Datenschutz in Corona-Apps ist in den letzten Wochen zu einem heißen Thema geworden. In Österreich und anderen europäischen Staaten strebt man Lösungen an, bei denen keine Nutzerdaten zentral gespeichert werden, Teilnehmer anonym bleiben, keine Standortabfrage erfolgt und die Installation freiwillig ist. Ein dazu passendes Framework wurde von Google und Apple gemeinsam entwickelt und vor einigen Tagen präsentiert.

In Katar geht man den gegensätzlichen Weg. Die dortige App "Ehteraz" setzt auf einem zentralisierten System auf, bei dem die Informationen der User auf einem Server hinterlegt werden. Hinzu kommt, dass die Verwendung praktisch verpflichtend ist. Ein schweres Datenleck hat nun gezeigt, wo die Schwächen dieses Ansatzes liegen.

Server spuckte Gesundheitsdaten aus

Aufgedeckt wurde die Lücke von der Menschenrechtsorganisation Amnesty International. Dort hat man festgestellt, dass der Server keine sichere Authentifizierung verlangt, um Daten zu liefern. Einzig die Übermittlung der staatlichen Identifikationsnummer reicht bereits aus. Und da diese nach einem vorgefertigten Schema erzeugt wird, war es Angreifern möglich, diese zu generieren und durchzuprobieren.

Erschwerend kam hinzu, dass auch kein Schutz gegen eine massenhafte Abfrage implementiert war, weswegen die Lücke die Abfrage für alle Nutzer einfach machte. Als Antwort auf existierende IDs spuckte die Datenbank den Krankheitsstand in Bezug auf SARS-CoV-2 (Bestätigte Infektion, Verdachtsfall, gesund), als auch gegebenenfalls den Ort der Selbstisolation oder Quarantäne.

Einen Tag nach Übermittlung des Sicherheitsproblems wurde sie Serverlücke behoben. Etwas später erfolgte auch eine Aktualisierung für die App selbst.

Hohe Strafen bei Nichtverwendung

Brisant ist dies zusätzlich, weil Katar seit letzter Woche seine Einwohner zur Installation von Ehteraz verpflichtet, was prompt von Datenschützern kritisiert wurde. Das Programm verlangt Zugriff auf den Standort via GPS sowie Dateien am Handy. Wer unterwegs ist, ohne die App installiert zu haben, muss mit Strafen rechnen. Diese können sich laut Al-Jazeera im Extremfall auf umgerechnet rund 50.000 Euro bzw. drei Jahre Haft belaufen. (gpi, 28.05.2020)