Anzeige

Luca App: Zentrale Datenspeicherung wird von Datenschutzkonferenz kritisiert

• 01.04.21 Die Corona Warn App gibt es nun gute 9 Monate. In dieser Zeit, soll es laut dem Kanzleramtschef Helge Braun, trotz erheblicher Probleme mit der App, viele Warnungen vor einer möglichen Ansteckung gegeben haben. Dabei lag bei der Corona Warn App der Fokus auf den Datenschutz und auch der Quelltext liegt offen. Bei der neuen Luca App sieht es ganz anderes aus. Hier warnt nun die Datenschutzkonferenz vor der Zentralen Speicherung der Daten und der zentralen Kontrolle von Schlüsseln.

AKTION med rec
Anzeige

Luca App: Zentrale Datenspeicherung wird von Datenschutzkonferenz kritisiert

Die Luca App wird in immer mehr Kommunen zur Kontaktverfolgung eingesetzt. Nun auch im Norden Deutschlands zum Beispiel im Kreis Plön im Land Schleswig Holstein. Daher haben sich die Datenschützer und die Informatiker die App mal genauer angesehen. Und stoßen auf gravierende strukturelle Probleme beim Datenschutz, welche zum Beispiel bei der Corona Warn App vom RKI nicht vorliegen.

Luca App: Zentrale Datenspeicherung wird von Datenschutzkonferenz kritisiert
Luca App: Zentrale Datenspeicherung wird
von Datenschutzkonferenz kritisiert -Bild: RKI

In einer Stellungnahme durch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 26.03.2021 gibt es erhebliche Sicherheitsbedenken.

Die App des Unternehmens culture4life GmbH hat dabei in den vergangenen Wochen besonderes mediales Interesse erfahren. Culture4life hat bei mehreren Aufsichtsbehörden um ein datenschutzrechtliches Votum zu der Lösung ersucht.

Darüber hinaus haben einige Länder und Landkreise die Absicht bekundet, diese App einzuführen und dann eine Verbindung zu den jeweiligen Gesundheitsämtern herzustellen. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) weist ausdrücklich darauf hin, dass digitale Verfahren zur Verarbeitung von Kontakt-und Anwesenheitsdaten datenschutzkonform betrieben werden müssen.

Um eine bundesweit, einheitliche Datensparsame digitale Infektionsnachverfolgung zu ermöglichen, fehlt es bislang allerdings an gesetzlichen Regelungen. Hierfür sollten bundeseinheitliche normenklare Vorgaben zur digitalen Kontaktnachverfolgung geschaffen werden.

So warnen die Datenschützer von Bund und Ländern vor einer "schweren Beeinträchtigung" für den Einzelnen und die Gesellschaft durch zentral gespeicherte Daten zur Kontaktnachverfolgung. Dabei liegen die Daten verschlüsselt auf einen Server. Durch einen Hack kann man auf die verschlüsselten Daten gelangen.

Nach Ansicht der Datenschutzkonferenz hat die Luca-App zwar die Vorteile digitaler Lösungen umgesetzt, bisher identifizierte Risiken aber nur teilweise behandelt. Daher werde das Unternehmen aufgefordert, "weitere Anpassungen an dem System vorzunehmen, um den Schutz der teilnehmenden Personen weiter zu erhöhen".

Die zentrale Datenspeicherung wird daher ausgiebig kritisiert. "Die unbefugte Einsicht in diesen großen Datenbestand kann je nach Umfang zu einer schweren Beeinträchtigung für die Einzelnen und das Gemeinwesen führen".

Zuvor waren auch schon die Sicherheitsforscher der Schweizer Universität Lausanne und der niederländischen Universität Radboud in einer ausgiebigen Untersuchung zu dem Ergebnis gekommen, dass die zentrale Datenspeicherung auf dem Luca-Server ein hohes Risiko darstellt. Die Forscher kritisieren das Sicherheitskonzept, welches ausschließlich auf Verfahrenskontrollen basiert und erfordert volles Vertrauen in den Luca-Dienstbetreiber, die Protokolle genau zu befolgen.

Auch die zentrale Verwaltung der Schlüssel bei der Luca App birgt ein Risiko. Immerhin werden die Daten der Luca-App doppelt verschlüsselt, was aber für Angreifer bei der zentralen Kontrolle keine Rolle spielt.

Die Veranstaltern und Geschäfte bekommen einen individuellen Schlüssel sowie ein täglich wechselnden Schlüssel, der von allen Gesundheitsämtern in Deutschland verwendet werden kann. Die Schlüsselverwaltung wird von den Betreibern der Luca-App, der Culture4life GmbH, übernommen. Daher liegt hier das "hohe Risiko" durch einen Hack bei der Culture4life GmbH auch die Daten auf dem zentralen Server zu entschlüsseln.

