Der Wettlauf zur passendsten und effektivsten Corona-App fand europaweit statt. So brachte Frankreich seine Warn-App beispielsweise weit vor Deutschland auf den Weg. Doch wie verhalten sich die Apps der verschiedenen europäischen Staaten eigentlich in puncto Datensicherheit? Darauf haben nun Experten einen genauen Blick geworfen. Dabei waren ihnen in aller erster Linie die Dienste von Google Play ein Dorn im Auge.
Herzensangelegenheit für den Gesundheitsminister
Das Warten auf die deutsche Version einer Corona-Warn-App war ein vergleichsweise langes. Dabei gehört eine entsprechende Anwendung für Pandemie-Experten zu einem wichtigen Eckpfeiler bei der Bekämpfung der Ausbreitung von Covid-19. Umso euphorischer war dann die Reaktion von Deutschlands Gesundheitsminister Jens Spahn (CDU) als die Corona Warn App das Licht der Welt erblickte. Für ihn ist sie nicht weniger als „Weltklasse“. Nun erhält der Politiker seitens irischer Sicherheitsforscher Recht. Allerdings haben die Datenexperten auch ein Haar in der Suppe gefunden. Zwar ist die App an sich sehr datensicher und effektiv. Aber der Datenverkehr, welcher seitens Android stattfindet ist bedenklich. So wurden empfindliche Daten wie Telefonnummern und Gerätenummern weitergeleitet. Was Datenschützer aufhorchen lässt, bezeichnet Internet-Konzern Google lediglich als „branchenüblich“.
Beeindruckendes Technik-Gerüst
Ohne Frameworks funktioniert keine App
Damit eine App funktionieren kann, muss sie auf entsprechende Frameworks zugreifen. Diese sind nicht nur für wichtige Benachrichtigungen, sondern auch elementare Funktionen der App von Nöten. Eine Besonderheit der Corona-Warn-App: Damit plattformübergreifend Benachrichtigungen gegeben werden können, entwickelte man das sogenannte GAEN-Framework. Das Framework von Android stellen die Google Play Services dar. Diese managen nicht nur die Rechtevergabe, sondern kontrollieren auch elementare Funktionen wie Bluetooth. Ohne entsprechende Bluetooth-Verbindung kann die Corona-Warn-App gar nicht funktionieren.
Datenanalyse beunruhigend
Im Rahmen eines Experiments haben die irischen Forscher den Datenaustausch beim Nutzen der App analysiert. Insbesondere warfen sie dabei einen Blick auf die Android-Geräte. Dabei stellten die Wissenschaftler fest, dass das Gerät alle zwanzig Minuten Daten an die hauseigenen Server von Google schickte. Diese Verbindung ist auch mit der Übermittlung empfindlicher Daten verbunden. So wurden nicht nur Telefonnummern, sondern sogar SIM-Kartennummern weiterleitet. Teilweise kam es sogar zur Übermittlung der IMEI-Nummer. Die IMEI-Nummer eines jeden Smartphones ist einzigartig. Neben diesen Informationen leiteten die Geräte auch WLAN-MAC-Adressen, E-Mail-Adressen und die Android-ID des Users weiter.
Datenschutzeinstellungen ändern kaum etwas
Android suggeriert einem die Möglichkeit, das Smartphone „datenschutzfreundlich“ einzustellen. So ergriffen die Forscher die Möglichkeit, und stellten die Übertragung von Daten im Rahmen von „Nutzung & Diagnose“ einfach ab. Doch wie sich herausstellte änderte sich am Endergebnis nicht viel. So änderte sich lediglich die Häufigkeit der Datenübertragungen. Doch zu den übertragenen Daten zählten noch immer empfindliche Informationen wie Telefonnummern und SIM-Kartennummern.
Zahlen über Zahlen
Damit die Lokalisierung-Dienste so gut wie möglich funktionieren, setzt Google auf eine regelmäßige Übermittlung der IP-Adressen. Doch auch hierin sehen die Forscher ein ernsthaftes Problem. Sie warnen davor, dass Google den Nutzer der App sehr genau verfolgen kann. Selbstverständlich verneint Google entsprechende Absichten. Das ist nicht verwunderlich. Doch darüber hinaus streitet der Internet-Konzern auch ab, empfindliche Daten durch die Corona-Warn-App zu erhalten.
So funktioniert Android
Ein Sprecher von Google verneinte die Forschungsergebnisse vehement. Dies bekräftigte dieser mit den Worten, dass der dokumentierte Verkehr von Nutzerdaten der „allgemeinen und dokumentierten Funktionsweise von Android“ entspricht. Mit der Corona-Warn-App habe dies keineswegs etwas zu tun. Das regelmäßigen Weiterleiten von Informationen schädigt laut Google nicht der Datensicherheit, sondern fördert selbige vielmehr. Schließlich bleiben die Geräte dadurch „auf dem neuesten Stand“. Dies ist Voraussetzung, um „Menschen und Systeme vor Angriffen schützen“ zu können.
Laut Forscher übliche Ausrede
Selbstverständlich ist dies nicht der erste Vorwurf gegenüber Google in puncto Datenschutz. Auch Forscher Leith wusste um die Funktionsweise der Google Play Services. Allerdings waren die IT-Experten doch sehr überrascht, dass die Datenweitergabe derart extrem ist. Dies ist vor allem für diejenigen ein Dilemma, die bei der Bekämpfung der Pandemie zwar mithelfen wollen, ihrem Datenschutz jedoch nicht einfach so schaden möchten.
Neuer Modus als Lösung
In Folge der Forschungsergebnisse stand seitens der Wissenschaftler schnell eine Forderung im Raum. Da der Datenschutz ganz offensichtlich nicht gewährleistet wird, soll Google schnellstmöglich für einen „Quiet Mode“ sorgen. Dieser verhindert den Datenaustausch mit den Servern von Google. Des weiteren ist es durchaus fraglich, ob die Android-Version der App tatsächlich den Vorschriften der europaweit geltenden Datenschutzgrundverordnung (DSGVO) entspricht. Hierfür fordern die Forscher, dass Google im Rahmen des Frameworks der Google Play Services mit offenen Karten spielt.
RKI weiß um das Problem
Herausgeber der deutschen Corona-Warn-App ist passenderweise das Robert Koch Institut (RKI). Diese nutzen die App als eine Säule bei der Bekämpfung der Pandemie. Nun liegt es auch an dem Institut, seitens Google Nachbesserungen zu fordern. Schließlich wurde die App von Anfang an als datenschutzrechtlich absolut unbedenklich bezeichnet. Vor allem in Anbetracht der Vorbeugung einer sogenannten „zweiten Welle“ ist es wichtig, dass sich möglichst viele die Corona-Warn-App installieren. In Anbetracht der datenschutzrechtlichen Bedenken kann man dies jedoch keineswegs uneingeschränkt fordern. Wir sind gespannt, ob und wann ein Update kommen wird.
