DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Daten­schutz vs. Corona-App

Die neue Corona-App

Nun ist sie da, die Corona-App. Erfunden, um Infek­ti­ons­ketten zu unter­binden, ent­wi­ckelt zum frei­wil­ligen und zweck­be­zo­genen Einsatz, gepriesen als Corona-bekäm­p­­fende Unter­stüt­zungs­maß­nahme und ange­wendet in der Hoffnung, dass diese guten Ansätze zutreffen und niemals aus­ge­nutzt werden.

Die Band­breite zwi­schen den Befür­wortern und Kri­tikern der App ist jeden­falls groß. Grund genug, mit einem geschärften daten­schutz­recht­lichen Blick hinter die Kulissen zu schauen. Denn unab­hängig von der Corona-App selbst, die in der ersten Version gute Kri­tiken von Daten­schützern erhalten hat, birgt die Sys­tem­um­gebung mit ihren kor­re­spon­die­renden Schnitt­stellen und Pro­to­kollen durchaus poten­zielle Risiken.

Ist ein Betriebs­system (hier Android und IOS) erst einmal mit einer fest ver­drah­teten Schnitt­stelle darauf vor­be­reitet, der Corona-App (und künftig theo­re­tisch auch jeder anderen App mit ent­spre­chenden Funk­tionen) eine Kon­takt­ver­folgung zu ermög­lichen, könnte sich das Smart­phone immer mehr zum Spio­na­ge­werkzeug wandeln. Dis­kus­sionen im Netz über eine spätere „ange­ordnete“ Nutzung der App im Rahmen von Reisen, Ver­mie­tungen, Nutzung öffent­licher Ein­rich­tungen etc. lassen besorgt auf­horchen. Und Bei­träge darüber, ob Arbeit­geber, Rei­se­ver­an­stalter, Gas­tro­nomie oder Handel ein Recht dazu hätten, auf die Nutzung der App zu bestehen, können wohl auch nicht als ver­trau­ens­bil­dende Maß­nahme inter­pre­tiert werden.

Zwar fehlt derzeit die Rechts­grundlage zur ange­ord­neten Nutzung einer App und die Androhung von Sank­tionen bei Nicht­be­folgung wäre wohl daten­schutz­rechtlich anfechtbar. Denn es handelt sich immerhin um private gesund­heits­re­le­vante Daten der Nutzer, auf die ein Dritter ohne Ein­wil­ligung oder ver­trag­liche Grundlage keinen Anspruch hat. Dennoch sehen Kri­tiker die Corona App lediglich als ein wei­teres Ein­stiegs­mittel zur Kon­trolle und Über­wa­chung der Handys der Bürger mit ein­ge­bauten Bun­­­de­stro­­janer-Updates an.

Die Skepsis erhält Nahrung durch die Unter­su­chungs­er­geb­nisse der TU Darm­stadt. Das For­schungsteam testete, ob Angreifer über das „Google Apple Pro­tokoll“ (GAP) Bewe­gungs­profile von COVID-19-ini­f­­zierten Per­sonen erstellen und diese Per­sonen iden­ti­fi­zieren können. Die Expe­ri­mente zeigen, dass GAP die Erstellung von Pro­filen und ggf. auch eine De-Anony­­mi­­sierung von infi­zierten Per­sonen ermög­licht. Wei­terhin sind in GAP so genannte Relay- oder Wurmloch-Angriffe möglich. Demnach können Angreifer Kon­takt­in­for­ma­tionen fäl­schen und somit die Kor­rektheit des ganzen Systems beein­flussen.

Dass per­manent aktive Blu­e­­tooth-Ver­­­bin­­dungen grund­sätzlich angreifbar sind, dürfte all­gemein bekannt sein. Doch auch wenn die zuletzt bekannten Schwach­stellen mit neuen Betriebs­­­system-Ver­­­sionen gepatcht wurden: Nach der Schwach­stelle ist vor der Schwach­stelle. Außerdem sind genügend ältere Smart­phones im Umlauf, für die es gar kein Update mehr gibt. Nicht umsonst warnt z. B. der Verband „Reporter ohne Grenzen“ unab­hängig aller bis­he­rigen Sicher­heits­maß­nahmen vor der Mit­führung von Smart­phones bei ver­trau­lichen Treffen, ins­be­sondere mit lau­fenden Tracing-Apps.

Da jedes EU-Land derzeit eine eigene tech­nische Lösung anbietet, stellt sich zwangs­läufig die Frage nach einem EU-über­­­grei­­fenden System mit einem Daten­ab­gleich über Län­der­grenzen hinweg. Sollte ein EU-Gesetz in diesem Zusam­menhang Vor­schriften für das künftige Ver­halten der EU-Mit­­­glied­s­­länder fest­schreiben, könnte dies wieder ein Schritt in Richtung „Orwell 1984“ sein. Da hilft dann auch kein tem­po­rärer Anwen­dungs­stopp wegen daten­schutz­recht­licher Bedenken, so wie dies z. B. in Nor­wegen geschehen ist.

Letztlich steht und fällt die Akzeptanz jeder staat­lichen Maß­nahme (hier die Corona-App) immer mit dem betref­fenden Ver­trau­ens­ver­hältnis. Ver­trauen muss – wie überall im Leben – hart ver­dient werden. Zum Bei­spiel dadurch, dass die Frei­wil­ligkeit der Anwendung niemals mit Anord­nungen durch die Hin­tertür in Frage gestellt wird oder dass das der­zeitige Schutz­niveau niemals durch Updates oder sonstige tech­nische Ände­rungen umgangen wird. So bleibt zu hoffen, dass der grund­sätzlich positive Ansatz nicht tor­pe­diert wird und die Corona-App das bezwecken kann und darf, was sie soll: Men­schen vor gesund­heit­lichen Gefahren zu schützen. Und gerade des­wegen sollte jeder Anwender blindes Ver­trauen und Bequem­lichkeit durch Hell­hö­rigkeit, Mit­denken und kon­struktive Kritik ersetzen, um nicht irgendwann seine per­sön­lichen Daten im Internet zu finden oder „in einer Dik­tatur auf­zu­wachen, nur weil er in der Demo­kratie geschlafen hat“.

…………………………………………..

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Robert Lederer, DATEV eG

Dipl.-Betriebswirt (FH), Dipl.-Wirtschaftsinformatiker (FH), zer­ti­fi­zierter Daten­schutz- und IT-Security Auditor (TÜV), 5 Jahre Pro­jekt­leiter für attri­butive Qua­li­täts­si­che­rungs­systeme mit sta­tis­ti­scher Pro­zess­kon­trolle in der Auto­mobil-Industrie, seit 1995 bei DATEV eG, zunächst zuständig für Pro­dukt­mar­keting und Service MS-Office-Pro­dukte und Doku­men­ten­or­ga­ni­sation im Geschäftsfeld Eigen­or­ga­ni­sation, seit 2000 tätig für Vor­stands-Kor­re­spondenz, Qua­li­täts­ma­nagement und Reporting in der Stabs­stelle „Service Quality Management“ beim Bereichs­vor­stand Service und Ver­trieb der DATEV eG, seit 2002 dort als Fach­be­rater und Bereichs­be­auf­tragter zuständig für den Daten­schutz.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.