Die Datenschützer bei der Datenschutzkonferenz schreiben dazu "Das birgt das vermeidbare Risiko, dass durch das Ausspähen oder den Missbrauch dieser Schlüssel auf eine hohe Anzahl der von dem System zentral verwalteten Daten unberechtigt zugegriffen werden kann".

Auch wird kritisiert, dass es für die Veranstalter schwierig zu überprüfen sei, ob eine Anforderung zur Entschlüsselung berechtigt ist. Daher können Angreifer sich hier als Behörde oder Berechtigter ausgeben.

Informatiker mit weiteren Bedenken

Auch gibt es weitere Bedenken von der Informatikern. So teilt der Chefredakteur vom Redaktionsnetzwerk Tarifrechner und Informatiker, Dipl. Inform. Martin Kopka, dass bei einer zentralen Speicherung -wie bei der Luca App - als Betroffener seine Datenhoheit verliert. Als Nutzer wird man nicht mehr um Erlaubnis bei der Datenfreigabe gefragt, damit wird das Tracking von Personen ungehemmt ermöglicht. Dieses steht im Widerspruch zu dem dem Schutz von Anwälten, Richtern, und Journalisten, welche auf diese Art und Weise ausspioniert werden können. Bei Journalisten verliert man den Informanten- und Quellen-Schutz, welcher durch das Grundrecht auf Pressefreiheit gewährt wird. Bei der Corona Warn App bleiben die Daten auf dem Handy der App Nutzer. Auch kann man den Verlust der Datenhoheit als Nutzer als Eingriffe in das Grundrecht auf informationelle Selbstbestimmung betrachten. Die Tragweite solcher Verfahren kann man oftmals erst im nachhinein überprüfen und bewerten. Wenn dann Unbefugte Zugriff auf die zentralen Daten erhalten und diese entschlüsseln können und damit Missbrauch betreiben, ist es zu spät. Auch können Behördenmitarbeiter hier ungehemmt, ohne eine Kontrollfunktion, auf eine Pool von schützenswerten, personenbezogene Daten zugreifen.

Bislang stellen die Entwickler nicht den Quelltext der App zur Verfügung. Dabei geht es nicht nur darum, dass man nachvollziehen kann, was die App macht, sondern auch um reichlich Software-Fehler, die man beseitigen kann. Immerhin wurde durch eine grosse Community bei der Corona Warn App tausende von Software-Fehler in den letzten Monaten beseitigt. Jeder Software-Fehler kann auch Einfallstor für eine Sicherheitslücke sein, so die Kritik vom Chefredakteur weiter.

Durch eine mangelhafte und fehlerhafte Programmierung bei der Tracing App, können Nutzerdaten mitunter ausgespäht werden und so Nutzer zu Schaden kommen. So werden bei der Software-Entwicklung entsprechende Software-Testmethoden eingesetzt, um die Fehlerzahl im Programm-Code zu reduzieren. Allerdings gibt es nie 0 Programmier-Fehler.

"Überlicherweise muss man bei einem hohen Entwicklungs-Standard bei der Verwendung von gängigen Software-Testmethoden in nebenläufigen und sequentiellen Systemen von 5 Fehlern pro 1.000 Zeilen Code ausgehen. Bei sicherheitsrelevanten Systemen sollten es nicht mehr als 0.5 Fehler pro 1.000 Zeilen Programm-Code sein", so der Chefredakteur vom Redaktionsnetzwerk Tarifrechner, Dipl. Inform. Martin Kopka. Da es gerade viele Fehlerquellen bei der Verwendung der Bluetooth-Schnittstelle bei den WLAN-Chips gibt, sollte man auch über eine Haftung reden müssen. Dieses wäre ideal per Gesetz zu regeln und man würde zusätzliches Vertrauen in der Bevölkerung für den App Einsatz schaffen.

Corona Warn App Version 1.14 Update: Download-Zahlen verharren langsam

Innerhalb von 2 Wochen gab es nun nur noch 200.000 Downloads aus dem Apple und Google Store. Am 4.3.2021 lagen die Zahlen bei 26 Mio. Downloads, am 18.März bei 26,2 Mio. Downloads. Dieses ist die niedrigste Zahl seit der Einführung vor 9 Monaten. Damit verharren die Download-Zahlen bei rund 200.000 Downloads alle 2 Wochen.

