jens Krick/ imago images/Future Image

In diesen Tagen wird viel diskutiert über Anti-Corona-Apps: In Deutschland geht es dabei vor allem um das europäische Projekt Pepp-PT, das eine Softwaregrundlage für sogenannte Contact- oder Proximity-Tracing-Apps entwickelt. Zuletzt jedoch sind dem Projekt mehrere namhafte Partner abhandengekommen, weil sie - wie zahlreiche Wissenschaftlerinnen und Wissenschaftler - einen mangelhaften Schutz der Privatsphäre fürchten. Ausgang der Kontroverse: derzeit ungewiss.

Doch während sich Pepp-PT nach wie vor in der Entwicklung befindet, ist eine andere App schon auf dem Markt: Das Robert Koch-Institut (RKI) war vor gut zwei Wochen mit einem Programm namens "Corona-Datenspende" vorgeprescht . Dabei handelt es sich um eine App für Fitnesstracker und Smartwatches, die nach offiziellen Angaben bereits 400.000 Nutzer hat .

Dem RKI zufolge soll die App beim Eindämmen der Covid-19-Epidemie helfen, indem Träger der Wearables dem Institut Daten zur Aktivität und Herzfrequenz übermitteln, ebenso ihre Postleitzahl. "Neuartige Algorithmen können in diesen Daten verschiedene Symptome erkennen, die unter anderem mit einer Coronavirus-Infektion in Verbindung gebracht werden", heißt es im Werbetext zur App. Die Ergebnisse würden geografisch aufbereitet und könnten den Forschern "zusätzliche Informationen zur Verbreitung des Coronavirus" liefern. Die App sei "freiwillig und pseudonym" und berücksichtige den Datenschutz.

"Auf Dauer nicht tragbar"

Aber ist das wirklich so? Am Montag hat der Chaos Computer Club (CCC), Deutschlands renommierteste Hackervereinigung, eine Analyse der "Corona-Datenspende" veröffentlicht . Darin weist der CCC auf einige teils grundsätzliche Probleme der App hin, sein Fazit fällt wenig schmeichelhaft aus. Die identifizierten Schwachstellen und daraus resultierenden Risiken seien "auf Dauer nicht tragbar", heißt es im Bericht von Martin Tschirsich, Patrick Jäger und André Zilch. An mehreren Stellen passe die Datenschutzerklärung nicht zum tatsächlichen Vorgehen.

Kritisiert wird unter anderem, dass Fitnessdaten - außer im Falle einer Nutzung von Apple Health - direkt vom Server eines Fitnesstracker-Anbieters oder von Google Fit an den RKI-Server übertragen werden. Das Institut speichere im Zuge dieser Direktverbindung eine große Anzahl von Zugangsdaten mit hohem Schutzbedarf, schreibt der CCC: "Diese Zugangsdaten erlauben den Zugriff auf nicht pseudonymisierte und historische Fitnessdaten und bei den Anbietern Fitbit, Garmin, Polar und bei Google Fit den Zugriff auf die vollständigen Namen der Datenspender."

Der Server der Forscher empfange auch ganz praktisch nicht pseudonymisierte Daten, heißt es weiter, "teils mitsamt vollständiger Namen der Datenspender". Jene Daten würden erst nach Empfang der vollständigen Daten auf dem Server des Instituts pseudonymisiert. Besser wäre es jedoch, wenn die Daten des Spenders nicht vom Fitnesstracker-Server, sondern vom Smartphone des Nutzers aus übertragen würden, wo man sie auch bereits vor der Übertragung pseudonymisieren könnte.

Datenzugriff trotz Deinstallation

Ein weiteres Problem, das die Hacker identifizierten: Der direkte Zugriff des Instituts-Servers auf Fitnessdaten wird bislang auch dann nicht automatisch beendet, wenn die "Corona-Datenspende"-App deinstalliert wird.

Schlecht geschützt ist dem CCC zufolge außerdem die Verknüpfung der App mit Fitnesstrackern: Die Zugangsdaten eines Trackers können hierbei von Angreifern mittels sogenannter Man-in-the-Middle-Attacken ausgelesen werden, heißt es.

Ein unmittelbarer, direkter Zugriff auf jene Nutzerdaten, die dem Robert Koch-Institut "gespendet" wurden, ist dem CCC indes "zum jetzigen Zeitpunkt" nicht gelungen. Wäre so ein Angriff jedoch erfolgreich, würden der oder die Angreifer aber auch Gesundheitsdaten aus der Zeit vor der Datenspende sowie Klarnamen der App-Nutzer abgreifen können, warnt der CCC.

Der App-Hersteller will nachbessern

Den Machern der App empfiehlt die Hackerorganisation nun, die "Corona-Datenspende" rasch nachzubessern, vor allem, da viele Risiken bereits durch seine "10 Prüfsteine für die Beurteilung von Contact-Tracing-Apps"  zu identifizieren gewesen seien. Der CCC meint damit eine Übersicht von zehn Mindestanforderungen für Anti-Corona-Apps, die er veröffentlicht hat.

Das RKI und der Dienstleister, der für die App verantwortlich ist, seien vorab über die jetzt veröffentlichte Analyse informiert worden, schreibt der CCC: Der App-Hersteller habe die Funde bestätigt und gelobe Besserung. Die technischen Mängel lassen sich den Hackern zufolge "teilweise rasch, teilweise aber nur mit einigem Entwicklungsaufwand" beseitigen. Wie Nutzer, denen die jetzige Situation zu unsicher ist, ihre Datenspende abbrechen oder ihre bisher gespendeten Daten löschen lassen können, erklärt der CCC hier .

Die "Corona-Datenspende"-App wurde schon vor Erscheinen des CCC-Berichts kritisiert - unter anderem, weil der Code der App nicht öffentlich und damit nicht unabhängig überprüfbar ist.

mbö