Interview mit IT-Experte Heiko Frenzel

Klartext zu Uniqa-App

Aufregung gibt es um die UNIQA-App seitdem sie von der Regierung vermarktet wird. ZackZack hat den anerkannten IT-Experten Heiko Frenzel zum Interview gegeben. Er hatte die UNIQA-App zuvor am Seziertisch.

ZackZack: Wenn ich die App nutze, hat dann jemand Zugriff auf meine Daten?

Heiko Frenzel: Ja. Grundsätzlich hat jeder mit Zugriff auf den jeweiligen Server – mit dem die App kommuniziert – auch Zugriff auf die dort gespeicherten Daten. Selbst wenn die Daten verschlüsselt übertragen und auch verschlüsselt abgespeichert werden, ist dies niemals eine Garantie dafür, dass diese nicht auch wieder entschlüsselt und verarbeitet werden können. Selbst die verschlüsselten Daten könnten theoretisch zweckentfremdet werden.

ZZ: Welche Daten über mich landen bei Google und Microsoft?

HF: Da das ÖRK für die “Stopp-Corona-App” auf Dienste von Google und Microsoft zurückgreift, um dort Schnittstellen zum Datenaustausch bereitstellen zu können, werden auch sämtliche von der App übertragenen Daten (je nach Verwendung) an diese Dienste geliefert. Was genau dann dort exakt gespeichert wird, in welchem Umfang und wie diese Daten dort verarbeitet werden, wissen nur die Betreiber und Diensteanbieter genau. Da bereits beim Start der App eine Verbindung zu den Servern von Microsoft und Google hergestellt und Geräteinformationen sowie IP-Adresse des Nutzers übertragen werden, werden bereits zu diesem Zeitpunkt Informationen übermittelt, die von derartigen Unternehmen theoretisch zweckentfremdet werden könnten.

ZZ: Manche sagen, die Microsoft Azure Cloud wäre völlig unbedenklich. Was ist diese Cloud genau und ist sie wirklich unbedenklich?

HF: Grundsätzlich wüsste ich nicht, was an einer Cloud – egal ob bei Microsoft oder auch bei anderen Anbietern – unbedenklich wäre. Vereinfacht gesagt, ist es im Grunde auch nur ein Server, der über das Internet erreichbar ist und mit dem Daten ausgetauscht werden. Und dieser ist prinzipiell genauso anfällig wie jeder andere Webserver auch. In den vergangenen Jahren gab es einige Meldungen darüber, dass unzählige Cloud-Dienste zu Opfern von Hackerangriffen wurden. Was auch nicht überrascht, da Cloud-Server für Angreifer eine potentiell enorm hohe “Ausbeute” bedeuten, sofern man Zugriff darauf bekommt. Gerade bei der Azure Cloud von Microsoft wurde erst kürzlich ein „Sicherheitsproblem“ festgestellt.

ZZ: Muss ich der Datenerfassung zustimmen oder reicht es, die App zu starten?

HF: Bei meiner Analyse konnte ich feststellen, dass zwar beim ersten Start der App nach einer Zustimmung zur Datenverarbeitung gefragt wird, jedoch die Belehrung über die Datenerfassung und Datenverarbeitung irreführend war. Die zuvor angezeigten Allgemeinen Nutzungsbedingungen (ANB) beinhalteten keine Informationen darüber, dass Daten an Dritte (wie Microsoft und Google) übertragen und dort verarbeitet werden. Auf der Seite, die zur Zustimmung auffordert, wird im Titel zur Zustimmung der ANB aufgefordert, jedoch bezieht sich die Checkbox (die man anklicken muss) dann explizit auf die Datenverarbeitung, welche in einem kurzen Absatz darüber erwähnt wird (jedoch ebenfalls ohne Informationen über Google, Microsoft usw.). Die eigentlichen Datenschutzinformationen – denen man offenbar zustimmt – werden erst ganz am Ende der Seite unter “weitere Informationen” verlinkt. Man erkennt also nicht den direkten Zusammenhang, wird vor der Zustimmung nicht ausreichend belehrt und nicht rechtskonform über die Datenerfassung und Datenverarbeitung informiert.

Heiko Frenzel

…beschäftigt sich seit vielen Jahren mit Cybersecurity. Er deckte bereits tausende Sicherheitslücken auf und hat Betroffenen bei der Beseitigung geholfen. Dazu gehören – neben Privatleuten, kleinen Unternehmen und Entwicklern von Software und Webanwendungen, sowie auch Open-Source-Projekten – Behörden, Regierungen, Banken, Militärs und große Konzerne. Seine Motivation ist dabei, die Hilfe und Unterstützung für den “kleinen Mann” und auch die “Großen”, sowie der Schutz der Allgemeinheit (der ihm am wichtigsten ist) durch seine Expertise. Seine Artikel finden häufig Erwähnung, u. a. in der “Computer Bild” oder heise online.

ZZ: Wenn man auf das Impressum in der App klickt, wird man weitergeleitet?

