Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Datenschutz vs. Corona-App
Die neue Corona-App
Nun ist sie da, die Corona-App. Erfunden, um Infektionsketten zu unterbinden, entwickelt zum freiwilligen und zweckbezogenen Einsatz, gepriesen als Corona-bekämpfende Unterstützungsmaßnahme und angewendet in der Hoffnung, dass diese guten Ansätze zutreffen und niemals ausgenutzt werden.
Die Bandbreite zwischen den Befürwortern und Kritikern der App ist jedenfalls groß. Grund genug, mit einem geschärften datenschutzrechtlichen Blick hinter die Kulissen zu schauen. Denn unabhängig von der Corona-App selbst, die in der ersten Version gute Kritiken von Datenschützern erhalten hat, birgt die Systemumgebung mit ihren korrespondierenden Schnittstellen und Protokollen durchaus potenzielle Risiken.
Ist ein Betriebssystem (hier Android und IOS) erst einmal mit einer fest verdrahteten Schnittstelle darauf vorbereitet, der Corona-App (und künftig theoretisch auch jeder anderen App mit entsprechenden Funktionen) eine Kontaktverfolgung zu ermöglichen, könnte sich das Smartphone immer mehr zum Spionagewerkzeug wandeln. Diskussionen im Netz über eine spätere „angeordnete“ Nutzung der App im Rahmen von Reisen, Vermietungen, Nutzung öffentlicher Einrichtungen etc. lassen besorgt aufhorchen. Und Beiträge darüber, ob Arbeitgeber, Reiseveranstalter, Gastronomie oder Handel ein Recht dazu hätten, auf die Nutzung der App zu bestehen, können wohl auch nicht als vertrauensbildende Maßnahme interpretiert werden.
Zwar fehlt derzeit die Rechtsgrundlage zur angeordneten Nutzung einer App und die Androhung von Sanktionen bei Nichtbefolgung wäre wohl datenschutzrechtlich anfechtbar. Denn es handelt sich immerhin um private gesundheitsrelevante Daten der Nutzer, auf die ein Dritter ohne Einwilligung oder vertragliche Grundlage keinen Anspruch hat. Dennoch sehen Kritiker die Corona App lediglich als ein weiteres Einstiegsmittel zur Kontrolle und Überwachung der Handys der Bürger mit eingebauten Bundestrojaner-Updates an.
Die Skepsis erhält Nahrung durch die Untersuchungsergebnisse der TU Darmstadt. Das Forschungsteam testete, ob Angreifer über das „Google Apple Protokoll“ (GAP) Bewegungsprofile von COVID-19-inifzierten Personen erstellen und diese Personen identifizieren können. Die Experimente zeigen, dass GAP die Erstellung von Profilen und ggf. auch eine De-Anonymisierung von infizierten Personen ermöglicht. Weiterhin sind in GAP so genannte Relay- oder Wurmloch-Angriffe möglich. Demnach können Angreifer Kontaktinformationen fälschen und somit die Korrektheit des ganzen Systems beeinflussen.
Dass permanent aktive Bluetooth-Verbindungen grundsätzlich angreifbar sind, dürfte allgemein bekannt sein. Doch auch wenn die zuletzt bekannten Schwachstellen mit neuen Betriebssystem-Versionen gepatcht wurden: Nach der Schwachstelle ist vor der Schwachstelle. Außerdem sind genügend ältere Smartphones im Umlauf, für die es gar kein Update mehr gibt. Nicht umsonst warnt z. B. der Verband „Reporter ohne Grenzen“ unabhängig aller bisherigen Sicherheitsmaßnahmen vor der Mitführung von Smartphones bei vertraulichen Treffen, insbesondere mit laufenden Tracing-Apps.
Da jedes EU-Land derzeit eine eigene technische Lösung anbietet, stellt sich zwangsläufig die Frage nach einem EU-übergreifenden System mit einem Datenabgleich über Ländergrenzen hinweg. Sollte ein EU-Gesetz in diesem Zusammenhang Vorschriften für das künftige Verhalten der EU-Mitgliedsländer festschreiben, könnte dies wieder ein Schritt in Richtung „Orwell 1984“ sein. Da hilft dann auch kein temporärer Anwendungsstopp wegen datenschutzrechtlicher Bedenken, so wie dies z. B. in Norwegen geschehen ist.
Letztlich steht und fällt die Akzeptanz jeder staatlichen Maßnahme (hier die Corona-App) immer mit dem betreffenden Vertrauensverhältnis. Vertrauen muss – wie überall im Leben – hart verdient werden. Zum Beispiel dadurch, dass die Freiwilligkeit der Anwendung niemals mit Anordnungen durch die Hintertür in Frage gestellt wird oder dass das derzeitige Schutzniveau niemals durch Updates oder sonstige technische Änderungen umgangen wird. So bleibt zu hoffen, dass der grundsätzlich positive Ansatz nicht torpediert wird und die Corona-App das bezwecken kann und darf, was sie soll: Menschen vor gesundheitlichen Gefahren zu schützen. Und gerade deswegen sollte jeder Anwender blindes Vertrauen und Bequemlichkeit durch Hellhörigkeit, Mitdenken und konstruktive Kritik ersetzen, um nicht irgendwann seine persönlichen Daten im Internet zu finden oder „in einer Diktatur aufzuwachen, nur weil er in der Demokratie geschlafen hat“.
…………………………………………..
Dipl.-Betriebswirt (FH), Dipl.-Wirtschaftsinformatiker (FH), zertifizierter Datenschutz- und IT-Security Auditor (TÜV), 5 Jahre Projektleiter für attributive Qualitätssicherungssysteme mit statistischer Prozesskontrolle in der Automobil-Industrie, seit 1995 bei DATEV eG, zunächst zuständig für Produktmarketing und Service MS-Office-Produkte und Dokumentenorganisation im Geschäftsfeld Eigenorganisation, seit 2000 tätig für Vorstands-Korrespondenz, Qualitätsmanagement und Reporting in der Stabsstelle „Service Quality Management“ beim Bereichsvorstand Service und Vertrieb der DATEV eG, seit 2002 dort als Fachberater und Bereichsbeauftragter zuständig für den Datenschutz.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare