Übermittelt die Corona-Warn-App des RKI ungewollt Benutzerdaten an Google?

Die Android-Version der Corona-Warn-App des RKI könnte unbeabsichtigt Eingaben des Benutzer an Google weiterreichen. Kritisch wird dies, wenn die App beispielsweise im Hinblick auf Funktionen eines Kontakt-Tagebuchs verwendet wird.


Anzeige

Die Corona-Warn-App des RKI

Die Corona-Warn-App wird seit dem 16. Juni 2020 in Deutschland und seit Anfang Juli 2020 auch in allen Staaten der Europäischen Union und weiteren Staaten in über 20 Sprachen zur Kontaktpersonennachverfolgung in Punkto COVID-19-App verwendet. Die App soll den Benutzer alarmieren, wenn wahrscheinlich Kontakt mit einer infektiösen Person hatte. Ziel ist es, in solchen Fällen infektionsgefährdende Kontakte mit Dritten einzuschränken, bis die Infektion durch ärztliche Untersuchung ausgeschlossen wurde. Das soll den zuständigen Behörden helfen, Infektketten nachzuverfolgen und zu unterbrechen und so die Ausbreitung der COVID-19-Pandemie einzudämmen.

Corona Warn-App des RKI
(Corona Warn-App des RKI für Android)

Herausgeber der App ist das Robert Koch-Institut (RKI), entwickelt wurde sie von den Unternehmen SAP und Deutsche Telekom AG unter Beteiligung von rund 25 weiteren Unternehmen. Die App nutzt die Schnittstellen der Betriebssysteme von Apple (iOS) und Google (Android) und die Protokolle von DP-3T und TCN. Ich hatte ja einige Blog-Beiträge rund um die Corona-Warn-App des RKI hier im Blog (siehe Artikelende). Die App ist einerseits recht häufig von Benutzern heruntergeladen worden, glänzt andererseits mit einigen Pleiten. Aber in Sachen Datenschutz wurde die App von verschiedenen Instanzen für gut befunden.

Kontakttagebuch und Check-In-Funktion für die App

Seit der Version 1.10 der App kann der Benutzer ein Kontakttagebuch verwenden, wie man in dieser Mitteilung entnehmen kann. Im Kontakttagebuch lassen sich freiwillig Begegnungen und Orte notieren. Eigentlich eine gute Sache, wenn sichergestellt ist, dass der Datenschutz auch eingehalten wird.

Und aktuell geht die Meldung herum, dass die Corona-Warn-App "recht zeitnah nach Ostern" um ein Check-in-System erweitert werden soll. Der nachfolgende Tweet thematisiert einen Bericht des "Spiegel".

Es handelt sich dabei um die Kontaktverfolgung Mittels QR-Codes, die das z.B. bei Veranstaltungen oder in der Gastronomie erleichtern soll. Dabei speichert die App den Check-in lokal auf dem Smartphone, personenbezogene Daten sollen nicht erfasst werden.

Problem: Tastatur und Inkognito-Modus

Obige Szenarien zeigen, dass der Benutzer durchaus sensible Informationen in der App einträgt. Geht man mit Leuten essen und trägt deren Namen sowie den Bewirtungsort ein, sind dies persönliche Daten. Nun wurde bei der Entwicklung der App sehr viel Wert auf Datenschutz gelegt. Aber es reicht nicht, die App im Hinblick auf Datenschutz zu bewerten, sondern man muss die Android-Plattform berücksichtigen.


Anzeige

Patrick hat sich die App sowie Android unter diesem Gesichtspunkt einmal genauer angesehen und mich im Vorfeld über seinen Artikel informiert. Bei allen Eingaben von Benutzerdaten kommen die Bildschirmtastatur oder die Spracheingabe zum Einsatz. Dies sind separate Apps, die die Daten nur an die Corona-Warn-App weiterreichen. Und hier beginnt das Problem.

Bildschirmtastaturen und Spracheingabe können Daten in einer Art lernendem Modus mit Google teilen. Während die Google Bildschirmtastatur beim Eintippen lediglich Vorschläge aus dem lokalen Speicher abruft, kann dies bei Dritt-Tastatur-Apps anders sein. Wird die Spracheingabe verwendet, schickt die App alle Sprachbefehle zur Auswertung an die Google Server. Diktiert also ein Benutzer der Corona-Warn-App seine Kontakte des Tages per Spracheingabe, werden diese Daten an Google übertragen.

