CCC deckt auf - Datenspende-App des RKI hat schwere Mängel

Begonnen von Sunlight, 15:52:43 Mo. 20.April 2020

⏪ vorheriges - nächstes ⏩

Sunlight

CCC deckt auf - Datenspende-App des RKI hat schwere Mängel


Zitat
CCC analysiert Corona-Datenspende des RKI

Der Chaos Computer Club (CCC) veröffentlichte heute die Analyse der im Namen des Robert-Koch-Institut (RKI) als "Corona Datenspende" verbreiteten App. Vollmundige Versprechungen über Sicherheit und Datenschutz bei geheimgehaltenen Quellcode hatten das Interesse der Hacker geweckt. Ihr Argwohn war berechtigt: Auch in einer Black-Box-Analyse ließen sich eine handvoll Probleme identifizieren. Der Hersteller wurde informiert, bestätigte die Funde und gelobt Besserung.

Seit Wochen wird in Europa eine lebhafte Diskussion über ,,Corona Apps" geführt. Für derartige Anwendungen hat der CCC kürzlich zehn Prüfsteine veröffentlicht. ,,Contact Tracing" soll Infektionsketten zurückverfolgbar und die Pandemie beherrschbar machen, so die Hoffnung.

In diese Erwartungshaltung hinein platzierte das RKI am 7. April eine App ganz anderer Natur – die ,,Corona-Datenspende". Über diese App leiten inzwischen über 400.000 Freiwillige Daten ihres Fitnesstrackers an das RKI. Das erklärte Ziel: Eine bessere Vorhersage von Infektionen und damit eine verbesserte Steuerung von Eindämmungsmaßnahmen gegen die SARS-CoV-2-Pandemie.

Auch wenn die zehn Prüfsteine des CCC nicht für diese Art von App formuliert wurden, beinhalten sie doch einige wichtige Prinzipien, die auch bei einer ,,Datenspende" berücksichtigt werden sollten. So wäre eine Offenlegung von Architektur und Quellcode der App die wohl wichtigste vertrauensbildende Maßnahme gewesen.

Doch auch ohne eine solche Offenlegung haben Sicherheitsforscher des CCC der ,,Datenspende" auf den Zahn gefühlt.

Insgesamt werden im Rahmen der Analyse sieben technische Aspekte bemängelt. Darüber hinaus bestehen Zweifel an der sauberen Umsetzung der DSGVO-Maßnahmen. ..................

10 Prüfsteine für die Beurteilung von ,,Contact Tracing"-Apps


BLACKBOX-SICHERHEITSBETRACHTUNGCORONA-DATENSPENDE-APPDES RKI


Das war keine große Überraschung, sondern mit "Ansage".

Onkel Tom

Ich habe es schon geahnt, das die Tracking-App nicht das ist, was Datenschutzrechtlich
dem "Datenspender" so versprochen wurde..

Hihi, nun die Einschätzungen des CCC dürften einem Bekannten aufhorchen lassen, dem
leicht die Corona-Übervorsichtigkeit ergriffen hatte und ich ihn von der Nutzung von Trackingapps
wegen Sicherheitsbedenke abgeraten habe.

Ich konnte mir beim besten Willen nicht vorstellen, das dazu ein Server, auf dem alle Daten
zusammenfließen sich wie eine Blackbox verhält..
Wie will sonst das RKI den Datenhaufen auswerten und auf einzelne Datenspender zuordnen
können ?

Zugeordnete Daten wie Herzfrequenz, Körpertemperatur eines Datenspender sagt mehr aus,
als wenn nur eins vom beiden als Grundlage eines Datenspender berücksichtigt wird..

Im Interesse einer möglichst genauen Prognosenerstellung schon dubios Datenschutz und
IT-Sicherheit zu versprechen..

Jojo, dieses Geschummel aber auch.. Besser nix mit App und Taschenwanzen zu Hause
lassen.. Könnte ja sein, das Mensch nach x Tagen Stubenhockerei doch mal raus ins grüne
muss und von einem besonders fleißigen Cop z.B. in Bayern überprüft wird und mit
Geodaten seiner Taschenwanze dazu überführt, das er sich nicht auf der Straße bewegt,
um "nur das notwendigste zu erledigen".. Da nutzt das mitführen eine Stoff-Einkaufstasche
wenig, um den Cop, der die Taschenwanze mal ebend zur Einsicht abgenommen hat,
überzeugen zu wollen das man noch einkaufen gehen möchte  ::)

Soo, jetzt erstmal CCC rein ziehen.. Bestimmt aufschlussreich  :)

Lass Dich nicht verhartzen !

