Experten stellen "Stopp Corona"-App in Sachen Datenschutz ein insgesamt recht gutes Zeugnis aus. Foto: DER STANDARD/Pichler

"Stopp Corona", die App des Österreichischen Roten Kreuzes und des Dienstleisters Accenture, hat in den letzten Wochen für einige Aufmerksamkeit gesorgt. Kritiker witterten in dem Programm, das bei der Maßnahmensetzung gegen die Sars-CoV-2-Pandemie helfen soll, einen Angriff auf die Privatsphäre, speziell nachdem Nationalratspräsident Wolfgang Sobotka (ÖVP) eine verpflichtende Verwendung ins Spiel gebracht hatte, die mittlerweile aber vom Tisch ist. Scharfe Kritik war auch von der FPÖ gekommen, die die Datenschutzbehörde angerufen hat.

In naher Zukunft soll der Quellcode der App für die Öffentlichkeit verfügbar werden. Vorab legte das Rote Kreuz diesen aber schon drei Organisationen zur Analyse vor. SBA Research, Noyb und Epicenter Works haben am Mittwoch nun das Ergebnis ihrer Auswertung (PDF) präsentiert.

Schrems: "Lasse die App installiert"

Sie stellen "Stopp Corona" insgesamt ein gutes Attest aus. "Ich lasse die App weiter auf meinem Handy installiert", sagt dazu Jurist Max Schrems (Noyb). Die App sei damals als eine der ersten App-Initiativen "State of the Art" gewesen und mit viel Bedacht auf Datenschutz umgesetzt worden. Dennoch fand man insgesamt 25 Punkte, zu denen man Empfehlungen abgab. Einem Großteil davon wurde mit einem neuen Update bereits entsprochen. Weitere Bereinigungen sollen im Laufe der kommenden Wochen folgen.

Die Kommunikation der App erfolgt verschlüsselt auf Basis öffentlicher Schlüssel, die die App auf dem Handy erzeugt und auf Google-Servern hinterlegt, Tokens, die zwischen Geräten ausgetauscht werden, um diese Schlüssel anzusteuern, und privaten Schlüsseln, die ebenfalls am Smartphone erstellt werden und ausschließlich dort verbleiben.

"Stopp Corona" stellt sicher, dass Nutzer zwar darüber informiert werden, wenn sie Kontakt mit einer Person hatten, die eine Infektion gemeldet hat, gibt aber nicht preis, um welchen Kontakt es sich dabei gehandelt hat. Seit neuestem nutzt man auch ein TAN-System, wenn eine mögliche oder festgestellte Infektion gemeldet wird. Damit wollen die Entwickler absichtlichen Falschmeldungen vorbeugen. Hier hätten die Experten lieber ein Token im Einsatz gesehen, da somit keine Telefonnummer übermittelt werden müsste. In Österreich müssen auch Prepaid-SIMs mittlerweile per Ausweis registriert werden. Diese Identifikationsdaten liegen allerdings bei den jeweiligen Providern.

Problematische Funktion entfernt

Kritik übte man an einer Statistikfunktion, die Rückschlüsse auf die Verwendungshäufigkeit der App liefern soll. Dieses liefere nicht nur bei sogenannten Handshakes, die Nutzer der App via Bluetooth automatisch untereinander ausführen, sondern auch wenn ein User eine Nachricht entschlüsselt. Das könnte eine Möglichkeit für die Deanonymisierung von Nutzern schaffen. Mit dem Update wurde dieses Feature entfernt.

Ein weiteres Problem ist, dass der öffentliche Schlüssel eines Nutzers zwar permanent ausgesandt ist, was für die Funktionalität unumgänglich ist, dieser sich aber nie ändert. Das könnte es einem Angreifer ermöglichen, mithilfe von Tracking-Equipment, Beobachtung oder dem Einsatz von Gesichtserkennung Nutzer zu identifizieren. Dem könne man begegnen, indem der öffentliche Schlüssel regelmäßig geändert wird. Das soll laut dem Roten Kreuz auch implementiert werden – und zwar voraussichtlich Ende nächster Woche.

Wechsel auf DP-3T geplant

Ebenfalls angedacht ist, die App weiter zu dezentralisieren und US-Unternehmen dabei komplett aus dem Spiel zu nehmen. Dazu nötig ist der Wechsel auf eine neue Architektur, der in etwa vier Wochen erfolgen soll. Im Zuge dessen soll dann auch die Nutzung von Peer2Peer-Kit entfallen. Der Dienst, dessen Server in der Schweiz stehen, kommt im Moment noch zum Austausch der öffentlichen Schlüssel zum Einsatz. Da dies dort aber unverschlüsselt geschieht, könnte sich hier ein interessantes Ziel für Angreifer ergeben.

Das Rote Kreuz will auf DP-3T, das sich nach Ansicht der Experten ohnehin als "Goldstandard" für die Corona-Trackingapps herauskristallisiert, sowie die von Google und Apple in Arbeit befindliche Lösung umsteigen, was den Austausch der Keys direkt zwischen den Smartphones erlauben soll.

Nicht geäußert haben sich Noyb, SBA und Epicenter Works zu sicherheitstechnischen Belangen, was etwa die Server des Roten Kreuzes betrifft. Hierzu konnte man zwar Entdeckungen machen, jedoch hat Accenture 15 Tage Zeit erhalten, die Probleme zu beheben, ehe man sie im Rahmen der in der IT-Sicherheitsbranche üblichen "Responsible Disclosure" öffentlich macht.

Warten auf allgemeine Quellcode-Freigabe

Weiters ist man der Ansicht, dass kein Weg daran vorbeiführe, dass der Quellcode der App – wie vom Roten Kreuz angekündigt – der Öffentlichkeit bereitgestellt wird. Das ermöglicht es jedem Interessierten, Einsicht zu nehmen und auch zu überprüfen, ob die abgegebenen Versprechen eingehalten werden. Aufgrund des relativ kurzen Zeitraums, in dem die Analyse durch SBA, Noyb und Epicenter Works durchgeführt wurde, sei diese auch nicht als in allen Bereichen vollständig anzusehen.

In rechtlicher Hinsicht stellen sich bezüglich der App selbst nur wenige Fragen, zumindest solange die Verwendung freiwillig erfolgt. Interessanter ist in dieser Hinsicht laut Schrems eher, wie die Daten, die die App liefert, weiter verwendet werden. Das sei allerdings auf politischer Ebene zu klären.

Beim Roten Kreuz zeigte man sich in einer ersten Reaktion erfreut über das Attest zu "Stopp Corona". "Wir sind den Datenschützern für die kritische und konstruktive Arbeit sehr dankbar", so Bundesrettungskommandant Gerry Foitik. "Dass wir nach einer tiefgehenden technischen Analyse ein gutes Zeugnis erhalten, stärkt das Vertrauen der Menschen – und das brauchen wir, um Corona zu stoppen und unsere gewohnten Freiheiten möglichst bald wieder zu leben. Dabei soll uns die App helfen." (gpi, 22.4.2020)