Chaos Computer Club findet Schwachstellen in "Corona-Datenspende"

"Kritisiert wird unter anderem, dass Fitnessdaten - außer im Falle einer Nutzung von Apple Health - direkt vom Server eines Fitnesstracker-Anbieters oder von Google Fit an den RKI-Server übertragen werden. Das Institut speichere im Zuge dieser Direktverbindung eine große Anzahl von Zugangsdaten mit hohem Schutzbedarf, schreibt der CCC: "Diese Zugangsdaten erlauben den Zugriff auf nicht pseudonymisierte und historische Fitnessdaten und bei den Anbietern Fitbit, Garmin, Polar und bei Google Fit den Zugriff auf die vollständigen Namen der Datenspender."

Na super, das kaum vorhandene Vertrauen verspielt.

Jetzt streiten sich also die Datensammler auch schon untereinander:pepp-pt und die Alternative dp-3t auch in der Zeit
:Blumen:

Damit scheint jetzt für mich klar, ich warte auf das DP-3T open source Projekt mit dem direkten Datenaustausch zwischen Mobiltelefonen im BTN ohne Datenbank.
Alles zentrale Daten gesammele führt am Ende doch nur wieder jemanden aus finanziellen Gründen in Versuchung oder Hacker knacken die zentrale Datenbank.:cool:

Ich versteh euch nicht,

Ihr ladet eure Daten auf Garmin, Wahoo, Strava und Co. hoch.
Bezahlt im Web mit Kreditkarte.
Seid bei FB, Instagram und Co.
Macht bei FB & Co. bei Gewinnspielen mit.
Loggt euch in öffentliche Netzte ein.
Habt möglicherweise WLAN und Bluetooth immer an.

Aber über die App wird sich aufgeregt. Wir alle geben so viele Daten von uns jeden Tag bekannt.

Wird hier hier nicht mit zweierlei Maß gemessen ?

Ich würde die App auch nicht laden.

Ich lade mir aber so nicht zuviel Krempel auf PC oder Smartphone. Im Grunde nur Dinge, die ich zu Hobbyzwecken gebrauche. Und die große Vielfalt ist das wahrlich nicht. :)

Ja wird es.

Ich messe mit zweierlei Mass. Ich gebe so wenig Daten wie möglich von mir preis, so viele wie nötig.
Wenn ich im Netz also irgendwo meine Daten abgebe, ist das praktisch die Währung mit der ich eine Dienstleistung bezahle. Ich möchte die Leistungen von Strava in Anspruch nehmen und zahle dafür mit meinen Daten.
Dann habe ich faktisch einen Vertrag mit einem Unternehmen - sollte hier Schindluder betrieben werden, kann ich mich an staatliche Stellen wenden.

Wenn jetzt aber staatlich eine App ins Leben gerufen wird, bei der ein Carsten Maschmeyer mit drin hängt, die von staatlicher Seite Bewegungsmuster versucht nachzuvollziehen, evtl Puls und Körpertemperatur abgreift, nicht klar benennt, das hinterher alle Daten wieder gelöscht werden. Joa, da gehen für mich alle Alarmglocken an, unabhängig davon ob wir nicht alle zu lax mit unseren Daten umgehen.

Die Meinungen hierzu wurden schon ausgetauscht.
Die von dir erwähnten Dienste sind freiwillig. Solange die Corona-App das auch ist, ist das für mich kein Problem. Wenn nicht, sehe ich die Gefahr, dass dieser Fall zum Einfallstor wird, falls man z.B. in anderen Fällen irgendwelche Personen sucht u.ä.
Meiner persönlichen Meinung nach sollte man also genau hinschauen.

wie auch die 300Wissenschaftler es getan haben, von deren Warnung zum Projekt in der Zeit berichtet wird.
:Blumen:

Siehe oben, Datenschutz ist für mich wichtig. Einer intransparenten und hauruck programmierten App mit unbekanntem Risiko würde ich meine Daten nicht anvertrauen.

Der dezemtrale Ansatz wäre dann aber OK und würdest du dir runterladen?

Garmin halte ich für sehr sicher. Kreditkarte nehme ich nur zum Tanken. Bei der neuen App warte ich noch ab.

Datensicherheit und Datenschutz sind allerdings 2 paar Schuhe.


Interessant finde ich ja, im öffentlichen Dienst in Rheinland-Pfalz werden jetzt Fallverfolger gesucht für die Gesundheitsämter. Kolleginnen und Kollegen im Home-Office die zu wenig zu tun haben sollen sich melden. Wurde jetzt bei uns rumgemailt.

