Eine der frühen Corona-Tracing-Apps weist schwere Datenschutzmängel auf

Apple und Google haben gemeinsam Schnittstellen für iOS und Android entwickelt, die Behörden für Corona-Tracing-Apps nutzen können. Länder oder Regionalregierungen sind jedoch nicht darauf angewiesen, die von den Unternehmen bereitgestellten APIs zu verwenden. Die im US-Bundesstaat North Dakota bereitgestellte App "Care19" vom privaten Anbieter ProudCrowd beispielsweise zählt zu den ersten diesbezüglichen Anwendungen die im App Store verfügbar ist. Sie setzt nicht auf die Apples Corona-API, sondern auf eine eigene Technologie.

Kürzlich wurden Probleme mit dem Schutz der Nutzerdaten bekannt, da die Anwendung Daten ungefragt an Drittanbieter weiterleitete. Das ist insofern problematisch, als Apple die App genau überprüft hatte – dabei aber keine Beanstandungen vornahm. Angesichts der besonders schützenswerten Nutzerdaten, immerhin geht es um Erfassung von Infektionsketten, dürfte dies eigentlich erst recht nicht passieren.


Nutzerdaten werden an Dritte weitergeleitet
Die Verbraucherschutz-Organisation Jumbo Privacy fand den Sicherheitsmakel der App: Care19 leitet Standortinformationen und andere persönliche Daten der Nutzer wie User- und Smartphone-IDs an Drittanbieter wie Foursquare weiter. Auch der zu Google gehörende Firebase-Service soll Nutzerdaten bekommen haben, ebenso wie Bugfender.

Reaktion von ProudCrows liegt vor
ProudCrowd verteidigt die Praxis der Datenweitergabe zunächst damit, dass die Benutzeroberfläche auf Foursquare hinweise. Der App-Entwickler räumt aber zugleich das Versäumnis ein, in der Datenschutzerklärung explizit auf die Foursquare-Nutzung einzugehen. Momentan werde daran gearbeitet, eine genauere Version der Erklärung bereitzustellen. Foursquare sei aber zu keiner Zeit gestattet gewesen, Nutzerdaten zu sammeln oder zu einem anderen Zweck als dem von Jumbo Privacy bestimmten zu verwenden.

ProudCrowd-Gründer Tim Brookins bezeichnet die Integration von Foursquare inzwischen als Fehler, der bald behoben werde. Es handle sich jedoch um etwas vergleichsweise Harmloses, da Foursquare die Nutzerdaten nicht sammle.

Apple prüft App
Apple prüft momentan die Untersuchungsergebnisse von Jumbo Privacy und arbeitet mit ProudCrowd zusammen, um die Tracing-App konform mit den Richtlinien des Stores zu machen. Für die Nutzung der Covid-19 Exposure Notifications lautet hingegen die Maßgabe, dass pro Staat nur eine App möglich ist, welche von offiziellen Stellen stammen muss. Unbekannt ist indes, ob Care19 durch eine solche App abgelöst wird – bzw. dennoch eine Umstellung auf Apples Schnittstelle erfolgt. Letztere ist seit einigen Tagen verfügbar und war Bestandteil des Updates auf iOS 13.5.

Kommentare

Marcel_75@work
Marcel_75@work26.05.20 09:46
Das lässt (leider) tief blicken, wie oberflächlich die Prüfung für eine App Store Zulassung bei Apple (immer noch) ist.

Und sehr wahrscheinlich war das auch noch nie besser / präziser …

Bleibt zu hoffen, dass sich diesbezüglich etwas ändert.
+6
Quatscher26.05.20 09:47
Seit Apple mit der IOS 13.5 für mich eine Hintertür eingebaut hat - so stellt es sich für mich dar mit dieser API - werde ich mein Handy nicht mehr updaten.
Wie im Bericht zu lesen ist, wird damit schon zu beginn Unfug betrieben.
-25
nane
nane26.05.20 09:50
Kann in Europa nicht passieren, hier ist alles detailliert geregelt. #ironie
Das Leben ist ein langer Traum an dessen Ende kein Wecker klingelt.
+2
Phil Philipp
Phil Philipp26.05.20 09:50
Warum wundert mich das nicht?
Jedesmal hoffe ich, dass die Leute irgendwie "Ehrenmenschen" sind und was gutes für die Menschheit entwickeln, und jedesmal....
+8
aMacUser
aMacUser26.05.20 09:51
Quatscher Informiere dich lieber, bevor so einen Unfug schreibst. Zum einen ist es keine Hintertür, sondern eine API, die von deinem iPhone aus genutzt werden kann. Zum anderen musst du erst eine App installieren, damit die API verwendet wird.
+10
rene204
rene20426.05.20 09:51
Quatscher
Wie im Bericht zu lesen ist, wird damit schon zu beginn Unfug betrieben.
Nur das dieser "Unfug" nicht auf die API von Apple basiert.(steht auch im Bericht).
Wenn es hier in eine App gibt, die diese Apple API nutzt, werde ich das installieren.

