Amnesty International warnt Katars Corona-App machte Millionen Gesundheitsdaten zugänglich

Katars Corona-Warn-App hatte Sicherheitslücken. Die sind nun gestopft, aber laut Amnesty International lässt sich die App immer noch zur Überwachung nutzen. Alle Einwohner müssen sie installieren - oder Strafen zahlen.
Supermarktkunden in Doha

Supermarktkunden in Doha

Foto: NOUSHAD THEKKAYIL/EPA-EFE/Shutterstock

Name, Gesundheitszustand und teilweise auch Aufenthaltsort sowie weitere Daten von mehr als einer Million Katarer waren für Dritte über das Internet abrufbar, berichtet Amnesty International . Das habe eine Untersuchung der staatlichen Corona-Tracing-App namens Ehteraz ergeben.

Alles was man gebraucht habe, um an die Daten aller Nutzerinnen und Nutzer zu gelangen, seien deren staatliche Identifikationsnummern gewesen, heißt es - und diese werden nach einem festgelegten und damit berechenbaren Schema vergeben. Weil der zentrale Server, auf dem alle Nutzerdaten gespeichert sind, keine Authentifizierung erforderte und keine Abfragelimitierung vorsah, ließen sich alle Daten schlicht durch Ausprobieren aller theoretisch möglichen IDs abrufen.

Die brisantesten Daten waren dabei die zum Gesundheitszustand von Personen, also Angaben dazu, ob sie positiv auf das Coronavirus Sars-CoV-2 getestet wurden oder sich zumindest in Quarantäne befinden, ob sie nur als Verdachtsfall gelten oder als gesund. In den ersten beiden Fällen müssen auch noch Angaben zum Ort der Isolation beziehungsweise der Quarantäne gemacht werden.

Amnesty International hatte die Behörden des Emirats vergangenen Donnerstag auf das Sicherheitsproblem aufmerksam gemacht. Am Freitag wurde die Schwachstelle serverseitig geschlossen, am Sonntag folgte ein Update der App.

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Wer die App nicht hat, kann im Gefängnis landen

Schon seit Freitag allerdings ist die Installation der App für Katars Einwohner verpflichtend. Beschlossen wurde das bereits zu Beginn der vergangenen Woche . Wer von der Polizei oder an Kontrollpunkten ohne die App erwischt wird, muss mit einer Haftstrafe von bis zu drei Jahren oder einer Geldstrafe  in Höhe von bis zu 200.000 Katar-Riyal rechnen, das sind umgerechnet rund 50.000 Euro.

"Dieser Fall sollte Regierungen in aller Welt, die eilig Contact-Tracing-Apps verbreiten, als Warnung dienen", sagt Claudio Guarnieri, Leiter des Security Lab von Amnesty International. Die Apps seien zu oft schlecht durchdacht und es fehle an Maßnahmen zum Schutz der Privatsphäre. "Wenn Technik eine effektive Rolle im Kampf gegen das Coronavirus spielen soll", so Guarnieri, "müssen die Menschen darauf vertrauen können, dass die Apps ihre Privatsphäre und andere Menschenrechte schützen."

Die Ehteraz-App ist nach Einschätzung von Amnesty International auch weiterhin problematisch. Anders als etwa die für Deutschland geplante Corona-Warn-App basiert sie nicht nur auf Bluetooth, sondern auch auf GPS-Standortdaten. Laut Guarnieri ließe sich damit der Aufenthaltsort aller oder auch einzelner Nutzerinnen und Nutzer in Echtzeit ermitteln. Derzeit sei diese Funktion deaktiviert, sagt er, aber die App-Betreiber könnten sie jederzeit anschalten, ohne dass die Betroffenen es merken würden.

pbe