Während man auf die Spracheingabe verzichten kann, ist die Bildschirmtastatur für Eingaben aber meist unverzichtbar. Die Tastatur-Apps auf dem Smartphone hinterlassen die Eingaben des Benutzers im Speicher. So sind die digitalen Spuren danach möglicherweise für Menschen und Maschinen zugänglich, obwohl man dies gar nicht erwartet hat.

Die Google-Android-Entwickler haben sich diesbezüglich einige Gedanken gemacht und unterstützen auch einen sogenannten Inkognito-Modus für Tastatur-App. Das Betriebssystem Android ermöglicht die Funktion des personalisierten Lernens bei der Eingabe über das Flag IME_FLAG_NO_PERSONALIZED_LEARNING zu deaktivieren. So schaltet die Browser-App Google Chrome bei Verwendungen der Google-Tastatur Gboard das personalisierte Lernen und die Spracheingabe im Inkognitomodus aus. Selbst Screenshots können keine mehr angefertigt werden. Beim Messenger Signal kann der Inkognitomodus für die Eingabe in den Datenschutz-Einstellungen der App optional aktiviert werden.

Android-Nutzer der Corona-Warn-App können dagegen bis heute den Inkognitomodus für Eingaben im Betriebssystem nicht nutzen, weil diese Funktion nicht unterstützt wird. Damit sind innerhalb der App getätigte Eingaben auch außerhalb des App-Speichers verfügbar und können zusätzlich in der Cloud auf externen Servern verarbeitet werden. Mit Blick auf das Kontakttagebuch und die mögliche Weiterentwicklung mit zusätzlichen Funktionen können dazu auch Daten Dritter ohne deren Kenntnisnahme oder Einwilligung verarbeitet werden und möglicherweise zusammen mit den Gesundheitsdaten der Corona-Warn-App-Nutzer auch bei Google in den USA landen.

Da es zur Corona-Warn-App keine ordentliche Anwenderbeschreibung gibt, lässt sich der fehlende Inkognitomodus für Eingaben erst nach der Installation feststellen. Dazu kommt das mögliche Risiko, dass auch personenbezogene Daten von Dritten außerhalb der App verarbeitet werden können. Zusätzlich berücksichtigt werden muss sicher auch die notwendige Aktivierung von Bluetooth am Smartphone, wenn schon seit längerer Zeit kein Systemupdate mehr für das Gerät bereitgestellt wurde. Normale Anwender sollten sich bereits vor der Installation einfach und klar verständlich informieren können.

Patrick hat an dieser Stelle beim Robert Koch-Institut (RKI) diesbezüglich nachgefragt. Vom Robert Koch-Institut (RKI) wurde die fehlende Funktion am 19.02.2021 per E-Mail bestätigt und als „Anregung" an die technische Entwicklung weitergegeben. Nach einer E-Mail aus der technischen Entwicklung vom 05.03.2021 wurde das „Feature" bisher noch nicht umgesetzt.

Nebenbei ist beim digitalen Nachrichtenaustausch zur Recherche auch noch aufgefallen, dass E-Mails an das RKI über Outlook-Server von Microsoft in den USA verarbeitet werden.

Gerade in dieser Zeit sollten wir ganz genau hinsehen, mit welchem Know-how in Sachen Datenverarbeitung, Datenschutz und Datensicherheit beim RKI gearbeitet wird. Dabei geht es nicht nur um die Corona-Warn-App, sondern um alle Daten, die dort verarbeitet werden. Hier sind auch die zuständigen Stellen, die den Schutz unserer personenbezogenen Daten nach Artikel 8 der europäischen Grundrechtecharta überwachen sollen, in der Verantwortung.

Obwohl also sehr viel Wert auf Datenschutz bei der Entwicklung der Corona-Warn-App gelegt wurde, zeigt diese Episode, dass der Teufel im Detail liegt.