HF: Ja. Befindet man sich in der App und öffnet dort das Impressum, findet man dort Links zu weiteren Informationen. Diese Links führen aber nicht auf direktem Weg zur Website des ÖRK, sondern werden über einen Diensteanbieter namens „Proofpoint“ geleitet, der offensichtlich die Aufrufe vor Weiterleitung überprüft und auswertet. Was genau dort mit den Daten geschieht, kann ich als Außenstehender nicht sagen. Allerdings kann ich mit Sicherheit sagen, dass diese Vorgehensweise untypisch und auch unnötig ist.

ZZ: Wer oder was ist diese Firma „Proofpoint“?

HF: Proofpoint ist ein Unternehmen mit Hauptsitz in den USA, welches sich mit Unternehmenssicherheit beschäftigt und verschiedene Dienste anbietet. Diese Dienste werden – wie meist auch Cloud-Dienste – als SaaS(Software as a Service)-Produkte angeboten. Dem Quellcode der App nach feststellbar, nutzt das ÖRK offensichtlich einen oder mehrere dieser Dienste, auch im Zusammenhang mit der App bzw. zumindest den darin erwähnten Links.

ZZ: Haben Sie eine Idee, warum die da involviert ist?

HF: Die Links in der App führen zu “urldefense.proofpoint.com” und Proofpoint selbst informiert auf dieser Subdomain “Bei jedem Link, der mit ‘urldefense.proofpoint.com’ beginnt, handelt es sich um eine umgeschriebene Version einer URL, die in einer E-Mail gefunden wurde. Das Umschreiben ermöglicht Ihrem Browser mithilfe von Proofpoint zu testen, ob das Besuchen der Seite gefahrlos ist, d.h ohne Malware, bevor er Sie zur gewünschten Seite weiterleitet.” Für mich heißt das im Grunde, dass Proofpoint beim Aufruf Tests durchführt und dabei sehr wahrscheinlich auch Daten des Aufrufenden verarbeitet. Was genau dort passiert und warum man diesen Dienst innerhalb der Stopp-Corona-App nutzt, können nur das ÖRK und/oder Proofpoint beantworten.

ZZ: Könnte die Stopp-Corona-App von Profis gehackt werden?

HF: Jeder, der sich mit IT-Sicherheit befasst, weiß sehr gut, dass es kein absolut 100% sicheres System gibt. Demnach muss man grundsätzlich davon ausgehen, dass Apps (allgemein) auch immer ein potentielles Sicherheitsrisiko mit sich bringen. Dabei ist es nun egal, ob es sich um die Stopp-Corona-App handelt oder irgendeine andere App. Da speziell bei der Stopp-Corona-App auch API-Daten im Klartext hinterlegt sind, die zur Authentifizierung der App an der Schnittstelle dienen, könnte es theoretisch auch zum Missbrauch dieser Daten kommen. Inwieweit dies möglich ist und wie genau sich ggf. das Verhalten der App oder der Funktionen auf dem Server damit beeinflussen bzw. manipulieren lassen, kann ich an der Stelle nicht sagen. Es würde ein ausführliches Audit benötigen um dies genauestens zu testen, welches – ohne Zustimmung der Betreiber/Anbieter – eine Straftat darstellen würde.

ZZ: Alles in allem: ist die App also ein riesiges Sicherheitsrisiko?

HF: Die App als “riesiges Sicherheitsrisiko” zu beschreiben, wäre wahrscheinlich übertrieben. Ich kann allerdings auch den Sinn einer solchen App grundsätzlich nicht wirklich nachvollziehen. Und damit bin ich – so wie man es in den vergangenen Tagen innerhalb der Medien hören kann – offensichtlich nicht der einzige. Ein Problem sehe ich grundsätzlich bei der ungefragten Verbindung zu den Servern Dritter, die bereits beim Öffnen der App stattfindet und sogar dann, wenn diese abstürzen sollte (wie unter Android 5 getestet), sowie die mangelnde Aufklärung der Nutzer vor deren Zustimmung zur Datenverarbeitung. Ich persönlich sehe an solchen Apps ganz andere Risiken, insbesondere was die Vorschläge und Pläne der Politik betrifft, derartige Apps mit Zwang unter die Leute zu bringen. Die Freiheit der Bürger in Bezug auf Ausgangsbeschränkungen oder Kontaktverbote, abhängig von der Installation einer derartigen App oder sogar – wie man es gerade bei Herstellern plant – das zwanghafte Integrieren in Betriebssysteme, ist in meinen Augen der schnellste Weg zur “totalen Überwachung” und dürfte bei Datenschützern für erhebliche Bedenken sorgen. Ich lehne solche Apps grundsätzlich und vehement ab.

ZZ: Danke für das Gespräch!

Das Gespräch führte Thomas Oysmüller.

Die ausführliche Analyse der “Stopp-Corona-Uniqa-App” von Heiko Frenzel können Sie auf seinem Blog hier nachlesen.

Lesen Sie auch

Titelbild: APA Picturedesk

HIER SPENDEN!

Direkt an unser Konto spenden!

Bildungsverein Offene Gesellschaft
Verwendungszweck: ZackZack
AT97 2011 1839 1738 5900

AKTUELLES

AKTUELLES

Link zu: InlandLink zu: Meinung
Link zu: AuslandLink zu: Leben