Ich dachte eigentlich nach den ganzen Datenschutz und Überwachungsdiskussionen, die wüssten schon alles über uns, für was braucht man sowas? Offensichtlich kann die KI das nicht allein, sondern es müssen doch immer Menschen drüber schauen.
Auch irgendwo beruhigend.

Die sichersten Daten sind die, die nie erhoben werden ;-)
Der CCC hat die Corona-App bereits unter die Lupe genommen. So holt das RKI die Daten der Nutzer gar nicht vom Smartphone, wie ich als naiver Laie das dachte, sondern direkt vom Anbieter der Fitnesstracker. Die App hat dabei den Zweck, dem RKI einen Zugangstoken auszustellen, mit dem es dann auf die Fitnessdaten direkt zugreifen kann. Die Anonymisierung macht erst das RKI (wie?), nachdem dort alle Daten sind. Der Zugang bleibt auch erhalten, auch wenn man die App löscht.
https://www.ccc.de/de/updates/2020/abofalle-datenspende
Dass manche Spezialisten bei einer zentralen Datenhaltung ins Grübeln kommen, kann sogar ich als alternder Datenverarbeiter nachvollziehen. Ich habe auch schon mal gehört, dass ein großes Problem bei verschlüsselten oder anonymisierten Datenbanken direkt am Bildschirm sitzt ;-)
Ich persönlich fände es witzig, würde man die Daten auf einem Amazon-Cloud Server halten oder gleich auf Azure :-)

Deshalb gibt es den Grundsatz der Datensparsamkeit ja.


Wenn man die App einrichtet strellt man das fest, wie soll das RKI auch z.b. auf meine Uhr zugreifen, auf dem Smartphone hab ich keine Fitnessdaten.


Das RKI weiß damit nicht mehr als Garmin von mir.

Du vertraust einem Privatunternehmen in den USA also mehr, als einer deutschen staatlichen Forschungseinrichtung, mit Datenschutzbeauftragtem nach deutschem Recht?

Nein, natürlich nicht. Weder noch. Dafür bin ich zu alt und zu lange in der Datenverarbeitung tätig ;-)

Ja, zusammen mit der "open source" Bedingung bei der App, denn ich glaube schon, dass so eine Benachrichtigung bei Kontakt zu Erkrankten zu mehr Schutz aller führen kann. Genau wie das Maskentragen.
Grüße
Tom

Offen gesagt ja. Interesse von Unternehmen Garmin. Daten werden gesammelt um Produkte weiterzuentwickeln bzw Werbung zu verkaufen. Dem Unternehmen ist egal bzw es hat überhaupt kein Interesse daran zu wissen, welchen Ruhepuls ich habe. Big Data ist das, was sie ans Ziel führt.

Ein staatliches Institut, will aktuell personenbezogene Daten dazu heranziehen um nachzuverfolgen wer mit wem Kontakt hatte. Das heisst hier geht es um mich persönlich.
Glaube ich daran, dass auf diese Daten nicht mehr zugegriffen wird, wenn man so eine Datenbank erstmal hat? Nein.
Aktuell geht es um eine "Ausnahmesituation". Das nächste mal geht es dann darum, dass bei einem schweren Autounfall Zeugen dringend gesucht werden.. "Ach ausnahmsweise kann man ja mal in die Datenbank gucken"...
Der aktuellen Regierung mag ich meine Daten vielleicht anvertrauen.
Gib uns noch drei, vier Jahre Krise, dann ist plötzlich nicht mehr vom CoronaVirus die Rede sonder vom Chinesen-Virus und eine Wahl fäll (Gott bewahre) anders aus.
Dann sind die Daten eben nicht gelöscht sondern noch da.

Long story short - ja mir ist lieber, Garmin hat meine Daten als das RKI.

Das trifft meiner Meinung nach genau den Punkt. Mit Merkel & Co haben wir sicher eine demokratische Regierung. Wer weiß, wie das in 75 Jahre aussieht? Man denke nur mal 75 Jahre zurück. Mir ist kein Naturgesetz bekannt, das aussagt, dass in Ländern Demokratien regieren müssen.
Und wie ich schon mal erwähnte: ebenso interesssant wie die Frage "Was hat X am Ort Y gemacht?", ist "Wie bringe ich X am Ort Y dazu, dies und das (nicht!) zu machen?"
KI, die z.T. auf Wahrscheinlichkeits- und Informationstheorie aufbaut, bietet schon lange gute Werkzeuge dafür.
(wie immer: das ist nur meine persönliche Meinung, ich mag mich irren)

Ich werde die Datenspende dieses Jahr sicher noch beenden.