Ähnliche Artikel:
Die (deutsche) Corona Warn-App des RKI
Corona-Warn-App: Vorsicht vor Lookalike-Fake-Seiten
10 Millionen Downloads der Corona-Warn-App
Corona-Warn-App: Erste Benachrichtigungen verschickt
Der Bund klärt die 5 Irrtümer zur Corona-Warn-App
Neues zur Corona-Warn-App (7.7.2020)
Sicherheitslücke in Corona-Warn-App-Server gefunden
Android Corona-Warn-App: Frust, schwerer Bug und Implementierung für F-Droid
Corona-Warn-App auf vielen Smartphones gestört (13.1.2021)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Übermittelt die Corona-Warn-App des RKI ungewollt Benutzerdaten an Google?

  1. nook sagt:

    GB: "…sondern man muss die Android-Plattform berücksichtigen."

    Bravo Günter!

    Dann stellt sich mir die Frage wie sich der Inkognitomodus auf die anderen App`s auswirkt, CCTG microG ohne Datenspende, Luca, etc.
    Meine Anfrage bei Luca, wann es eine F-droid Version gibt? Es wird diskutiert, und demnächst wird der Quellcode veröffentlicht.
    Dabei gibt es schon Opensource Apps. NotifyMe, Hochschule Lausanne und NHS Covid-19 in England.
    Smudo, der Fachmann, zieht in Talkshows aber anscheinend mehr!

    Ohne Android? Wie funktionieren eigentlich die "Fußfessel" GPS Tracker welche man derzeit als Armband in einigen arabischen Staaten zwangsweise nach der Einreise angelegt bekommt?

    Die wären zumindest von allen Kontakten, Eingaben etc. getrennt, und könnten von Omas ohne Smartphone genutzt werden!

    Wie kontakten die Dinger, wohin?
    Das könnte doch ein Anfang für ein deutsches System sein, wobei, wenn ich mir die Datensicherheit und das knowhow in D so ansehe … Teufel oder Belzebub ;-)

  2. Bolko sagt:

    1.
    Demnächst sollen die Funktionen der LUCA-App in die Corona-Warn-App des RKI eingebaut werden.
    Dann wäre letztere aber nicht mehr anonym, da die LUCA-App die Eingabe von Name und Adresse verlangt und diese Daten dann in einen QR-Code umwandelt, den das Gegenüber dann einscannen kann.

    2.
    Durch das ständig aktivierte Bluetooth ist man ein "!Opfer" von Beacons, die in Geschäften und Schaufenstern platziert sind.
    Dann können die Konzerne Bewegungsprofile der Kunden erstellen, also nicht nur virtuell im Internet, sondern in der Realität.
    Jeder Bluetooth-Chip hat genauso wie jeder WLAN-Chip eine weltweit einmalige Nummer, die auch gesendet wird (MAC-Adresse).
    Verknüpft man diese Daten mit der bargeldlosen Bezahlung oder den Orten mit der längsten Verweildauer, dann kann man der eigentlich anonymen Nummer auch einen echten Namen und eine echte Adresse zuordnen.
    Mittels Facebook-Tracking weiß man dann auch, wofür sich diese Person interessiert und wen sie kennt.

    Die kennen einen dann besser als man selbst, und können voraus berechnen, was man wann tun wird bevor man es selber weiß.

    Staatsfeinden, die sich nicht ausbeuten lassen wollen oder die eine falsche politische Einstellung haben, kann man dann eine Drohne vorbeischicken zwecks Desinfizierung des Systemschädlings, was die USA ja auch tatsächlich schon mehrfach praktiziert haben.
    Sogar eigene Bürger haben die USA mittels Drohne im Ausland gekillt und deren Aufenthaltsort hatten sie mittels elektronischer Überwachung herausgefunden.
    Beispiel: Anwar al-Awlaki, US Bürger, im Jemen von den USA gekillt
    OK, war halt ein Terrorist, aber irgend einen Grund kann man immer finden und bedauerliche Kollateralschäden werden auch in Kauf genommen, Hauptsache das neo-faschistische System wird gesichert.

    Der Preis für Freiheit ist ewige Wachsamkeit und "Wehret den Anfängen" haben wir schon lange verpasst.
    Wachsamkeit alleine reicht also nicht mehr aus, sondern man muss sich als Bürger aktiv gegen den Staat wehren, damit man langfristig nicht unter die Räder kommt, obwohl wir eigentlich schon längst unter die Räder gekommen sind, denn in Deutschland gibt es die höchsten Steuern und Abgaben und Strompreise aller OECD-Länder und das bei teilweise ganz miserabler Gegenleistung des Staates. Obendrein auch noch die Lockdown-Unfreiheit, was man mittlerweile als Vorsatz statt Inkompetenz werten muss.

