Wir möchten auf unserer Internetseite Dienste von Drittanbietern nutzen, die uns helfen, unsere Werbeangebote zu verbessern (Marketing), die Nutzungsweise unserer Internetseite auszuwerten (Performance) und die Internetseite an Ihre Vorlieben anzupassen (Funktional). Für den Einsatz dieser Dienste benötigen wir Ihre Einwilligung, welche jederzeit widerrufen werden kann. Informationen zu den Diensten und eine Widerspruchsmöglichkeit finden Sie unter „Benutzerdefiniert“. Weitergehende Informationen finden Sie in unserer Datenschutzerklärung.

Use #itsa20

12. - 14. Oktober 2021 // Nürnberg

it-sa Newsroom

Corona-Warn-Apps: Wie steht es um Datenschutz und Sicherheit im internationalen Vergleich?

Management

Werbung zur Corona-Warn-App der Bundesregierung Deutschland
© Bundesregierung

Experten bescheinigen der Corona-Warn-App ein hohes Sicherheits- und Datenschutzniveau. Doch wie steht die App im Vergleich zu anderen Ländern da?

Wie schlägt sich die deutsche Corona-Warn-App im internationalen Vergleich? Die Analyse unterschiedlicher Ansätze unter Datenschutzaspekten liefert eine spannende Gegenüberstellung.

Die Corona-Warn-App soll die manuelle Kontaktrückverfolgung digitalisieren und damit wesentlich effizienter und schneller gestalten. Der offizielle Betreiber, das Robert-Koch Institut (RKI), meldet bereits mehr als 14 Millionen App-Downloads. Die Speicherung personenbezogener Daten soll vermieden werden, um Datenschutzprobleme zu vermeiden.

Kontaktnachverfolgung erfordert Mitarbeit

In der bundesdeutschen App werden keine Standortdaten erfasst, weil sie für das Funktionieren des Systems nicht notwendig sind. Die App kennt auch den einzelnen Nutzer nicht. Stattdessen generiert die App für jeden Anwender eine pseudonymisierte ID-Nummer. Via Bluetooth erkennt die App bei Kontaktnähe eine Annäherung und speichert die ID der anderen Nutzer. Dieser Datenaustausch wird regelmäßig wiederholt, um so die Kontaktdauer zu erfassen. Die Speicherung eines Kontakts erfolgt dann nach 15 Minuten.

Nach zwei Wochen werden die Daten wieder gelöscht. Damit Kontaktpersonen bei Risiko-Begegnungen aus diesem Zeitraum informiert werden können, ist jedoch ein zusätzlicher Schritt erforderlich: Noch müssen positiv getestete Personen den beim Labortest erhaltenen QR-Code abscannen oder eine TAN eingeben. Eine Pflicht dazu besteht allerdings nicht. Einmal täglich ruft die App beim Robert Koch-Institut die IDs von Personen ab, die positiv getestet wurden (und das der App mitgeteilt haben) und nimmt gegebenenfalls eine Warnung vor.

Noch nicht fertig

Noch ist jedoch unklar, wie präzise die App die Entfernung zu anderen Smartphones abschätzen kann, damit nur Personen innerhalb der kritischen Distanz erfasst werden. Da Bluetooth-Funkwellen nicht gleichmäßig in alle Richtungen abgestrahlt werden, unterliegt das Verfahren prinzipbedingt einer gewissen Ungenauigkeit.

Für die Software-Technologie zeichnet SAP verantwortlich, für die Netzwerk- und Mobilfunktechnologie die Deutsche Telekom. Das gesamte Projekt wird laut Bundesgesundheitsministerium über 60 Millionen Euro kosten. Die Entwickler arbeiten jetzt daran, die App auch in weiteren Sprachen zur Verfügung zu stellen, geplant sind türkisch, englisch, französisch, arabisch und russisch.

Deutschland setzt auf Modell der Freiwilligkeit

Freiwilligkeit ist das Grundprinzip der deutschen App. Umso bemerkenswerter sind da die Nutzungszahlen: Laut Bundesgesundheitsminister Jens Spahn sei die App in Deutschland häufiger heruntergeladen worden als die „Corona-Apps aller anderen EU-Staaten zusammen“. Die guten Downloadzahlen gehen vor allem auf Apple-Nutzer zurück, wie das ZDF berichtet – obwohl der Marktanteil des Apple-Betriebssystems iOS auf mobilen Geräten weit hinter dem von Google’s Android liegt.

Die Beteiligung in anderen Ländern, die auch auf Freiwilligkeit setzen, erwies sich oftmals als eher gering, so etwa in Singapur. Singapur hat deshalb einen Bluetooth-Dongle entwickelt. „Tracetogether Token“ heißt die neue Technik, die nach dem Willen der Regierung demnächst an jeden Einwohner verteilt werden soll und den Benutzer permanent mit sich führen sollen. Um Überwachungsängsten zu begegnen, funktioniert das kleine Gerät ohne Verbindung ins Internet oder Telefonnetz. Gesammelte Kontaktdaten können ausschließlich von den Gesundheitsbehörden ausgelesen werden.

Die deutsche App basiert auf dem offenen Protokoll „Decentralised Privacy-Preserving Proximity Tracing“ (DP-3T oder DP3T) das von europäischen Wissenschaftlern erstellt wurde. Es dient zur COVID-19-Nahbereichsverfolgung mithilfe des Bluetooth Low Energy-Funkstandards. Österreich und die Schweiz gehen inzwischen ähnliche Wege wie Deutschland, auch deren aktuelle Apps basieren auf DP-3T. Der Quellcode zur App wurde als Open-Source auf dem Portal Github veröffentlicht und inzwischen von zahlreichen Sicherheitsexperten gesichtet. Was sie gefunden haben, ist Thema eines weiteren Beitrags.

Andere Länder, anderer Datenschutz

Ob Russland, die USA, Norwegen oder Indien, fast alle Länder haben eigene Apps entwickelt oder eingekauft. Deren Konzepte unterscheiden sich jedoch erheblich. Die meisten Ansätze verfolgen eine zentrale Speicherung, wie etwa in Frankreich. Israel hat eine netzwerkbasierte Standortverfolgung eingesetzt, die mit hohen Datenschutzrisiken einhergeht. In Indien ist die Nutzung für bestimmte Personengruppen verpflichtend und in den USA werden GPS-Daten miterfasst, damit die Gesundheitsbehörden einen Überblick bekommen, in welchen Regionen sich Infektionen häufen. Die isländische App geht noch weiter, sie speichert für zwei Wochen die Bewegungsprofile der Nutzer. Dadurch will man nachvollziehen können, wo Kontakte zu Infizierten aufgetreten sein könnten. Südkorea verfolgt einen anderen Ansatz: Aufgrund staatlicher Daten alarmiert die bereits im Februar veröffentlichte App den Benutzer, wenn sich dieser einem Ort auf weniger als 100 Metern nähert, an dem sich ein Infizierter aufhält. Die App gibt sogar das Geschlecht, das ungefähre Alter und die Fallnummer des Infizierten an. In einigen Ländern muss zur Einreise eine App installiert werden.

Mitte März wurde bekannt, dass vielen Regierungen ein Corona-Tracker des israelischen Spyware-Herstellers NSO angeboten wurde. Rund zwölf Staaten sollen diesen angeblich zu Testzwecken bereits im Einsatz haben. Dieser Tracker soll große Mengen Standortdaten auswerten.

_____________

Neuheiten rund um die it-sa und News aus der IT-Sicherheitswelt finden Sie auch im it-sa Security Newsletter.

Hier geht es zur Newsletter-Anmeldung

top