Corona Warn App Update: Warn App nun auch für iPhone 6, 6 Plus und 5s verfügbar
Corona Warn App mit 26,2 Millionen Downloads (Stand 18.3.2021) -Bild: RKI

Mit der neuen Corona-Warn-App Version 1.14 gibt es weitere Funktionen und fügt der freiwilligen Datenspende weitere Datenpunkte hinzu. Im Falle einer roten Kachel können Nutzer nun in der Kontakthistorie ihres Kontakt-Tagebuchs sehen, ob sich das erhöhte Risiko aus einer oder mehreren Begegnung(en) mit erhöhtem Risiko ergeben hat oder aufgrund von mehreren Begegnungen mit niedrigem Risiko.

Auch kann man nun an einem Ort die Verweildauer angeben. Ferner kann man die Dauer von Kontakten aufführen. Also ob das Treffen länger oder kürzer als 15 Minuten gedauert hat, ob beim Treffen eine Maske getragen wurde und ob das Treffen im Freien stattfand.

Corona Warn App Version 1.13 Update: Warn App Version 1.13 nun mit Datenspende

So soll der Link zur Befragung allen Nutzer angezeigt werden, die eine rote Kachel, also ein erhöhtes Risiko, haben. Sie dient dazu, die Wirksamkeit der App zu analysieren und besser zu verstehen, so der RKI Blog.

Ferner gibt es nun mit der Corona Warn App Version 1.13 nun die Möglichkeit freiwillig Daten zu teilen, um zur Verbesserung der App beizutragen.

Corona Warn App Update: Warn App nun auch für iPhone 6 und 5s verfügbar

Damit kommen die SAP Entwickler einer längeren Forderung nach, dass die App nicht nur auf modernen Smartphones laufen soll. Immerhin fühlen sich viele Nutzer durch dieses Restriktionen ausgegrenzt.

Mit Version 1.12 soll die Corona-Warn-App mit iOS 12.5 kompatibel sein. Dadurch hätten Besitzer älterer iPhones, wie dem iPhone 5s, dem iPhone 6 sowie dem iPhone 6 Plus, die Möglichkeit, die Corona-Warn-App zu nutzen. Außerdem fügt das Projektteam der Deutschen Telekom und SAP dem Kontakt-Tagebuch eine Begegnungshistorie hinzu.

Die neue Version 1.12 soll laut dem RKI-Blog den Nutzern innerhalb der nächsten 48 Stunden zur Verfügung steht.

Die Entwickler gehen von maximal 1,7 Millionen Geräten aus, welche dann die App nutzen könnten. Bislang setzte die von Apple und Google entwickelte Contact-Tracing-Schnittstelle, auf die auch die Corona-Warn-App zugreift, auf Apple-Seite mindestens iOS 13.5 voraus. Mit einem im Dezember veröffentlichten Update auf das Betriebssystem iOS 12.5, beziehungsweise 12.5.1, erweiterte Apple die Unterstützung für die Schnittstelle und machte sie für ältere iPhones verfügbar.

Unter iOS 12.5 aktualisiert die Corona-Warn-App die Risikoberechnung im Hintergrund bis zu zwei Mal am Tag, während das unter iOS 13.7 oder höher bis zu sechs Mal am Tag möglich ist, sofern das Smartphone mit dem WLAN verbunden ist, so die Entwickler.

Kontakt-Tagebuch mit Begegnungshistorie

Eine weitere Neuerung in Version 1.12 ist die Begegnungshistorie, die das Projektteam dem Kontakt-Tagebuch hinzugefügt hat. Bei der Begegnungshistorie können Nutzer auch die Tage der anderen Begegnungen nachschauen.

Mit Hilfe des Corona Warn App Tagebuchs können Nutzer Begegnungen und Orte notieren. Dieses geschieht auf freiwilliger Basis. Damit könnten die App Nutzer dem Gesundheitsamt beim Auffinden von Infektionsketten helfen.

Der Bildschirm der Corona-Warn-App zeigt dabei einen neuen Bereich Kontakt-Tagebuch Bereich an. Dabei werden die Nutzer im Rahmen eines Bildschirmdialoges beim Einrichten unterstützt.

Bundesamt veröffentlicht Sicherheitsanforderungen für Gesundheits-Apps

Durch die entsprechende Technische Richtlinie vom Bundesamt für Sicherheit in der Informationstechnik, müssen mobile Gesundheitsanwendungen besonders achtsam mit sensiblen und besonders schützenswerten persönlichen Daten umgehen. Das Bundesamt Informationstechnik (BSI) hat dazu eine Technische Richtlinie (TR) entwickelt.

Die TR "Sicherheitsanforderungen an digitale Gesundheitsanwendungen" (BSI TR-03161) ist unabhängig von und bereits im Vorfeld der gegenwärtigen Corona-Pandemie für Gesundheits-Apps entwickelt worden. Sie kann grundsätzlich für alle mobilen Anwendungen, die sensible Daten verarbeiten und speichern, herangezogen werden. Grundsätzlich fordert das BSI, Sicherheitsanforderungen von Anfang an bei der Software-Entwicklung mitzudenken.

