Der Weg aus der Corona-Pandemie wird wohl nur durch ein Zusammenspiel verschiedener Faktoren erreicht werden können. Einer dieser Faktoren ist sicherlich die Kontaktnachverfolgung.
Getreu dem Grundsatz: „Es gibt für alles eine App!“, haben mehrere Unternehmen in den letzten Monaten entsprechende Programme auf den Weg oder sogar schon auf den Markt gebracht. Die bekannteste dürfte die App „luca“ der culture4life GmbH, nicht zuletzt wegen ihres Fürsprechers Smudo, sein.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat kürzlich zur Kontaktnachverfolgung mittels App Stellung genommen.
Elektronische Kontaktnachverfolgung im Allgemeinen
Nach ihrer Ansicht bietet eine App erhebliche Vorteile gegenüber einer Kontaktnachverfolgung mittels Papierformularen. Diese, das hat die Vergangenheit gezeigt, öffnen Tür und Tor für Missbrauchsszenarien. Einige Beispiele hierzu haben wir in unserem Blog erwähnt. Weitere Vorteile einer App sind nach Ansicht der Datenschützer:
- Umsetzung einer automatisierten und fristgemäßen Datenlöschung
- abgesicherter Weg der Bereitstellung der Daten an das Gesundheitsamt (fern von Fax und Mail)
- unverzügliche Unterrichtung der Betroffenen nach Identifikation eines Infektionsrisikos
Die DSK präferiert ein System, bei dem die Daten so verschlüsselt sind, dass sie auch für den Betreiber des Kontaktnachverfolgungssystems nicht lesbar sind. Ferner sieht die DSK folgende Punkte als elementar an:
- klare Verteilung der datenschutzrechtlichen Verantwortung für die Verarbeitung der personenbezogenen Daten
- Transparenz der Datenverarbeitung
- effektive Gewährleistung der Betroffenenrechte
- kein Zwang zur Nutzung
- Einhaltung der strengen Zweckbindung der Datenverarbeitung
Hier sieht die DSK den Betreiber in der Verantwortung, der durch technische und organisatorische Maßnahmen die vorgenannten Punkte gewährleisten muss.
Die luca-App im Speziellen
Die DSK bescheinigt der culture4life GmbH (nach derzeitigem Kenntnisstand), dass die oben genannten Vorteile realisiert und bisher identifizierte Risiken teilweise behandelt wurden. Gleichwohl wird noch Anpassungsbedarf gesehen:
Gegenwärtig werden alle Daten zentral gespeichert. Das führt dazu, dass eine große Datenbank die Anwesenheit der NutzerInnen in Einrichtungen verschiedenster Art und ihre Teilnahme an Veranstaltungen unterschiedlichster Natur erfasst. So können beispielsweise auch die Teilnahme an Gottesdiensten oder der Besuch von Gesundheitseinrichtungen erfasst werden. In diesem Fall würde die Verarbeitung besonders sensibler Daten erfolgen. In der zentralen Datenspeicherung sieht die DSK die Gefahr, dass bei einer unbefugten Einsichtnahme eine schwere Beeinträchtigung der persönlichen Rechte und Freiheiten der NutzerInnen erfolgen kann. (Die DSK steht mit dem Betreiber im Dialog um die Möglichkeit einer dezentralen Speicherung zu erörtern).
Die zentral gespeicherten Daten sind verschlüsselt. Im Falle einer notwendigen Entschlüsselung der Daten muss der Veranstalter mit dem jeweiligen Gesundheitsamt zusammenwirken. Das Problem ist, dass alle Ämter die gleichen Schlüssel für die Entschlüsselung der Kontaktdaten haben. Die Verwaltung der Schlüssel erfolgt durch die culture4life GmbH, also dem Betreiber der App. Die DSK sieht hier die Gefahr, dass durch ein Ausspionieren oder durch Missbrauch dieser Schlüssel auf sämtliche zentral gespeicherten Daten zugegriffen werden kann. Auch ist der Veranstalter (z.B. das Restaurant oder das Krankenhaus) kaum in der Lage, zu überprüfen, ob eine Entschlüsselungsanforderung berechtigt ist. Ein mögliches Missbrauchsszenario könnte hier das Social Engineering sein (Social Engineering steht für zwischenmenschliche Beeinflussungen, um unberechtigten Zugang zu vertraulichen Informationen oder IT-Systemen zu erlangen).
Letztlich begrüßt die DSK die angekündigte Offenlegung des Quellcodes, damit dieser auf etwaige Fehler von unabhängigen Dritten überprüft werden kann.
Zudem wurde angekündigt, dass die DSK zeitnah eine eigenständige Orientierungshilfe für den Betrieb von Kontaktverfolgungssysteme mit allgemeinen Anforderungen für die digitale Kontaktnachverfolgung erarbeiten und veröffentlichen wird. In diesem Zusammenhang wurde der Gesetzgeber auf Landes- und Bundesebene aufgefordert, bundeseinheitliche gesetzliche Regelungen zur digitalen Kontaktnachverfolgung zu schaffen.
Die Stellungnahme der DSK kann hier abgerufen werden.
Anonymous
15. April 2021 @ 2:52
1) Forscher:innen der Universität EPFL in Lausanne ..kommen zu diesem Schluss…nach einer Analyse des Sicherheitskonzeptes von Luca,„Das System ist im Kern ein vertrauensbasiertes System“, sagt Carmela Troncoso von der EPFL.
