Dienstag, 14. Juli 2020
Navigation öffnen

Medizin

14. April 2020 Datenspende-App: Privatsphäre und Sicherheit nicht gewährleistet

Zwar hält die von der Bundesregierung und dem Robert-Koch-Institut (RKI) angekündigte „Corona-App“ ihr Versprechen, die dadurch erhobenen Daten in Deutschland zu belassen; dennoch kann nicht von einer optimalen Datenschutzstrategie gesprochen werden, da bei der Erstnutzung pseudonymisiert statt anonymisiert wird. Durch die Closed Source Entwicklung muss bei jedem Update ein erneuter Sicherheitstest stattfinden. Bedenklich ist zudem, dass der ausführende App-Entwickler mit medizinischen Daten handelt.
Anzeige:
Basistext
Im Vorfeld der Veröffentlichung hat das RKI eine App zur „Corona-Datenspende“ in Verbindung mit Fitness-Trackern auf den Markt gebracht. Der App-Security Anbieter mediaTest digital hat die Android- und iOS-Versionen der App geprüft: Die Verschlüsselungsmechanismen sind sauber integriert und es werden keine sensiblen Daten unverschlüsselt und außerhalb von Deutschland übertragen. Der „Man-in-the-Middle“ Angriff war dem Testlabor nur mit erheblichem Aufwand möglich, da seitens der Programmierer mit Certificate Pinning und TLS1.3-Verschlüsselung für alle wichtigen Verbindungen der richtige Ansatz gewählt wurde.

Pseudonymisierung unzureichend

Zum Schutz der Daten wird beim ersten Start der App ein Pseudonym bestehend aus User-ID und Postleitzahl generiert, das für den Nutzer sichtbar ist. Wie aus diversen anderen Fällen bekannt ist, können solche Pseudonyme recht einfach wieder realen Personen zugeordnet werden. Daher wäre an dieser Stelle eine Anonymisierung aus Datenschutzgesichtspunkten wünschenswert.

Datenpannen durch Closed Source nicht auszuschließen

Darüber hinaus betont mediaTest digital, dass eine App, die mit solch sensiblen und vertrauenswürdigen Daten hantiert, Open Source entwickelt werden sollte, wie es diverse Apps bereits tun (z.B. Firefox oder Signal). Die Closed Source Entwicklung führt dazu, dass mit jedem Update der App ein erneuter Sicherheitstest stattfinden muss, um das Vertrauen aufrecht zu erhalten und Datenpannen auszuschließen. Hierzu empfiehlt mediaTest digital, die kürzlich vom Chaos Computer Club (CCC) in Bezug auf die Corona-Pandemie bekanntgegeben 10 Prüfsteine zur Beurteilung von „Contact Tracing“-Apps (https://www.ccc.de/de/updates/2020/contact-tracing-requirements) einzuhalten, was bei einer Closed Source App wie der „Corona-Datenspende“ nicht möglich ist.

Personenbestimmung ohne Wissen der Bürger

In der aktuellen Version werden die Gesundheitsdaten aus den Fitness-Trackern nicht in der App verarbeitet. Dies könnte sich jedoch in zukünftigen Versionen ggfs. ohne Wissen der Nutzer ändern, was ebenfalls das notwendige erneute Testen der App bei jedem Update unterstreicht. „Da die App nicht Open-Source ist und jedes Update das Verhalten der Applikation vollumfänglich ändern kann,  ist dieses Ergebnis nur als Momentaufnahme zu verstehen und kann nicht als generelle und immer gültige Aussage zum Sicherheitsniveau der App verstanden werden. Es ist denkbar, dass durch zukünftige Änderungen der App die ohnehin diskussionswürdige Pseudonymisierung aufgeweicht wird und zusätzliche eindeutige Geräte-Identifier zur genaueren Personenbestimmung ohne Wissen der Bürger mit übertragen werden.“ betont Wulf Bolte, CTO bei mediaTest digital.

Wahl des Herstellers fragwürdig

Dem Nutzer sollte darüber hinaus zumindest bewusst sein, dass die für die App verantwortliche Entwicklerfirma ein Berliner Startup namens „mHealth Pioneers GmbH“ ist, das sich mit seinem Produkt „Thrive“ das Verwerten von Medizin- und Gesundheitsdaten auf die Fahne geschrieben hat. „Hieraus wird deutlich, dass mit den generierten Daten durchaus auf anderen Wegen Geld verdient werden kann. Es ist aus unserer Sicht zumindest fragwürdig, einen Datenverwerter mit einer hochsensiblen Datenerfassungs-App dieser Art zu beauftragen. Da es sich um eine Datenspende handelt, ist im Falle des Verkaufs der Firma unklar, was mit den erhobenen Daten passiert. Sinnvoller und transparenter für den Bürger wäre eine echte Anonymisierung der erfassten Daten und die Veröffentlichung mittels OpenData (https://www.bpb.de/gesellschaft/digitales/opendata/)“ gibt Bolte zu Bedenken. Des Weiteren ist anzumerken, dass die Analyse von mediaTest digital sich auf das Datensendungsverhalten der App beschränkt, so dass keine Rückschlüsse auf die Sicherheit und Lokalisation der involvierten Server seitens der Fitness-Tracker wie Fitbit & Co gezogen werden können.

