CCC deckt auf: Datenspende-App des RKI mit schweren Mängeln

Der CCC hat einen umfassenden Prüfbericht vorgelegt, der schwere Mängel in der RKI Datenspende-App aufdeckt. Bei der vom CCC durchgeführten Sicherheitsbetrachtung handelt es sich um einen sogenannten Blackbox-Test – der Quellcode der App ist leider nicht quelloffen.

Beginnen wir mit zunächst mit dem (aus meiner Sicht) schwerwiegendsten Mangel:

Fitnessdaten werden regelmäßig nicht vom Smartphone des Datenspenders aus an das RKI übermittelt, sondern vom RKI direkt beim Anbieter des Fitnesstrackers oder Google Fit abgefragt und erst anschließend pseudonymisiert. Hierzu speichert das RKI Zugangsdaten, mit denen u. a. auf die vollständige Fitnesshistorie und die Namen der Datenspender zugegriffen werden kann. Das Schadpotential ist unverhältnismäßig hoch.

Der Server des RKI erhält also direkten Zugriff auf die Fitnessdaten der Nutzer. Alle Zugangsdaten werden zudem zentral auf einem Server des RKI gespeichert – der Schutzbedarf für solche Daten ist sehr hoch. Der CCC empfiehlt in seinem Bericht, dass Gesundheitsdaten zunächst auf dem Smartphone des Nutzers gesammelt werden und anschließend nur jene Daten an die Server des RKI übermittelt werden, die für die Erkennung notwendig sind. Die Zugangsdaten bleiben also lokal auf dem Smartphone und die Pseudonymiserung der Fitnessdaten findet direkt auf dem Smartphone statt – also unter der Kontrolle des Nutzers. In diesem Kontext empfiehlt der CCC zudem die Offenlegung des Quelltextes, der eine deutlich bessere Nachvollziehbarkeit und damit Transparenz erlauben würde. Dem schließe ich mich an.

Neben der Möglichkeit falsche Fitnessdaten großflächig und gezielt in Umlauf zu bringen, um bspw. in einem bestimmten Postleitzahlbereich eine hohe Anzahl an Infektionen vorzutäuschen, halte ich insbesondere die exponierte Serverinfrastruktur nebst Management- und Admin-Interface für problematisch:

Der Server des RKI exponiert zusätzliche Funktionalität wie ein Management- und Admin- Interface sowie eine SOAP-API über das Internet. Die Angriffsoberfläche dieses sicherheitskritischen Servers wird damit unnötig vergrößert.

Die Angriffsoberfläche ist also unnötig hoch. Auch hier schließe ich mich der Empfehlung des CCC an. Also: Reduktion der zum öffentlichen Internet angebotenen API bzw. Schnittstellen / Funktionen auf ein (notwendiges) Minimum.

Insgesamt erweckt die App vom RKI auf mich den Eindruck mit heißer Nadel gestrickt zu sein. Man wollte offenbar »schnellstmöglich« eine App anbieten – ob man dabei auch an die eigene Reputation gedacht hat? Solche Fehler bzw. Mängel im Design werfen ein ungünstiges Licht auf das RKI. Aber nicht nur das, sondern auch auf zukünftige Projekte könnte die vorschnelle Veröffentlichung der Datenspende-App negative Auswirkungen haben. Mir persönlich ist es schleierhaft, wann die Verantwortlichen endlich begreifen, dass wir nur mit einer maximalen Transparenz ans Ziel kommen. In diesem Zusammenhang erinnere ich auch nochmal gerne an die »10 Prüfsteine für die Beurteilung von „Contact Tracing“-Apps« des CCC.

Hui, das wird ganz schön für Wirbel sorgen und die Diskussion um PEPP-PT und Co. weiter anheizen.

P.S.: An dieser Stelle möchte ich noch einen Gruß an Martin Tschirsich hinterlassen, mit dem ich bezüglich der RKI-App die letzten Tage im Austausch stand. Danke an das Team vom CCC für eure hervorragende Arbeit!

Der Kuketz-Blog ist spendenfinanziert! Mitmachen ➡