Neues Werkzeug entdeckt Sicherheits- und Datenschutzschwachstellen in COVID-19 Kontaktverfolgungs-Apps
Die COVID-19-Pandemie stürzte die Welt ins Chaos. Ihre Auswirkungen waren und sind nach wie vor verheerend und brachten viele Länder an den Rand einer Rezession. Als Reaktion darauf arbeiten verschiedene Länder der Welt hart daran, eine Lösung für diese Bedrohung zu finden. Eine solche Lösung sind die COVID-19 Kontaktverfolgungs-Apps.
Was sind COVID-19 Kontaktverfolgungs-Apps?
Kontaktverfolgungs-Apps sind Teil der digitalen Reaktionsmaßnahmen, die Länder auf die Pandemie geben. Während Wissenschaftler und Forscher daran arbeiten, die bereits existierenden Impfstoffe zu optimieren, haben auch Tech-Experten ihren Beitrag geleistet und die COVID-19 Kontaktverfolgungs-Apps entwickelt.
Eine COVID-19 Kontaktverfolgungs-App ist eine Anwendung, die infizierte Personen in einer Übertragungskette ‚verfolgt‘. Diese Apps sind auf Smartphones jeder Art installiert. Daher gibt es sie für die Android- und iOS-Geräteklasse. Sie nutzen in der Regel das Google/Apple Exposure Notification (GAEN) System.
Hierbei interagiert die App mit dem Bluetooth beider Geräte und verbindet Nutzer, die die App heruntergeladen haben und sich in unmittelbarer Nähe (innerhalb von 2 Metern) zueinander befinden. Die App würde einen Nutzer benachrichtigen, wenn die andere verbundene Person positiv auf das Virus getestet wurde. (Die positiv getestete Person müsste ihre Einstellungen so ändern, dass die App Benachrichtigungen an Personen senden darf, die sich in ihrer Nähe befinden.) Die exponierte Person kann dann die entsprechenden Schritte einleiten, d.h., sich testen lassen oder in Quarantäne gehen.
Andere Varianten der Apps verwenden drahtlose Technologie oder GRP anstelle von Bluetooth. In den ausgefeilteren Versionen sind zudem Funktionen enthalten, die bei der Selbsteinschätzung des täglichen physiologischen Status, der Überwachung der Körpertemperatur, Herzfrequenz etc. helfen.
Kontaktverfolgungs-Apps können allein die Pandemie vielleicht nicht unter Kontrolle bringen. Doch könnten sie in Kombination mit starken regulatorischen Strategien und Richtlinien einen bedeutenden Einfluss nehmen. Sie könnten sogar noch wirksamer sein, wenn sie politische und gesetzliche Unterstützung erfahren.
Privatsphäre-/Sicherheitsbedenken hinsichtlich Kontaktverfolgungs-Apps
Ein großes Anliegen hinsichtlich der COVID-19-Verfolgungs-Apps ist die mögliche Verletzung der Privatsphäre ihrer Nutzer. Wie bei vielen anderen aktuell genutzten Apps steht das Problem von Sicherheitsverletzungen weit oben auf der Agenda der Bürger. Tatsächlich gaben Teilnehmer einer von der Queen Mary’s University London durchgeführten Studie an, dass die Privatsphäre ihre größte Sorge beim Herunterladen einer Verfolgungs-App ist. Diese Umfrage unter über 370 Personen ergab, dass den Menschen ihre Privatsphäre wichtiger ist als die Wirksamkeit der Apps.
Generell ist das GEAN-System so aufgebaut, dass es die Privatsphäre der Nutzer schützt. Es verhindert die Weitergabe von Daten an Gesundheitsbehörden oder die Regierung. Dies adressiert ein wesentliches Anliegen der Nutzer. In der Regel führt die Datenweitergabe an die Regierung zu einer Abwärtsspirale, in der die Daten auch für Überwachung und Zensur genutzt werden können.
Einige Verfolgungs-Apps verlangen jedoch vor der vollständigen Installation den Zugriff auf die Kontaktliste des Nutzers. Viele andere geben ausdrücklich an, dass sie den Standort des Geräts, das Passwort, die IP-Adresse und Daten, die vom Nutzer generiert werden, nutzen würden. Nur wenige Anbieter verschlüsseln die Daten der Nutzer und halten diese während des gesamten Zeitraums anonym.
Darüber hinaus hängen die Risiken für die Privatsphäre und die Datensicherheit davon ab, ob die App ein dezentrales oder zentrales Speichersystem verwendet. Bei einem zentralisierten System sind die Daten der Nutzer lokalisiert. Jede durch die App generierte Information wird auf einem zentralen Server hochgeladen. Hier haben Gesundheitsbehörden Zugriff auf die Daten, die grundlegende Statistiken für die Erstellung von Lösungen zur Bewältigung der Pandemie bilden. Es ermöglicht den Behörden zudem die Infizierten nachzuverfolgen und ihnen eine Behandlung zukommen zu lassen.
Andererseits werden in einem dezentralen System die meisten Daten auf dem Telefon des Benutzers gespeichert. Teile davon werden von Zeit zu Zeit auf externe Server hochgeladen. Dieses System ist datenschutzfreundlicher. Eine zentralisierte Herangehensweise ist jedoch für Gesundheitsbehörden nützlicher, insbesondere für die Diagnose und Behandlung des Virus.
Die Antwort
Als proaktive Maßnahme haben mehrere Forscher ein Tool entwickelt, um die Datenschutzprobleme, die bei den COVID-19-Tracing-Apps auftreten, zu identifizieren und zu beheben. Dieses Tool ist als COVIDGuardian bekannt. Dieses Datenschutz-Bewertungstool führt Checks auf den Apps durch. Es sucht nach Malware, Lecks privater Informationen und eingebetteten Trackern.
Seit seiner Einführung hat dieses Tool geholfen, verschiedene Sicherheitsbedrohungen in diesen Apps zu erkennen. Sicherheitsexperten nutzten die Software zur Analyse von Tracking-Apps und fanden unter anderem heraus, dass mindestens 72,5 % der Apps mindestens einen unsicheren Algorithmus verwenden, mehr als die Hälfte der Apps Tracker enthalten, die Informationen an Dritte wie Google weitergeben, und eine App enthielt Malware. Diese Untersuchung wurde von einem Team von Forschern an der Queen Mary University in London durchgeführt. Sie machten ihre Ergebnisse anschließend der Öffentlichkeit zugänglich. In Reaktion darauf beseitigten vier der überprüften Apps die von dem Tool festgestellten Probleme. Darüber hinaus wurde eine problematische App vollständig aus den App Stores der Smartphones entfernt.
Schlussfolgerung
Mit dem Ausbruch der COVID-19-Pandemie nutzen Regierungen jede Hilfe, die sie bekommen können. COVID-19-Tracking-Apps bieten eine Möglichkeit, die Ausbreitung des Virus einzudämmen. Sie bieten auch eine Möglichkeit, infizierte Personen zu verfolgen und die weitere Verbreitung des Virus zu stoppen. Wie bei Software jedoch üblich, hatten einige der Tracking-Apps Sicherheitsprobleme. Der COVIDGuardian wurde dann entwickelt, um diese Sicherheitsprobleme zu erkennen und zu beheben.