Quelle: Appvisory


Anzeige:

Das könnte Sie auch interessieren

Risikogruppe schützen: Digitale Weltdiabetestag-Patientenveranstaltung 2020

Risikogruppe schützen: Digitale Weltdiabetestag-Patientenveranstaltung 2020
Dmitry Lobanov / Fotolia.com

Seit 2009 richtet die gemeinnützige Organisation diabetesDE – Deutsche Diabetes-Hilfe unter der Schirmherrschaft des Bundesgesundheitsministeriums die Zentrale Patientenveranstaltung zum Weltdiabetestag am 14. November aus. Im letzten Jahr war das mit dem Kirchheim-Verlag neu erarbeitete Konzept des „Weltdiabetes-Erlebnistag“ nach dem Motto: „Raus aus dem Konferenzsaal, rein in die Stadt“ mit über 7000 Teilnehmenden im Berliner Sony Center besonders erfolgreich. Aufgrund der Corona-Krise haben sich die Veranstalter vorausblickend schon jetzt...

Was Eltern über Zöliakie wissen sollten

Was Eltern über Zöliakie wissen sollten
© J.Mühlbauer exclus. / fotolia.com

„Zöliakie?? Keine Angst!“, heißt es auf einem Informations-Portal, das seit Kurzem online kostenlos zur Verfügung steht. Der von der Stiftung Kindergesundheit gemeinsam mit dem Dr. von Haunerschen Kinderspital der LMU München erarbeitete Online-Kurs www.zoeliakie-verstehen.de bildet den maßgeblichen Teil des EU-Projekts Focus IN CD (Fokus auf Zöliakie). Das Lernprogramm soll Betroffenen aktuelles und umfassendes Wissen zu Zöliakie bieten und medizinisches „Fachchinesich“ anschaulich erklären. Ein weiterer Kurs für...

Häufiger Sauna-Besuch senkt Schlaganfallrisiko

Häufiger Sauna-Besuch senkt Schlaganfallrisiko
© BillionPhotos.com / fotolia.com

Gute Nachrichten für alle, die das ganze Jahr über in die Sauna gehen: Wer mehrmals wöchentlich sauniert, kann das Schlaganfallrisiko um bis zu 61 Prozent senken. Zu diesem Ergebnis kommen ForscherInnen der Medizin Uni Innsbruck und der Universität Ostfinnland in einer gemeinsamen Studie, die das Sauna-Verhalten von über 1.600 Männern und Frauen unter die Lupe genommen hat. Das renommierte Fachjournal Neurology berichtet.

Vorsorgevollmacht: Auch für Jüngere relevant

Vorsorgevollmacht: Auch für Jüngere relevant
©Maridav - stock.adobe.com

„Im Moment mache ich mir große Sorgen. Aus den Medien habe ich erfahren, dass ein schwerer Verlauf der Covid-19-Erkrankung auch jüngere Menschen ohne Vorerkrankungen treffen kann. Schutzmaßnahmen wie regelmäßiges Händewaschenund Abstandhalten setze ich alle um. Aber wie regele ich meine Angelegenheiten, falls ich doch erkranke und das so schwer, dass ich meinen Willen nicht mehr äußern kann?“ Martin S., Hannover

Pilotprojekt: Stuhlkarten-Screening mit einfacher Farbkarte

Pilotprojekt: Stuhlkarten-Screening mit einfacher Farbkarte
© jolopes / Fotolia.com

Genial einfach: Anfang Dezember 2016 wurden 100.000 so genannte Stuhlkarten zur Früherkennung der Gallengangatresie an alle stationären niedersächsischen Geburtskliniken verschickt und dort von Kinderärzten, Gynäkologen und Hebammen in das „Gelbe Heft“ eingelegt. „Dieses Projekt ist ein wunderbares Beispiel dafür, wie mit einfachen Mitteln und ohne großen technischen Aufwand ein maximaler Erfolg erzielt werden kann. Mit übersichtlich gestalteten Karten wird es Eltern leicht gemacht, sich über die Gesundheit ihres neugeborenen...

Sie können folgenden Inhalt einem Kollegen empfehlen:

"Datenspende-App: Privatsphäre und Sicherheit nicht gewährleistet"

Bitte tragen Sie auch die Absenderdaten vollständig ein, damit Sie der Empfänger erkennen kann.

Die mit (*) gekennzeichneten Angaben müssen eingetragen werden!

Die Verwendung Ihrer Daten für den Newsletter können Sie jederzeit mit Wirkung für die Zukunft gegenüber der rsmedia GmbH widersprechen ohne dass Kosten entstehen. Nutzen Sie hierfür etwaige Abmeldelinks im Newsletter oder schreiben Sie eine E-Mail an: info[at]rsmedia-verlag.de.


EILMELDUNGEN zu SARS-CoV-2 und COVID-19
  • Nächtliche Ausgangssperre in Südafrika – Außerdem Maskenpflicht und Alkoholverbot (dpa, 12.07.2020).
  • Nächtliche Ausgangssperre in Südafrika – Außerdem Maskenpflicht und Alkoholverbot (dpa, 12.07.2020).

Cookies

Diese Webseite benutzt Cookies, um den Nutzern das beste Webseiten-Erlebnis zu ermöglichen. Ausserdem werden teilweise auch Cookies von Diensten Dritter gesetzt. Weitere Informationen erhalten Sie in den Allgemeine Geschäftsbedingungen und in den Datenschutzrichtlinien.

Verstanden