Sunlight

Mich haben die Mängel nicht wirklich überrascht. Die Begehrlichkeiten werden immer größer, die fehlerhaften Programmierungen auch. Deutschland bewegt
IT mäßig noch im Mittelalter. Es gibt eine unermeßliche, teils ungesicherte Datenflut durch fehlerhafte Programmierungen. Es gab vor Zeiten mal einen
Artikel aus dem IT-Sicherheitsbereich:

ZitatKommentar: Informatiker, übernehmt endlich Verantwortung!

Wir werden überwacht, vermessen, durchleuchtet, ausgespäht und manipuliert. Aber wer steckt eigentlich dahinter? Geheimdienste? Der Staat? Datengetriebene Konzerne wie Google und Facebook? Zweifellos – aber wer hat ihnen zu dieser »Macht« verholfen? Es waren und sind die Informatiker. Also all jene, die Programme bzw. Algorithmen entwerfen und schreiben. Menschen wie du und ich, die Geld verdienen müssen und natürlich auch ein Gewissen haben. Allerdings leben viele IT-Spezialisten in ihrer eigenen (IT-)Welt und nehmen die gesellschaftlichen Folgen ihres Handelns nur dumpf wahr oder kümmern sich schlichtweg zu wenig darum.

Beispiele für ein mangelndes digitales Gewissen gibt es zuhauf: Durch eine Software-Manipulation führt VW Millionen Dieselfahrer weltweit hinters Licht. Autonome Waffensysteme entscheiden vermutlich bald über Leben und Tod. Algorithmen bei Facebook bestimmen, welche Inhalte jemand sehen darf. Das Social-Scoring-System in China entscheidet über die soziale Akzeptanz, die sich Mitbürger untereinander entgegenbringen. Auslöser solcher fragwürdigen Entwicklungen sind oftmals nicht die Informatiker selbst, aber sie tragen dazu bei, diese unethischen Visionen in Realität zu verwandeln – ungeachtet möglicher (zivilgesellschaftlicher) Auswirkungen. ..........

Solange "verantwortlose Informatiker" jeder Begehrlichkeit nachgeben, Alles ohne Kritik programmieren, was Staat und Konzerne von ihnen verlangen, sind die Opfer die Benutzer. Da hilft nur digitale Selbstverteidigung durch den Benutzer selbst. Durch Absicherung der Privatsphäre es dem Staat und den Konzernen so schwer wie möglich machen an die Daten zu kommen.

Übrigens gab es einen herrlichen Kommentar, der hätte auch von mir sein können, zu schön:

Zitat25. Juni 2019 um 11:12 Uhr

So lange nicht die Menschheit, vor Allem die Informatiker, aber auch die Industrie- und Wirtschaftsbosse, die Politiker nicht zu vergessen nicht endlich innehalten und Ihren gesunden Menschenverstand wieder einschalten, und begreifen,das nicht alles Machbare auch gemacht werden darf, wird die Massenversklavung der Menschen zu IT-Zombies und ferngesteuerten KI-Marionetten auch weitergehen. Was mit dem gesunden Menschenverstand der User los ist, sieht man ja, Die klatschen dazu höchstens noch Beifall und merken Nicht, Wie Sie immer mehr verdummt (Michael Spitzer) und versklavt werden. Und der allerdümmste und hirnloseste Spruch aller Zeiten, wenn man mal einen User darauf anspricht, ist: Ich hab doch Nichts zu verbergen....


Was die APP angeht, nicht runterladen, auf keinen Fall!


Tiefrot

Zuerst mal, das stand doch zu erwarten.  >:( Danke an den CCC.

Aus der Telegram-Info des BfG:

ZitatDigitale Stärkung und Unterstützung des ÖGD

5️⃣ Digitalisierung des Meldewegs der Mehrzahl der SARS-COV-2-Erregernachweise 💻
6️⃣ Förderprogramm zur weiteren technischen digitalen Auf- und Ausrüstung des ÖGD 💰
7️⃣ Nachverfolgung von Kontaktpersonen per App 📱
8️⃣ ,,Quarantäne-Tagebuch" als Plattform für die Gesundheitsämter 📓
9️⃣ Datenspende-App des RKI zur freiwilligen Übermittlung von verschiedenen Daten ⌚️
🔟 Digitaler Symptomchecker zur Ableitung von spezifischen Handlungsempfehlungen 📲

Wenn ich das richtig verstehe, soll die / eine Hundemarken-App verpflichtend werden.
Leckt mich doch.  >:(
Denke dran: Arbeiten gehen ist ein Deal !
Seht in den Lohnspiegel, und geht nicht drunter !

Wie bekommt man Milllionen von Deutschen zum Protest auf die Straße ?
Verbietet die BILD und schaltet Facebook ab !

