Die österreichische "Stopp-Corona-App" soll die Privatsphäre ihrer Nutzer stärker absichern und funktionsfähiger werden. Dies kündigte Gerry Foitik, Bundesrettungskommandant des Österreichischen Roten Kreuzes (ÖRK), am Mittwoch an. "Unsere Lösung soll zum Vorzeigemodell für Europa werden." Österreich gehört mit der seit Mitte März verfügbaren und mittlerweile über 400.000 Mal installierten App zu den ersten Ländern in Europa, die eine Mobilanwendung zur Nachverfolgung von Corona-Infektionsketten setzen.

Nach einiger Kritik etwa von der Arge-Gesellschaft für Datenschutz an dem "nicht praxistauglichen" Ansatz stellten die Macher ihren Quellcode den drei österreichischen Bürgerrechts- und Forschungsorganisationen Epicenter.works, Noyb und SBA Research zur Verfügung. Diese haben der App auf den Zahn gefühlt und ihre Ergebnisse jetzt in einer 50-seitigen technischen und rechtlichen Analyse veröffentlicht.

"Gutes Ausgangsniveau"

Grundsätzlich bescheinigen die Experten der Anwendung ein "gutes Ausgangsniveau" bei Sicherheit und Datenschutz, empfehlen aber einige Korrekturen. "In der App war eine Statistikfunktion eingebaut, die den Kontaktaustausch über Bluetooth und den Empfang von Infektionsnachrichten an das Rote Kreuz übermittelt hat", erläuterte Christian Kudera, IT-Sicherheitsforscher bei SBA Research. Diesen Makel habe der für die Programmierung zuständige Konzern Accenture "aufgrund unserer dringenden Empfehlung umgehend entfernt".

Auch hielten die Prüfer ein "Offline-Tracking von Geräten" etwa über Bluetooth-Sniffer im physischen Raum für möglich. "Es ist für Angreifer möglich, Smartphones über längere Zeiträume an bestimmten Orten wiederzuerkennen und im Extremfall Bewegungsprofile zu erstellen", warnte Kudera. "Uns wurde zugesagt, dass dieses Problem mit einer neuen Version in der Ende nächster Woche behoben wird." Nutzer könnten bis dahin als Zwischenlösung den "automatischen Handshake" zwischen per Bluetooth übertragenen Kennungen deaktivieren.

Libraries von Facebook und Airbnb

Derzeit seien noch Software-Bibliotheken von Facebook und Airbnb im Code, ließen die Sachverständigen bei der Präsentation des Gutachtens durchblicken. Diese hielten sie zwar für vergleichsweise unkritisch, die Libraries sollten aber dennoch zügig entfernt werden. Weil beim Datenaustausch etwa Systeme von Google und Server von Amazon zum Einsatz kämen, könnten grundsätzlich auch US-Behörden Zugriff auf die Daten haben, heißt es in dem Papier ferner. Zu bedenken sei auch, dass vergleichsweise viele Falschalarme entstehen könnten, was die Akzeptanz der Nutzer einschränken dürfte.

Der Verarbeitungszweck und die Speicherdauer von IP-Adressen bleibe "im Dunkeln", monieren die Experten. Hier müsse ebenfalls nachgebessert werden. Ferner sei die siebentägige Speicherdauer der "digitalen Handshakes" in der Datenschutzerklärung auszuweisen. Die App müsse diese "umgehend nach der Löschfrist auch tatsächlich löschen", derzeit gebe es dafür keine Routine. Zudem fehle ein Hinweis darauf, dass ein Widerspruchsrecht gemäß Artikel 21 Datenschutz-Grundverordnung (DSGVO) für sämtliche auf Basis berechtigter Interessen erfolgender Verarbeitungen bestehe.

Wechsel auf DP3T

Die App basiert speichert die Daten zwar dezentral auf dem eigenen Handy, die Kommunikation zwischen den Telefonen erfolgt aber noch weitestgehend über zentrale Server, da das relevante Bluetooth-Protokoll zu wenig Daten zwischen den Smartphones übertragen kann. Inzwischen gebe es mit Konzepten wie DP3T oder Co-Epi Lösungen, "die auch den Großteil der Kommunikation direkt von Handy zu Handy ermöglichen und damit noch datenschutzfreundlicher sind", merkte Thomas Lohninger von Epicenter.works an. Das ÖRK sollte daher auf ein solches Verfahren umstellen.

"Derzeit sind wir am Stand der Technik. Wir entscheiden uns aber für eine noch bessere Architektur", kündigte Foitik einen Wechsel auf eine Lösung wie DP3T an. Zudem solle der Quellcode "in den kommenden Tagen in Abstimmung mit den Technikpartnern" veröffentlicht werden. Das Feedback aus der Zivilgesellschaft werde dazu beitragen, "einen wirklich hohen Datenschutzstandard zu erreichen".

Unter das Dach des Projekts PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing), das die Bundesregierung und die Ministerpräsidenten hierzulande befürworten, wollen die Österreicher nicht ziehen. Die Prüfer bezeichneten die Initiative als intransparent und rieben sich daran, dass Deutschland und Frankreich offenbar auf ein zentrales System setzen. Zuvor hatten zahlreiche europäische Wissenschaftler PEPP-PT den Rücken gekehrt und Bedenken rund um den Datensammelansatz geäußert.

Die ÖRK-App muss unter iOS derzeit – im Gegensatz zu Android – noch ständig im Vordergrund laufen, was unter anderem auf den Akku geht. Im Mai wollen Apple und Google aber Schnittstellen fürs Corona-Tracing verfügbar machen, von denen die österreichischen Programmierer Gebrauch machen und den reibungslosen Einsatz der Anwendung auch auf iPhones so ermöglichen wollen. Accenture hat zugesagt, 16 der Empfehlungen der Gutachter mit einem "Hotfix" noch am Mittwoch nachzukommen, die restlichen sollen mit den nächsten Updates spätestens innerhalb von vier Wochen berücksichtigt werden. (vbr)