Nachdem immer mehr Infos über den "Multiorgan-Virus" bekannt werden, ist Schutz und die Unterbrechung/Erfassung von Infektionsketten noch wichtiger geworden.
Gelassenheit und Gesundheit.. ist das wichtigste...
+10
aMacUser
aMacUser26.05.20 09:52
Phil Philipp Wer sagt denn, dass die was schlechtes im Sinn hatten? Datenschutz ist zu 99,99% nur „hätte, wäre, könnte“.
0
Marcel Bresink26.05.20 09:53
Quatscher
Wie im Bericht zu lesen ist, wird damit schon zu beginn Unfug betrieben.

Im Bericht steht genau das Gegenteil, nämlich dass der Anbieter etwas Eigenes entwickeln musste, weil man mit der API von Apple keinen direkten Unfug treiben kann.
+9
sierkb26.05.20 09:55
Golem (25.05.2020): Corona: Der Staat muss uns vor der Tracing-App schützen
Politiker wie Axel Voss fordern "Anreize" für die Nutzung der Corona-App. Doch das schafft nicht das notwendige Vertrauen in die staatliche Technik.
Ein Gastbeitrag von Stefan Brink und Clarissa Henning – Stefan Brink ist seit 2017 Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg. Clarissa Henning ist Referentin beim Landesdatenschutzbeauftragten.
+1
truth
truth26.05.20 10:10
Quatscher
Seit Apple mit der IOS 13.5 für mich eine Hintertür eingebaut hat - so stellt es sich für mich dar mit dieser API - werde ich mein Handy nicht mehr updaten.
Wie im Bericht zu lesen ist, wird damit schon zu beginn Unfug betrieben.
Sorry, aber in diesem Fall trifft dein Nickname den Nagel auf den Kopf. Im Idealfall hast du lediglich den Text, und die Funktionsweise der Covid-19 Exposure Notifications API nicht durchdrungen.
+4
Gaugo26.05.20 10:51
Quatscher

Du bist echt lustig, , wie schon einige hier gesagt haben, ist das nur eine Schnittstelle, die standardmäßig deaktiviert ist. Du musst sie aktiv aktivieren UND eine offizielle App installieren die dann darauf zugreifen kann. Wenn du die Schnittstelle NICHT aktivierst und dir auch keine App runterlädst, dann sind deine Daten diesbezüglich sicher.

Eher solltest du die WhatsApp und Facebook App deinstallieren falls du diese nutzt, denn was Facebook an Daten sammelt ( inkl. Apps von der Firma Readdle - dien nutzen das Facebook SDK) ist unter aller Sau.
+5
Scrubelicious26.05.20 10:58
Ist das eine Datenschutzmängel oder mehr ein ethisch Problem was mit der Daten gemacht wird?
Don't believe everything on the internet!
0
Retrax26.05.20 13:44
Der CCC lehnt dies zwar ab.

Ich würde mir trotzdem wünschen, dass der Club über die von SAP & Telekom entwickelte Open Source App drüberschaut und dem ganzen dann ggf. seinen Unbedenklichkeitsstempel aufdrückt.
+1
sierkb26.05.20 14:20
Retrax
Der CCC lehnt dies zwar ab.

Ich würde mir trotzdem wünschen, dass der Club über die von SAP & Telekom entwickelte Open Source App drüberschaut und dem ganzen dann ggf. seinen Unbedenklichkeitsstempel aufdrückt.