Sunlight

Zitat von: Tiefrot am 13:58:28 Di. 21.April 2020
Wenn ich das richtig verstehe, soll die Hundemarken-App verpflichtend werden.
Leckt mich doch.  >:(

Dann bekäme das Bundesverfassungsgericht Arbeit, weil rechtswidrig. Würde der Regierung um die Ohren fliegen und das weiß sie auch ganz genau, hoffentlich.

Tiefrot

Seh ich wie du. Aber die Pi-Pa-Politik glaubt ja immer noch,
es bringt was, Terabyte pro Sekunde an
Standortdaten wo abzuspeichern. Wozu fragt keiner.  ::)







Beitrag #3700
Denke dran: Arbeiten gehen ist ein Deal !
Seht in den Lohnspiegel, und geht nicht drunter !

Wie bekommt man Milllionen von Deutschen zum Protest auf die Straße ?
Verbietet die BILD und schaltet Facebook ab !

Onkel Tom

Meine Eigenverantwortung reicht mir schon, uninfiziert der Corona-Hysterie entkommen zu wollen.

Mir ein Schnüffelarmband wie ne elektronische Handfessel an zu legen käme mir nicht im Sinn.. Nada !
Kaum zu glauben, wie man sich freiwillig in Orwelts Welten begibt.. Muss ich nicht haben  ;)
Lass Dich nicht verhartzen !

Tiefrot

Denke dran: Arbeiten gehen ist ein Deal !
Seht in den Lohnspiegel, und geht nicht drunter !

Wie bekommt man Milllionen von Deutschen zum Protest auf die Straße ?
Verbietet die BILD und schaltet Facebook ab !

Troll

Die besten Programmierer waren da scheinbar am Werk, vielleicht war es aber auch das vielversprechendste Werbeprospektchen, oder der, die, das in der Politik Best vernetzteste, ein hippes Startup mit Dutt und Bart, die Möglichkeiten des Neulandes und PR sind schier unbegrenzt.
Politik ist der Spielraum, den die Wirtschaft ihr lässt.
Dieter Hildebrandt
Es ist kein Zeichen geistiger Gesundheit, gut angepasst an eine kranke Gesellschaft zu sein.
Jiddu Krishnamurti

Tiefrot

Selbst die besten Progger kriegen auf unausgereiften Systemen nichts vernünftiges hin.  ;)
Denke dran: Arbeiten gehen ist ein Deal !
Seht in den Lohnspiegel, und geht nicht drunter !

Wie bekommt man Milllionen von Deutschen zum Protest auf die Straße ?
Verbietet die BILD und schaltet Facebook ab !

Troll

Nee, ich bin mir sicher daß ganz speziell spezialisierte Programmierer ganz zeitgemäß auch in Scheiße schwimmen können.
Politik ist der Spielraum, den die Wirtschaft ihr lässt.
Dieter Hildebrandt
Es ist kein Zeichen geistiger Gesundheit, gut angepasst an eine kranke Gesellschaft zu sein.
Jiddu Krishnamurti

Onkel Tom

Entweder gibt es richtig Geld dafür, damit sie pöse profitable Progs. schreiben oder schwimmen für wenig Geld in Scheiße.

Frage anbei ist immer wieder, wer der Auftraggeber ist..

Qualitätsmerkmale sind z.B. in der PC-Vierenwelt deutlich sichtbar, ob Profis oder Chrash-Kiddis am Werk waren.
Um die Jahrtausendwende entwickelte die die PC-Virenwelt weiter vom Ziel der Systemzerstörung hin zu heimlichen
Beschnüffelung und Datenklau..

Gab ausgeschlafene Viren, die das Virenschutzprogramm wie Dr.Salomon oder F-Prot funktionslos machten und dann
erst wurde das Betriebsystem manipulliert beziehungsweise gekarpert..

Werde den Besuch bei Dr.Salomon nie vergessen, wie ich denen den Beweis lieferte, das ein Bootvirus deren
Virenschutzprogramm lahm legte.. Der Spezi ging in einem anderen Raum, wo wohl die Entwicklung arbeitete und ich
hörte nach ca. 3 Minuten ein lautes frustriertes "So eine Scheiße !".
Tollev, der als PC-Virenexperte bekannt war fragte mich dann, wo ich den Virus her habe und wie ich den überhaubt
auf Diskette isolieren konnte.. War schon spannend..

Durch meine IT-Umschulung wurde ich zwangsweise damit konfrontiert, mich mit Feinheiten von PC-Viren zu befassen,
weil viel unter den IT-Mitschülern getauscht und mein Rechner zu Hause "selbständig" wurde..
Übel, wie lange ich daran Hirnschmalz und Zeit rein stecken musste. Um meine Systeme wieder sauber zu bekommen.