Alle Sicherheitseigenschaften hingen davon ab, dass der zentrale Server von Luca und diejenigen, die darauf Zugriff haben, sich korrekt verhalten.
https://arxiv.org/abs/2103.11958
https://netzpolitik.org/2021/digitale-gaestelisten-das-zentrale-problem-von-luca/
2) Sicherheitslücke bei LucaSchlüsselanhänger mit Folgen
IT-Fachleute haben eine gravierende Sicherheitslücke bei Luca entdeckt. Mit dem System wollen viele Bundesländer ihre digitale Kontaktverfolgung regeln, doch Unbefugte konnten Bewegungsprofile der Nutzer:innen der Luca-Schlüsselanhänger erstellen. Der Chaos Computer Club fordert jetzt einen Einsatz-Stopp.
14.04.2021 um 11:20 Uhr – Chris Köver – in Datenschutz – 10 Ergänzungen
https://netzpolitik.org/2021/sicherheitsluecke-bei-luca-schluesselanhaenger-mit-folgen/
Anonymous
4. April 2021 @ 3:03
Das Gegfahren sind größer als der Nutzen
Wir haben S. 2 (Summary of Findings) von #DeepL grob übersetzen lassen und leicht nachbearbeitet:
# Zusammenfassung der Ergebnisse
Unsere Analyse des Luca Sicherheitskonzepts deckt die folgenden Probleme auf:
## Durchsickern von sensiblen Informationen zum Luca Backend Server.
In seinem normalen Betriebsmodus sammelt und verarbeitet der Luca Backend Server eine große Menge an sensiblen Informationen über Veranstaltungsorte und Personen. Konstruktionsbedingt kann der Luca Backend Server:
– Echtzeitinformationen über Veranstaltungsorte erfahren, z.B. wie viele Personen sich an einem Veranstaltungsort befinden, wann sie ankommen und wann sie gehen. Diese Informationen könnten u.a. für kommerzielle Zwecke oder die Überwachung von Gemeinschaften, die eng mit diesen Orten verbunden sind, z.B. aufgrund ihrer politischen oder religiösen Ausrichtung, weiterverwendet werden.
1/3
– erfahren, welche Veranstaltungsorte von Sars-CoV-2-positiven Benutzern besucht wurden. Diese Informationen könnten genutzt werden, um eine risikobasierte Rangliste von Veranstaltungsorten zu erstellen. Dies könnte zu einer sozialen Stigmatisierung von Veranstaltungsorten und den dazugehörigen Gemeinden führen.
– das Pseudonym von Nutzern erfahren, die eine positive Diagnose für Sars-CoV-2 melden, vergangene Ortsbesuche dieser Nutzer verknüpfen für den Zeitraum, in dem sie als ansteckend galten, und das Pseudonym von Nutzern erfahren, die einen Ort zur gleichen Zeit wie ein positiver Indexfall besucht haben. Diese Pseudonyme sind eindeutige, dauerhafte Identifikatoren von Benutzern und können potenziell mit der IP-Adresse oder Telefonnummer des Benutzers verknüpft werden, was zu einer Identifizierung der Benutzer führen kann.
2/3
Diese Informationen können dazu verwendet werden, restriktive Maßnahmen gegen Einzelpersonen zu ergreifen, ihre Bewegungs- und Vereinigungsfreiheit zu bedrohen, Benutzer zu zwingen, ihr Verhalten zu ändern, oder zur sozialen Stigmatisierung der Benutzer beizutragen.
– Verknüpfung von Besuchsdatensätzen derselben (Gruppe von) Benutzern auf der Grundlage von Metadaten mit hoher Wahrscheinlichkeit. Diese Informationen könnten für kommerzielle Interessen oder für die Überwachung von Einzelpersonen und Gemeinschaften wiederverwendet werden.
Für diese Rückschlüsse ist es nicht erforderlich, dass der Angreifer die betrieblichen Informationsflüsse des Systems aktiv verändert oder dessen Schutzmechanismen umgeht. Der Betreiber des Luca-Dienstes (oder eine beliebige Entität, die den Luca-Backend-Server kompromittiert, erzwingt oder vorschreibt) kann jeden dieser Schäden verursachen, ohne entdeckt zu werden.
3/4
Das Risiko dieser Schäden kann die Teilnahme von Nutzern und Veranstaltungsorten entmutigen und die Effektivität des Luca-Systems effektiv reduzieren.
## Hohes Missbrauchsrisiko aufgrund der Zentralisierung des Vertrauens.
Das Luca-System zentralisiert das Vertrauen in eine einzige mächtige Instanz, die Partei, die den Luca-Backend-Server betreibt. Wenn diese zentrale Instanz böswillig handelt, kompromittiert oder genötigt wird, könnte der Server vollen Zugriff auf die Kontaktdaten und den Standortverlauf jedes einzelnen Benutzers erhalten. Das aktuelle System bietet keine technische Absicherung gegen einen willkürlichen Zugriff auf diese Informationen im Falle eines Fehlverhaltens. Sein Sicherheitskonzept beruht ausschließlich auf prozeduralen Kontrollen und setzt das volle Vertrauen in den Betreiber des Luca-Dienstes voraus, die Protokolle getreu zu befolgen.
4/4
https://digitalcourage.social/@digitalcourage/105938931659957387
AlexB
9. April 2021 @ 14:58
@Anonymous: Ich kann in deinem Beitrag keine Abwägung der dargestellten Gefahren gegenüber dem Nutzen erkennen. Insofern ist der einleitende Satz „Das Gegfahren sind größer als der Nutzen“ zwar sehr plakativ, aber nicht wirklich zielführend.
Maja
14. April 2021 @ 6:02
Dann nehmen Orte, bei denen eine „Stigmatisierung“ droht, klassisches Papier zu Kontaktnachverfolgung. Anerkannt, fälschungssicher, multifunktional. Problem gelöst.