CCC, Linus Neumann (06.04.2020): 10 Prüfsteine für die Beurteilung von „Contact Tracing“-Apps :
CCC, 10 Prüfsteine für die Beurteilung von „Contact Tracing“-Apps
[…]

„Contact Tracing“ als Risikotechnologie

[…]

Im Folgenden skizzieren wir gesellschaftliche und technische Minimalanforderungen für die Wahrung der Privatsphäre bei der Implementierung derartiger Technologien. Der CCC sieht sich in dieser Debatte in beratender und kontrollierender Rolle. Wir werden aus grundsätzlichen Erwägungen keine konkreten Apps, Konzepte oder Verfahren empfehlen. Wir raten jedoch von Apps ab, die diese Anforderungen nicht erfüllen.

[…]

Rolle und Selbstverständnis des CCC

Seit weit über 30 Jahren engagiert sich der CCC ehrenamtlich im Spannungsfeld zwischen Technologie und Gesellschaft. Unsere ethischen Prinzipien stehen für Privatsphäre, Dezentralisierung und Datensparsamkeit – und gegen jede Form von Überwachung und Zwang.

Ohne Anspruch auf Vollständigkeit benennen wir in diesem Beitrag Mindestanforderungen, denen eine "Corona App" entsprechen muss, um gesellschaftlich und technisch überhaupt tolerabel zu sein. Der CCC wird aus grundsätzlichen Erwägungen unter keinen Umständen jemals eine konkrete Implementierung mit Zustimmung, Empfehlung oder gar einem Zertifikat oder Prüfsiegel versehen.

Es obliegt den Entwicklern von "Contact Tracing"-Systemen, die Erfüllung dieser Anforderungen zu belegen, oder von unabhängigen Dritten belegen zu lassen.



Golem (07.05.2020): Bundestag: SPD schließt Gesetz für Corona-App nicht aus
Bislang plant die Koalition keine gesetzliche Regelung für die Corona-Tracing-App. Das fordern jedoch die Grünen und Netzaktivisten.

heise (07.05.2020): Opposition und Bürgerrechtler fordern Gesetz für Corona-App
Vor allem Freiwilligkeit, Zweckbindung und Offenlegung der geplanten Tracing-App müssten gesetzlich festgeschrieben werden, fordern nicht nur Bürgerrechtler.

heise Telepolis (07.05.2020): Offener Brief: Bundestag muss über Corona-App entscheiden
heise Telepolis, 07.05.2020
[…]

Telepolis veröffentlicht den Offenen Brief der Digitale Gesellschaft, weil die Gefahr besteht, dass die Corona-App zum Contact Tracing überstürzt eingeführt wird, um die Lockerung der Ausgangs- und Kontaktbeschränkungen zu ermöglichen. Der Druck ist hoch, eine technische Lösung zu finden, die verspricht, das Infektionsgeschehen kontrollierbar zu machen.

Die Abkehr von dem Vorhaben, die Daten zentral zu speichern, war ein wichtiger Schritt. Doch die dezentrale Speicherung der Daten auf den Smartphones der Benutzer löst keineswegs alle Probleme, worauf die Digitale Gesellschaft aufmerksam macht. Ganz entscheidend ist die geforderte gesetzliche Zweckbindung ausschließlich auf die Bekämpfung von Covid-19 und die vollständige Löschung von Daten und App sowie die Schließung der Bluetooth-Schnittstellen nach Beendigung der Maßnahmen während der erklärten "epidemischen Lage von nationaler Tragweite". Extrem wichtig ist auch, dass keine weiteren Funktionen mit der App verbunden werden und dass die Freiwilligkeit strikt gewahrt wird. - Florian Rötzer

Digitale Gesellschaft (07.05.2020): Pressemitteilung: Bundestag muss über Corona-App entscheiden

Digitale Gesellschaft (07.05.2020): Offener Brief: Bundestag muss über Corona-App entscheiden

Digitale Gesellschaft: Über uns
Digitale Gesellschaft: Mitglieder
+1
sierkb26.05.20 14:50
heise (26.05.2020): Informatiker: Die Corona-App "ist wie ein trojanisches Pferd"
Der Chef der Gesellschaft für Informatik sorgt sich, dass die Bürger zu viel von der geplanten Corona-Warn-App erwarten und sich ans Tracking gewöhnen.

Gesellschaft für Informatik (GI), 25.05.2020: #GIWebTalk: Was bringt die Corona-App?
+2

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.