Nach 3 harten Wochen hatte ich es endlich geschafft, den Parity-Boot-B-Virus die Duplizierungsfähigkeit zu entziehen..
Aber ganz so frustrierend war es auch wieder nicht, da ich dadurch die boshaften Finger des Virenschöpfer kennenlernen
konnte.. Strategisch ein ausgeschlafener Hund und hätte mit ihm gern mal ein Kaffee darüber geschlabbert..

Da fällt mir gerade ein, das Viren und PC-Viren in der Funktion doch sehr ähnlich sind.. Erst unbemerkt einschleichen, dann
sich ein sicheres Nest bereiten und tarnen, dann die Umgebung angreifen und PC die Puppen tanzen zu lassen..
Besonders in der Windoof-Welt immer wieder beängstinedes Thema und Geldquelle für PC-Magaziene wie z.B PC-Welt..

Hatte damals auch ein PC im Müll gefunden, der beim Hochfahren meldete, das die Festplatte kaputt sei.. Alles andere hatte
sich schon mal gelohnt mit nach hause zu schleppen, doch die Festplatte ließ mich nicht in Ruhe, da ich das gute teure Stück
15 GB (damals so an die 400 DM teuer) nicht verschrotten wollte.. Nun gut, mal diese Platte unter Slave-Bedingungen
verbaut und schon lebte sie wieder, jedoch mit dem F-Prot-Virus verseucht, der dem System vorgaukelte das HD platt sei..

Wenn der Vorbesitzer das gewusst hätte ?.. Die aus dem Müll gefischte Kiste war locker 1000 DM wert und ansonsten ok. :)

Schön, das ich schon Vorkenntnisse hatte und konnte die HD wieder zum Werkszustand zurück versetzen..(Wie neu..)
Heute kann ich mit dem Wissen kaum noch Geld verdienen (Dattenrettung verseuchter Rechner), da Virenschutzsoft heute
zuverlässiger arbeiten und sogar Viren elliminieren können, was früher nach einem vollendetem Virenanschiss weniger möglich war..

Ob in nächster Zeit ein PC-Virus im Umlauf kommt, dessen Schöpfer ihn auch noch Corona nennt ? Durchaus möglich..  ::)

Nu aber zurück zum Thema.. Das RKI möchte ja nur freiwillige Datenspender_innen haben.
Ich hoffe das "Zwangsoptionen" die den Verfolgungbehörden dienlich sind, sich in einer späteren Aktuallisierungsprozedur nicht
hinzu gesellen.. Ich vertraue da auch dem CCC, das die das Thema nicht aus den Augen lassen.. Finde ich gut.
Lass Dich nicht verhartzen !

Tiefrot

@Onkel Tom, bei Heise glaub ich stand das, die Tracking Apps brauchen eine extra Schnittstelle,
um von sich aus GPS und Bluetooth aktivieren und drauf zugreifen zu können. Soll ab Andoid 6 mit einem Update
eingespielt werden. Hihi, mein Wischbrett ist für den Scheiß schon zu alt...  ;D
Denke dran: Arbeiten gehen ist ein Deal !
Seht in den Lohnspiegel, und geht nicht drunter !

Wie bekommt man Milllionen von Deutschen zum Protest auf die Straße ?
Verbietet die BILD und schaltet Facebook ab !

Onkel Tom

Hihi.. Meine Taschenwanze ist auch zu alt.. Weiter sind gerootete Taschenwanzen unbeliebt,
da dem Nutzer nichts verborgen bleibt, wer oder was sich ein Passierschein ins Innnere der
Taschenwanze ergattern will.. Zum G20 in HH dachte die HVV auch daran "behilflich" zu sein.
Dank cynagon wurde klar, das Kamera und Mikro sowie Adressbuch und Fotogallerie auch
freigeschaltet werden wollte.. (Achtung ! war nur bei G20-Zeit so..)

Viele G20-Gegner_innen wurden nur deswegen ermittelt, weil sie ihre Taschenwanze nicht
zu hause lassen wollten.. Deine Taschenwanze, dein Freund, Helfer und dein Verräter..  ;)

Naja, wurde doof angemacht a la "Aluhutträger", wie ich Kaffeetüten verteilte um zu garantieren,
das die Taschenwanze weder geortet, noch das System der Fernüberwachung eingeschaltet
werden kann.. Jo, der G20 war diesbezüglich sehr lehrreich, kam aber alles erst später heraus..

Von Bluetoth halte ich nix, zumal dessen Funkreichweite mehr als 2 Meter ausmachen kann.
Von den Hackfleichmöglichkeiten mal ganz abgesehen..

Jaja, geht ja ab wie beim Teufel, der nicht genug Daten sammeln kann..  ::)

Dumm gelaufen mit "Ich habe ja nichts zu verbergen" zu leben..
Lass Dich nicht verhartzen !

  • Chefduzen Spendenbutton