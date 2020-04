Hannover

Sicher oder unsicher? Die Corona-Datenspende-App gehört wenige Tage nach Erscheinen zu den aktuell meistgeladenen kostenlosen Apps für Handys in Deutschland. Mit Hilfe der im Auftrag des Robert-Koch-Instituts ( RKI) entwickelten Handy-Anwendung soll „ein genaueres Bild über die Wirksamkeit der Maßnahmen zur Bekämpfung von Covid-19“ gewonnen werden. Das hannoversche Unternehmen „ mediaTest digital“ hat sich die App vorgenommen und sie umfassend auf Risiken für die Nutzer analysiert. Denn die Corona-Datenspende-App greift auf sehr persönliche Daten von Fitnessarmbändern und Smartwatches zu.

Test bestanden, aber ...

Die Firma mediaTest digital checkt Apps professionell auf Datenschutz und Sicherheitslücken, kombiniert dafür ein von ihr entwickeltes automatisches Programm auch mit manuellen Angriffen auf die Anwendungen in ihrem Labor. Wichtigste Erkenntnis laut Geschäftsführer und Mitgründer Sebastian Wolters (41): „Die Corona-Datenspende-App kann vorerst bedenkenlos genutzt werden.“ Die Verschlüsselung sei einwandfrei und „es werden keine sensiblen Daten unverschlüsselt und außerhalb von Deutschland übertragen“.

Falls doch jemand den „erheblichen Aufwand“ nicht scheut und es schafft, mitzulesen, was in dem Datenstrom ans RKI geht, „dann wird er nichts Spannendes finden, das ist ja die gute Botschaft“, sagt Wolters. Dies sei etwa das Fazit aus dem Man-in-the-Middle-Angriffs-Test, bei dem ein Angreifer versucht, sich zwischen Sender und Empfänger zu schalten und die Daten abzugreifen, ohne das es zunächst bemerkt wird (etwa Kontodaten und zugehörige Überweisungsfreigabe-Codes). Dafür sei aber „etwas mehr Know-How nötig“, ergab der Labortest.

Leider nicht anonym

Dennoch kritisiert Wolters einiges an der RKI-App: Beim ersten Start werde aus Nutzer-Identifikationsnummer (User-ID) und Postleitzahl ein Pseudonym für die Datenspende-App geschaffen. „Wie aus zahlreichen Fällen bekannt, können solche Pseudonyme recht einfach realen Personen zugeordnet werden.“ Hier sei der Datenschutz schwach – weshalb er sich eine Anonymisierung wünscht, bei der die echte Person nicht identifiziert werden kann.

Firmenchef Sebastian Wolters Quelle: Foto: Münkel media Test digital

Entwickler ist Datenverwerter

Besonders pikant aus Wolters Sicht ist, dass die vom RKI beauftragte App-Entwicklerfirma "mHealth Pioneers GmbH" ein Berliner Startup ist, welches mit seinem Produkt „Thryve“ ausdrücklich Medizin- und Gesundheitsdaten verwertet. „Hieraus wird deutlich, dass mit den generierten Daten durchaus auf anderen Wegen Geld verdient werden kann“, sagt der hannoversche Sicherheitsexperte. Es sei aus seiner Sicht „zumindest fragwürdig, einen Datenverwerter mit einer hochsensiblen Datenerfassungs-App dieser Art zu beauftragen“. Da es sich um eine Datenspende handele, sei im Falle des Verkaufs der Firma auch „unklar, was mit den erhobenen Daten passiert“.

Die Corona-Datenspende-App verwendet (derzeit) nicht Bewegungsdaten, sondern Infos zu Puls, Schlaf und Bewegung. Daraus können laut RKI „fieberhafte Infektionen erkannt werden“ und könne man „mögliche Coronavirus-Infektionen tagesaktuell abschätzen und vorhersagen“. Möglicherweise Infizierte sollen in einer Karte erfasst und dargestellt werden – mit Angabe einer Postleitzahl.

Wandlung in „böse App“ denkbar

Da die Entwicklerfirma den Programmcode nicht offengelegt hat (das wäre Open Source, offene Quelle), gelten die Aussagen zu Datenschutz und Sicherheit nur für die aktuelle Version: „Das könnte sich in künftigen Versionen ohne Wissen der Nutzer ändern“, warnt Wolters. Man müsste diese App also laufend neu testen. Er fordert daher, das „eine App, die mit solch sensiblen und vertrauenswürdigen Daten hantiert, Open Source entwickelt werden sollte“ – wie es etwa bei Firefox oder dem Messenger Signal und vielen anderen der Fall ist. Jedes Update könnte „das Verhalten der Applikation vollumfänglich ändern“, das sei „denkbar“.

Die hinter Thryve stehende junge Firma „mHealth Pioneers“ hat unter anderem von Unternehmer Carsten Maschmeyers Beteiligungsgesellschaft „Seed + Speed“ Geld zur Finanzierung ihres Geschäftsmodells erhalten.

Die künftige CoronApp

Auch die bereits in einer Bundeswehr-Gruppe im Testbetrieb laufende demnächst kommende deutsche Variante der „CoronApp“ will mediTest digital durch seine Prüfroutinen jagen. Wolters: „Das werden wir definitiv tun, da sind wir allein schon gesellschaftlich in der Pflicht – viel sensibler geht es ja nicht mit Daten …“ Von daher versuche man dem RKI schon bei der Entwicklung mit Know-How zur Seite zu stehen – und warte auf die Antwort auf einen Kontaktaufnahmeversuch. Diese CoronApp sammelt per Nahfunktechnik Bluetooth Daten, wenn andere CoronApp-Nutzer nahe genug sind. Die App soll später Alarm geben, wenn ein Teilnehmer sich mit Corona infiziert hat oder ein entsprechend hoher Verdacht besteht und man diesem App-Nutzer nahe gekommen war. - das soll anonym geschehen, es soll nur die Information geben, dass man diesem Menschen nahe war.

Die App-Sicherheits-Tester

Die Firma „ mediaTest digital“ hat ein Programm enwtickelt, das Apps nach allen Regeln der Kunst angreift. Überstehen die kleinen Programme den Test anständig, gibt es ein Zertifikat, wenn nicht, muss der Anbieter wohl nachbessern oder der mögliche Anwender sagt „nein“. Auftraggeber sind sowohl App-Hersteller und -Anbieter als auch Firmen, die Mitarbeiter mit mobilen Geräten ausstatten und verhindern wollen, dass auf Dienstgeräten unsichere Programme laufen, die vielleicht gar Wirtschaftsspionage betreiben.

Damit hat das 2011 gegründete und von der Wirtschaftsförderungsgesellschaft Hannoverimpuls geförderte Unternehmen (15 feste und fünf frei Mitarbeiter) schon einige große Konzerne überzeugt: Lufthansa, Bahn, dm und Salzgitter AG sind Kunden und setzen auf das Know-how aus Hannover.

Die App-Checker aus Hannover waren auch daran beteiligt, nach Enthüllung der Abhör-Machenschafften des US-Geheimdienstes NSA (und weiterer, darunter der deutsche BND) durch Informationen des Informanten Edward Snowden im Jahr 2013, das „Merkel-Phone“ für falsche Freunde möglichst unabhörbar zu machen und dafür zu sorgen, dass die Kanzlerin und ihre Regierung auf ihren Handys sichere Anwendungen haben – und nicht Apps, die hintenrum alles nach Übersee weitergeben.

Von Ralph Hübner