    • Paul sagt:

      "1.
      Demnächst sollen die Funktionen der LUCA-App in die Corona-Warn-App des RKI eingebaut werden.
      Dann wäre letztere aber nicht mehr anonym, da die LUCA-App die Eingabe von Name und Adresse verlangt und diese Daten dann in einen QR-Code umwandelt, den das Gegenüber dann einscannen kann."

      Ich glaube das stimmt so nicht.

      Das wird SICHER nicht so sein das man sich bei Luca registrieren muß um den QR Code mit CWA einlesen zu könne. Man würde den Bock zum Gärtner machen. (Aber: Korruption macht alles möglich?)
      M.W. sollen die von erzeugten "Location"-QR-Codes sowohl von Luca als auch CWA gelesen werden können.
      Klar, das das "Klartext" ist, wenn die Daten nur im meinem Speicher Landen.
      Es wäre kontra-Produktukiv wenn die CWA diese Daten bei Luca melden oder abfragen müsste…

      Ich hoffe Du hast nicht recht :-)

    • Paul sagt:

      "2.
      Durch das ständig aktivierte Bluetooth ist man ein „!Opfer" von Beacons, die in Geschäften und Schaufenstern platziert sind.

      Dann können die Konzerne Bewegungsprofile der Kunden erstellen, also nicht nur virtuell im Internet, sondern in der Realität.
      Jeder Bluetooth-Chip hat genauso wie jeder WLAN-Chip eine weltweit einmalige Nummer, die auch gesendet wird (MAC-Adresse).
      Verknüpft man diese Daten mit der bargeldlosen Bezahlung oder den Orten mit der längsten Verweildauer, dann kann man der eigentlich anonymen Nummer auch einen echten Namen und eine echte Adresse zuordnen.
      Mittels Facebook-Tracking weiß man dann auch, wofür sich diese Person interessiert und wen sie kennt."

      Das klingt sehr nach: "ich hab mal gehört" :-)

      Das Problem ist nicht neu und sogar Apple und Google bekannt.
      Zumindest Apple ändert deshalb ständig die MAC-Adresse.
      Und als "lokaler Dienst" muß weder bei BT noch WLAN oder LAN die MAC weltweit einmalig sein. Es wird ja nur lokal verwendet.
      Aber, sagst Du, wenn ich 2 Geräte mit derselben MAC zuhause habe?
      Ja, was dann? Dann nehmen beide Geräte die das Paket an. Und das mit der falschen IP wirft es dann weg… ein minimaler Performance Verlust.
      (sun hat früher wg. lizenzen die MAC immer erst beim End-Kunden gesetzt.)

      Wichtig ist aber, das Du Dein WLAN ausschaltest.
      Das Problem:
      Du warst z.B. bei "REWE gratis WLAN" und "Ikea Kunden WLAN" und Dein Heimnetz heißt "SweetHome007". Dein Handy hat sich das gemerkt und fragt nun ständig ab ob es diese Netze in Reichtweite gibt…
      Schon bei den 3 Netzen kann man Dein Handy ganz gut wiedererkennen.
      Wieviele Netze sind in Deiner WLAN-Liste?

      Tip:
      Man kann das selbst nutzen um so z.B. festzutellen, ob und welcher Postbote gerade im Hause war/ist…

  3. Daniel sagt:

    Das niemals endende Katz-und-Maus-Spiel. Langsam kann ich es nicht mehr hören. Im beruflichen Umfeld kann das nochmal anders sein aber es wird so ein Tamtam um die App gemacht aber gleichzeitig kauft die selbe Person bei amazon, hat Konten im Internet, ggf. ohne 2FA, nutzt Google und hinterlässt im Internet und bei Anbietern (z.B. Payback, Deutschland Card, …) sicherlich einen mehrfach so großen digitalen Fußabdruck wie die Corona App. Aber die nutzt man aus Datenschutzgründen nicht. Ja, schon klar … Aber Android und WhatsApp nutzen.

