Mike Kuketz
21. Juli 2020 | 16:54 Uhr

Contact-Tracing-Apps: Welche Daten werden zur Ermittlung von Kontaktpersonen genutzt?

Forscher aus Dublin haben untersucht, welche Daten von Europas GAEN-Apps zur Ermittlung von Kontaktpersonen genutzt werden. Damit Contact-Tracing auf Android und iOS funktioniert sind zwei Komponenten notwendig:

  • Eine Contact-Tracing-App (der Client)
  • und ein Exposure-Notification-Service von Google bzw. Apple

Das Ergebnis zu den untersuchten Clients lautet:

In summary, we find that the health authority client apps are generally well behaved from a privacy point of view. Indeed, the CoronaWarn (Germany), SwissCovid (Switzer-land), StoppCorona (Austria) and Immuni (Italy) apps all appear exemplary with regard to privacy. SmitteStop (Den-mark) and RadarCOVID (Spain) also behave well but have the deficiencies that they do not use SSL certificate pinning to verify that they are securely communicating with the correct server, and also that they are closed-source. We recommendthat SmitteStop and RadarCOVID both implement certificate pinning and make their app code open source.

[…]

We find that the health authority client apps are generally well behaved from a privacy point of view, although the privacy of the Irish, the Polish and Latvian apps could be improved.

Anders lautet das Ergebnis bei der »Blackbox«, die Google bereitstellt und ein Teil der Google Play Services ist:

In marked contrast, we find that the Google Play Services component of these apps is extremely troubling from a privacy viewpoint. Google Play Services contacts Google servers roughly every 20 minutes, poentially allowing fine-grained location tracking via IP address. In addition, Google Play services also shares the phone IMEI, hardware serial number, SIM serial number, handset phone number and user email address with Google, together with fine-grained data on the apps running on the phone. This data collection is enabled simply by enabling Google Play Services, even when all other Google services and settings are disabled. It therefore appears to be unavoidable for users of GAEN-based contact tracing apps on Android. This level of intrusivenessseems incompatible with a recommendation for population-wide usage. It also seems incompatible with the followingstatement from Google: ”We understand that the success ofthis approach depends on people feeling confident that their private information is protected. The Exposure Notifications System was built with your privacy and security central to the design. Your identity is not shared with other users, Google or Apple.” […]

Und jetzt ratet mal, weshalb ich so skeptisch war und darauf im Vorfeld immer wieder hingewiesen habe… Mein Fazit damals lautete:

Das Vertrauen in eine Corona-Tracing-App steht und fällt mit dem Vertrauen in Google und Apple. *badummms*

Google (und auch Apple) haben kein Vertrauen verdient. Nicht in der Vergangenheit, nicht in der Gegenwart und nicht in der Zukunft. Merkt euch das ein für alle Mal.

Übrigens: Das, was jetzt hier so hochkocht, betrifft jegliche Android-Geräte (mit Google Play Services), unabhängig von irgendwelchen Corona-Warning-Apps. Aber erst im Zusammenhang mit der Corona-Warning-App wird es zu einem Skandal. Es kann nämlich nicht sein, dass eine App, die vom Staat gefördert wird, auf solch eine zentrale Komponente angewiesen ist, die die Nutzer im Hintergrund so ausspioniert.

Und bevor der vorliegende Beitrag als »Bashing« gegen die Corona-Warning-App verstanden wird, so sei angefügt: Diese halte ich für einwandfrei. Allerdings halte ich die dafür notwendigen Voraussetzungen bzw. Strukturen (Schnittstellen der Smartphone-Hersteller) für fragwürdig. Eine kritische Diskussion und Auseinandersetzung darüber ist unbedingt notwendig, wie die Untersuchung aus Dublin erneut zeigt.

Eine beliebte Frage an mich würde ich noch gerne anfügen:

Würdest du eine Corona-Warning-App nutzen?

In der in Deutschland verfügbaren Corona-Warning-App sehe ich grundsätzlich kein Problem, allerdings in den dafür notwendigen Strukturen bzw. Anforderungen. Ich möchte kein Datenlieferant für Google und Co. sein. Wäre dies ausschließbar, dann würde ich diese App nutzen.

Der Kuketz-Blog ist spendenfinanziert! Mitmachen ➡
Ähnliche Beiträge
Google Überwachung
1. Oktober 2020

Google Play Services: Die Überwachungswanze von Google

Google Play Services: Die invasive Datenübermittlung an Google dürfte mehrfach gegen die DSGVO verstoßen - wann handelt die irische Aufsichtsbehörde?
South Korea Corona
30. August 2021

Das in der Corona-Pandemie viel zitierte Beispiel Südkorea – eine Datenschutz-Analyse

Eine Datenschutz-Analyse: Wer wird nach der Pandemie auf die äußerst sensiblen Gesundheitsdaten in Südkorea aufpassen, die im Zuge der Pandemiebekämpfung angehäuft wurden?
Virenscanner-App
29. November 2021

Trügerische Sicherheit: Virenscanner-Apps sind schlichtweg überflüssig

Die Sicherheitsarchitektur von Android/iOS schränkt die Funktionsweise von Virenscanner-Apps stark ein und macht sie im Grunde nutzlos. Schlimmer: Die vermeintlichen Sicherheits-Apps sind Datenschleudern.
F-Droid
28. Juni 2017

F-Droid und App-Alternativen – Android unter Kontrolle Teil3

F-Droid ist ein verbraucherfreundlicher Android App-Store, in dem datenschutzfreundliche Apps angeboten werden.
F-Droid
13. Mai 2019

F-Droid: Freie und quelloffene Apps – Take back control! Teil5

F-Droid ist eine verbraucherfreundliche Alternative zu Googles Play Store, in dem ausschließlich freie und quelloffene Apps angeboten werden.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.