"Sensible Gesundheitsdaten verdienen einen besonderen Schutz. Sowohl das jeweilige Smartphone der Nutzerinnen und Nutzer als auch die Hintergrundanwendungen auf Seiten der Anbieter müssen daher ein Mindestmaß an Sicherheit vorweisen können. Denn die Veröffentlichung solch sensibler Daten wie Pulsfrequenz, Schlafrhythmus oder Medikationspläne, lässt sich nicht ungeschehen machen. Hier kann nicht, wie im Falle eines Missbrauchs beim Online-Banking, der Fehlbetrag zurückgebucht werden. Mit der nun bereitgestellten Technischen Richtlinie stellt das BSI als die Cyber-Sicherheitsbehörde des Bundes einen wichtigen Leitfaden zur Verfügung, damit die Anwendungen das erforderliche IT-Sicherheitsniveau erreichen können.", so der Präsident des BSI, Arne Schönbohm.

Die technische Richtlinie verfolgt die grundsätzlichen Schutzziele der IT-Sicherheit: Vertraulichkeit, Integrität und Verfügbarkeit. Sie kann als Mindestanforderung für den sicheren Betrieb einer Anwendung betrachtet werden.

In zukünftigen Versionen sollen auf Grundlage der Erfahrungen und der Rückmeldungen aus der Industrie, Erweiterungen vorgenommen, die eine Zertifizierung von Apps nach dieser Technischen Richtlinie ermöglichen.

Bluetooth-Schnittstelle kämpft derzeit mit Sicherheitslücken

Bei einer Bluetooth basierten Technologie gibt es aber derzeit noch Sicherheitslücken. Diese Sicherheitslücken befinden sich in den Bluetooth-Chips und lassen sich bereits ausnutzen, wenn auf einem Gerät nur Bluetooth aktiviert ist. Damit könnten Angreifer gezielten Missbrauch betreiben. So gibt es gerade wieder ein neues Update für das Samsung Galaxy S8, weil die Bluetooth Schnittstelle angreifbar ist. Dieser Design Fehler im Bluetooth Chip wird aber die Geräte immer wieder verfolgen.

Damit Ihnen in Zukunft keine aktuelle News oder Spar-Angebot entgeht, können Sie sich auch bei unserem kostenlosen Newsletter anmelden. Einmal in der Woche bekommen Sie dann eine Übersicht an Aktionen und wichtigen Änderungen im Telefonmarkt. Noch schneller sind Sie aber via Twitter und Facebook informiert.


Verwandte Nachrichten:

Auf dieser Seite gibt es Affilate Links, die den Preis nicht beeinflussen. Damit wird der hochwertige Journalismus kostenfrei angeboten

Anzeige

News-Feed: Google-News RSS Feed
     Black Friday Week:
  • 15 GB LTE All-In Flat
  • 50 Mbit O2 Netz
  • Nur 9,99 € statt 14,99 €
  • 7 GB Datenvolumen geschenkt
  • Telefon und SMS-Flat
  • Kein Bereitstellungspreis
  • Aktion nur kurze Zeit
  • Jetzt sparen und wechseln!

     Redaktionstipp:
  • 5 GB LTE All-In Flat
  • mtl. 4,99 € statt 12,99 €
  • Telefon und SMS Flatrate
  • 50 MBit/s
  • mtl. Laufzeit
  • 6,82 € Wechselbonus
  • Aktion nur für kurze Zeit
  • Jetzt sparen und Bestellen!

     Spartipp O2-Netz:
  • 10 GB LTE All-In Flat
  • mtl. 7,99 € statt 22,99 €
  • Handy- und SMS-Flatrate
  • 50 MBit/s
  • mtl. Laufzeit
  • 6,82 € Wechselbonus
  • Aktion nur für kurze Zeit
  • Jetzt sparen und Bestellen!

     Besten 10 GB Tarife:
  • Spartarife ab 9,99 €
  • Aktionen mit Rabatten,
  • Gutscheinen,
  • Anschlusspreisbefreiungen
  • Jetzt sparen und Vergleichen!

Kostenloser Newsletter:
Mit unserem kostenlosen Newsletter verpassen Sie ab sofort keine Schnäppchen und Aktionen mehr.
Ihre E-Mail-Adresse:
Datenschutzhinweise

Weitere Nachrichten:

Telefontarifrechner.de
TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste

 Datenschutzhinweise © Copyright 1998-2021 by DATA INFORM-Datenmanagementsysteme der Informatik GmbH  Impressum