Das Robert Koch-Institut bittet die Tr\u00e4ger von Wearables, ihm Fitnessdaten zu \u00fcbermitteln. Der Chaos Computer Club hat die zugeh\u00f6rige "Datenspende"-App untersucht – und dabei einige Probleme entdeckt. <\/p>\n
In diesen Tagen wird viel diskutiert \u00fcber Anti-Corona-Apps: In Deutschland geht es dabei vor allem um das europ\u00e4ische Projekt Pepp-PT, das eine Softwaregrundlage f\u00fcr sogenannte Contact- oder Proximity-Tracing-Apps entwickelt. Zuletzt jedoch sind dem Projekt mehrere namhafte Partner abhandengekommen, weil sie – wie zahlreiche Wissenschaftlerinnen und Wissenschaftler – einen mangelhaften Schutz der Privatsph\u00e4re f\u00fcrchten. Ausgang der Kontroverse: derzeit ungewiss.<\/p>\n
Doch w\u00e4hrend sich Pepp-PT nach wie vor in der Entwicklung befindet, ist eine andere App schon auf dem Markt: Das Robert Koch-Institut (RKI) war vor gut zwei Wochen mit einem Programm namens "Corona-Datenspende" vorgeprescht. Dabei handelt es sich um eine App f\u00fcr Fitnesstracker und Smartwatches, die nach offiziellen Angaben bereits 400.000 Nutzer hat.<\/p>\n
Dem RKI zufolge soll die App beim Eind\u00e4mmen der Covid-19-Epidemie helfen, indem Tr\u00e4ger der Wearables dem Institut Daten zur Aktivit\u00e4t und Herzfrequenz \u00fcbermitteln, ebenso ihre Postleitzahl. "Neuartige Algorithmen k\u00f6nnen in diesen Daten verschiedene Symptome erkennen, die unter anderem mit einer Coronavirus-Infektion in Verbindung gebracht werden", hei\u00dft es im Werbetext zur App. Die Ergebnisse w\u00fcrden geografisch aufbereitet und k\u00f6nnten den Forschern "zus\u00e4tzliche Informationen zur Verbreitung des Coronavirus" liefern. Die App sei "freiwillig und pseudonym" und ber\u00fccksichtige den Datenschutz.<\/p>\n
Aber ist das wirklich so? Am Montag hat der Chaos Computer Club (CCC), Deutschlands renommierteste Hackervereinigung, eine Analyse der "Corona-Datenspende" ver\u00f6ffentlicht. Darin weist der CCC auf einige teils grunds\u00e4tzliche Probleme der App hin, sein Fazit f\u00e4llt wenig schmeichelhaft aus. Die identifizierten Schwachstellen und daraus resultierenden Risiken seien "auf Dauer nicht tragbar", hei\u00dft es im Bericht von Martin Tschirsich, Patrick J\u00e4ger und Andr\u00e9 Zilch. An mehreren Stellen passe die Datenschutzerkl\u00e4rung nicht zum tats\u00e4chlichen Vorgehen.<\/p>\n
Kritisiert wird unter anderem, dass Fitnessdaten – au\u00dfer im Falle einer Nutzung von Apple Health – direkt vom Server eines Fitnesstracker-Anbieters oder von Google Fit an den RKI-Server \u00fcbertragen werden. Das Institut speichere im Zuge dieser Direktverbindung eine gro\u00dfe Anzahl von Zugangsdaten mit hohem Schutzbedarf, schreibt der CCC: "Diese Zugangsdaten erlauben den Zugriff auf nicht pseudonymisierte und historische Fitnessdaten und bei den Anbietern Fitbit, Garmin, Polar und bei Google Fit den Zugriff auf die vollst\u00e4ndigen Namen der Datenspender."<\/p>\n
Der Server der Forscher empfange auch ganz praktisch nicht pseudonymisierte Daten, hei\u00dft es weiter, "teils mitsamt vollst\u00e4ndiger Namen der Datenspender". Jene Daten w\u00fcrden erst nach Empfang der vollst\u00e4ndigen Daten auf dem Server des Instituts pseudonymisiert. Besser w\u00e4re es jedoch, wenn die Daten des Spenders nicht vom Fitnesstracker-Server, sondern vom Smartphone des Nutzers aus \u00fcbertragen w\u00fcrden, wo man sie auch bereits vor der \u00dcbertragung pseudonymisieren k\u00f6nnte.<\/p>\n
Ein weiteres Problem, das die Hacker identifizierten: Der direkte Zugriff des Instituts-Servers auf Fitnessdaten wird bislang auch dann nicht automatisch beendet, wenn die "Corona-Datenspende"-App deinstalliert wird.<\/p>\n
Schlecht gesch\u00fctzt ist dem CCC zufolge au\u00dferdem die Verkn\u00fcpfung der App mit Fitnesstrackern: Die Zugangsdaten eines Trackers k\u00f6nnen hierbei von Angreifern mittels sogenannter Man-in-the-Middle-Attacken ausgelesen werden, hei\u00dft es.<\/p>\n
Ein unmittelbarer, direkter Zugriff auf jene Nutzerdaten, die dem Robert Koch-Institut "gespendet" wurden, ist dem CCC indes "zum jetzigen Zeitpunkt" nicht gelungen. W\u00e4re so ein Angriff jedoch erfolgreich, w\u00fcrden der oder die Angreifer aber auch Gesundheitsdaten aus der Zeit vor der Datenspende sowie Klarnamen der App-Nutzer abgreifen k\u00f6nnen, warnt der CCC.<\/p>\n","protected":false},"excerpt":{"rendered":"
Das Robert Koch-Institut bittet die Tr\u00e4ger von Wearables, ihm Fitnessdaten zu \u00fcbermitteln. Der Chaos Computer Club hat die zugeh\u00f6rige "Datenspende"-App untersucht – und dabei einige Probleme entdeckt. In diesen Tagen<\/p>\n","protected":false},"author":1,"featured_media":20,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-19","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-nachrichten"],"_links":{"self":[{"href":"https:\/\/onlinetranslators.de\/news\/wp-json\/wp\/v2\/posts\/19","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/onlinetranslators.de\/news\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/onlinetranslators.de\/news\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/onlinetranslators.de\/news\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/onlinetranslators.de\/news\/wp-json\/wp\/v2\/comments?post=19"}],"version-history":[{"count":0,"href":"https:\/\/onlinetranslators.de\/news\/wp-json\/wp\/v2\/posts\/19\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/onlinetranslators.de\/news\/wp-json\/wp\/v2\/media\/20"}],"wp:attachment":[{"href":"https:\/\/onlinetranslators.de\/news\/wp-json\/wp\/v2\/media?parent=19"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/onlinetranslators.de\/news\/wp-json\/wp\/v2\/categories?post=19"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/onlinetranslators.de\/news\/wp-json\/wp\/v2\/tags?post=19"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}