    Entweder wir bekämpfen die Pandemie ernsthaft und nehmen einige Datenschutzbedenken in Kauf oder wir lassen es gleich bleiben. Die Pandemie betrifft uns. Was sind wir? Menschen – keine Maschinen. Also betrifft es uns ganz persönlich. Da können wir uns noch ewig den Kopf zerbrechen. An irgendeiner Stelle muss man sich immer die Frage stellen.

    Andere Frage Günter: Was ist mit Apple und iOS? Gibt es dort das Problem auch? Wenn sich jetzt einige unsicher sind, könnte man so zu Apple wechseln, wenn man denn möchte, wenn Apple in der Richtung besser ist.

    • Günter Born sagt:

      Leider den Artikel nicht verstanden.Es ist formal etwas anderes, wenn ich meine eigenen Daten irgendwo preisgebe, oder wenn ich denke "alles sicher" und dann wird eine mögliche Funktion nicht implementiert.

      • Daniel sagt:

        Danke! Dann nutzt also Apple auch eine extra App zwecks Tastatureingaben und die Eingaben inkl. Siri landen bei Apple. OK!

        • Günter Born sagt:

          Auch da hast Du den Punkt nicht getroffen. Nochmal zum Mitschreiben:

          – Ziel des Artikels ist es, auf einen speziellen Punkt hinzuweisen.
          – Es geht um eine App, die für 60 Mio. Euro entwickelt wurde (ist schon mächtig), wo Datenschutz im Design eine wichtige Angelegenheit war (gut) und doch offenbar ein Aspekt möglicherweise übersehen wurde.

          – Nein, es geht nicht um Apple und iOS, und um die Frage, ob die es besser/schlechter können.
          – Nein, es geht auch nicht darum, dass Android selbst eine Datenschleuder ist, sondern um die Tatsache, dass Android einen Modus bietet, dass die Tastatur (zumindest von Google) einen Inkognito-Modus unterstützt. Die App muss es aber explizit nutzen.

          Und auf Facebook hat jemand kommentiert, dass Banking-Apps aus diesem Grund teilweise mit eigener Tastatur daher kämen.

          Ich schreibe das mal als Sammelantwort – da viele Diskussionen hier sich in Einzelaspekte verbeißen, dabei aber schlicht die Intention des Artikels außer Acht lassen.

  4. Peter Seidel sagt:

    D.h. selbst wenn ich eine "datensparsame" Tastatur verwende – z.B. Hacker's Keyboard https://play.google.com/store/apps/details?hl=en&id=org.pocketworkstation.pckeyboard – können dritte Apps Daten abgreifen.

  5. 1ST1 sagt:

    "dass E-Mails an das RKI über Outlook-Server von Microsoft in den USA verarbeitet werden" – Woran wird das festgemacht? Weil das RKI Exchange im Rahmen von MS 365 aus der Cloud nutzt? Die Server für europäische Kunden stehen in Europa. Im Rahmen des Brexit ist MS übrigens momentan dabei, die Daten europäischer Kunden aus Groß-Britannien "wieder" nach Europa zu holen.

    • Daniel sagt:

      Ist doch mittlerweile egal, wo die Server stehen. Das Privacy Shield steht doch auch noch aktuell in Frage.

    • Freizeitadmin sagt:

      > Woran wird das festgemacht?

      Evtl. an der IP der entspr. Server im Mailheader?

    • Günter Born sagt:

      Hier hat Patrick geantwortet – ich stelle das mal so ein:

      die Angabe, dass das Unternehmen Microsoft in den USA sitzt, schließt nicht aus, dass E-Mails über einen Outlook-Server standortabhängig nicht auch in den USA verarbeitet werden können. Auch Datenschützer arbeiten sich am Thema Microsoft Office in Deutschland ja gerade ab.

      Nach dem Lesen des Kommentars zu deinem Artikel habe ich heute ergänzend noch folgenden Nachtrag bei mir veröffentlicht:

      Nachtrag vom 2021-03-21 zur Standortangabe USA:
      Die der Outlook-Server-Domain zugeordnete IP-Adresse wurde von der American Registry for Internet Numbers (ARIN) an die Microsoft Corporation, Redmond, USA vergeben. Der physikalische Serverstandort und die (funktionsabhängigen) Orte der Verarbeitung der E-Mails können de facto davon abweichen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.