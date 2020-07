Für Jens Spahn (CDU) ist die CoronaWarn App "Weltklasse". Zwei irische Sicherheitsforscher, die europäische Corona-Apps verglichen haben, geben dem deutschen Gesundheitsminister Recht, warnen aber vor problematischem Datenverkehr von Android. Die Experten haben regelmäßige API-Aufrufe der Google Play Services mitgeschnitten, bei denen individuelle Daten wie Geräte- und Telefonnummer übertragen wurden. Für Google ist das "branchenübliche Praxis".

"Technisch vielleicht die sauberste"

Doug Leith und Stephen Farrell von der School of Computer Science and Statistics am Trinity College haben für ihre Studie verschiedene Corona-Apps im Hinblick auf Datenschutz untersucht. "Von allen nationalen Apps, die wir angesehen haben, war die deutsche unter Datenschutzaspekten technisch vielleicht die sauberste", erklärt Farrell gegenüber heise online. Das Problem sind auch weniger die Apps, als die Systemfunktionen, auf die sie zurückgreifen.

Für Benachrichtigungen und andere Standardfunktionen greifen Apps grundsätzlich auf die entsprechenden Frameworks von iOS oder Android zurück. Auch das für Corona-Apps gemeinsam von Apple und Google entwickelte GAEN-Framework (Google Apple Exposure Notification) nutzt diese Dienste. Im Fall von Android sind das die Google Play Services, die eine Reihe von Grundfunktionen wie Rechtemanagement und Bluetooth zur Verfügung stellen.

Die Forscher haben die dabei von den Android-Geräten an Google übertragenen Daten analysiert. Demnach nehmen die Smartphones etwa alle zwanzig Minuten Verbindung mit Google-Servern auf. Dabei werden den Forschern zufolge neben einem Cookie auch die Telefon- und SIM-Kartennummer übermittelt. Bei weniger häufigen API-Aufrufen wurden auch die weltweit eindeutige Gerätenummer (IMEI), die vom Hersteller vergebene Seriennummer, WLAN-MAC-Adresse, Android-ID und die E-Mail-Adresse des Google-Kontos übermittelt.

Diese Nummern fanden die Forscher im Datenstrom. (Bild: Screenshot)

Die Forscher haben dabei nach eigenen Angaben versucht, das Smartphone so datenschutzfreundlich wie möglich einzustellen. Durch das gezielte Abschalten der Datenübertragung für "Nutzung & Diagnose" in den Einstellungen habe sich die Frequenz der API-Aufrufe von durchschnittlich 17,5 auf 25 Minuten etwas verlangsamt und Telemetriedaten würden nicht mehr übermittelt, berichten Leith und Farrell. Aber auch dann seien im Datenstrom noch Telefon- und SIM-Nummern enthalten.

Lauter Nummern

Zudem übermitteln Android-Smartphones regelmäßig IP-Adressen, was Google unter anderem zur Verbesserung der Ortsbestimmung nutzt. Google könne mit diesen Daten theoretisch die Nutzung der App sehr genau verfolgen und auch mit Kennungen verknüpfen, warnen die Forscher. Das Unternehmen weist das zurück. Google erhalte "aus der Corona-Warn-App keine Informationen über den Endnutzer, Standortdaten oder Informationen über andere Geräte, in deren Nähe sich der Nutzer befindet", betont ein Sprecher.

Der von den Forschern beobachtete Datenverkehr beruhe auf der "allgemeinen und dokumentierten Funktionsweise von Android" und habe nichts mit der Corona-App tun, betont der Google-Sprecher. "Die Metriken und Telemetriedaten, die in dieser Studie in den Fokus gestellt werden, beschreiben, wie Geräte normalerweise auf dem neuesten Stand bleiben und Menschen und Systeme vor Angriffen schützen. Diese Funktionalität hat nichts mit der Corona-Warn-App im Speziellen zu tun."

Das Argument, dass die beobachtete bei Android übliche Praxis sei, kennt auch Leith: "Aber hätten Sie gedacht, dass das so extrem ist?" Nutzer, die von ihren Regierungen mehr oder weniger nachdrücklich zum Einsatz der App aufgefordert würden, ständen vor einem Dilemma. "Natürlich will man sich und andere schützen", sagt der Sicherheitsforscher gegenüber heise online. "Aber man holt sich durch die Nutzung von Google Play Services dieses Tracking ins Haus."

"Quiet Mode" gefordert

Ihre Ergebnisse legen nach Ansicht der Forscher nahe, dass die Praxis nicht mit der Datenschutzgrundverordnung (DSGVO) vereinbar ist. Sie vermissen eine transparente Dokumentation des Zusammenspiels des GAEN-Frameworks mit den Play Services. Darüber hinaus fordern sie einen "Quiet Mode", mit dem der Datenaustausch mit den Play Services tatsächlich unterbunden werden kann. Schließlich sollten sich auch die verantwortlichen Behörden angesichts der Gatekeeper-Funktion von Apple und Google mit den politischen Implikationen befassen.

Das Problem ist auch dem Robert–Koch-Institut (RKI) als Herausgeber der deutschen Corona-Warn-App bewusst. In der Datenschutzfolgenabschätzung für die deutsche App wird das von beteiligten Drittanbietern ausgehende Risiko als hoch eingestuft. Umsetzung und Funktionsweise "aller betriebssystem- und hardwareseitigen Funktionalitäten" seien "der Kontrolle des RKI entzogen". Apple und Google könnten App-Daten prinzipiell mit "mit einer geräte- (z. B. Werbe-ID) oder nutzerspezifischen Kennung (z. B. Apple-ID oder Google-Konto)" verknüpfen.