Was eine Dikatatur in 75 Jahren mit meinem Puls aus 2020 anstellt ist mit Wurst :Huhu: :Huhu:

Gute Einstellung!:Huhu:

Was ich mich frage: Überall heisst es, dass keine Bewegungsprofile erstellt werden können, in den FAQs der App heisst es: "Standortdaten werden von der App ausdrücklich nicht abgefragt."

Nicht abgefragt ist nicht gleichbedeutend mit nicht vorhanden. In den Datenschutzhinweisen zur App gibt es unter anderem folgenden Punkt: "Speicherung von personenbezogenen Daten". Und da heißt es stets "wie bspw." Das ist doch schwammig formuliert, weshalb gibt es keine detaillierte Tabelle der Hersteller und entsprechend übertragener Daten? Ich kann mir nicht vorstellen, dass über die API-Schnittstellen lediglich Zusammenfassungen der Trainings-Einheiten übertragen werden. Meine Vermutung ist, auch sämtliche GPS-Daten gehen an den entsprechenden Server, die Daten werden laut Angaben aber nicht durch die App abgefragt. Und wenn es sein muss, kann anhand der GPS-Daten sehr wohl auf eine Person, bzw. sehr kleinen Kreis, eingegrenzt werden. In drei Monaten gibt es vielleicht beim Öffnen der App einen kleinen Hinweis, die Datenschutz-Bestimmungen würden sich ändern, damit man die Menschen noch besser schützen könne. Lange Text, kaum einer liest das, wird bestätigt, und zack, Bewegungsprofile dürfen erstellt werden.

Vielleicht ist meine Sorge unbegründet, aber ich bleibe skeptisch, auch nach den Ausführungen des CCC. Wie gesagt, ich habe keinen Hinweis finden können, es würden keine GPS-Daten übertragen werden.

Die GPS Daten meiner Trainingsrunden sind auch wahnsinnig interessant und da kann man mich sicher dran bekommen, dass ich nicht auf dem Radweg fahre.
Datenweitergabe ist immer eine Abwögungssache, zwischen Nutzen und Gefahr, der Nutzen scheint mir hier höher, Wer die GPS Daten wie gegen mich verwenden kann, das müsste man mit erstmal erklären. Also ein Gefahr überhaupt erstmal plausibel machen. Der Nutzen (für ein paar Wochen oder Monate) scheint mir aber evident.


Man könnte auch einfach wenn man die Coronabekämpfung unterstützen will für ein paar Monate das GPS ausschalten, aber dann geht ja der Vergleich auf Strava nicht mehr, schrecklich!

Es geht darum, dass man sehr wohl anhand der GPS-Daten Rückschlüsse auf die Person ziehen kann. Und das wird ja bestritten.

Stell dir Mal vor, du benötigst eine Leistung der Krankenkasse, die nicht im Katalog enthalten ist. Dann heißt es vielleicht, sorry, sie sind zuviel gelaufen, selbst schuld. Man weiß nie, wo die Daten am Ende landen. Und bei Strava kannst du einen Kreis um deinen Wohnort ziehen lassen, so daß es nicht möglich ist, deine genaue Adresse zu ermitteln. Ich bin tendenziell eher vorsichtig.

hahah nicht dein ernst... 3-4 fahrten und ich kann dir genau sagen wo du wohnst wenn ich die strecken übereinander lege und nen kreis ziehe...

wenn du das ernst nimmst solltest du mindestens 2-3 verschiedene kreise um deinen wohnort legen um das halbwegs sicher zu halten...

In dem von mir weiter oben angegeben Link vom CCC gibt es einen Link zu einem PDF, in dem detailierter auf die Analyse eigegangen wird. Wer sich mit dem Internet ein bisschen auskennt und Protokolle lesen kann, findet dort mehr Informationen. Ich bin so frei und gebe das PDF hier an:
https://www.ccc.de/system/uploads/29...atenspende.pdf
[...bei Google Fit:] "Der Server des RKI fragt dabei Zugangsdaten u.a. für den Zugriff auf den vollständigen Namen des Datenspenders mit dem Parameter „response_type=code“ an..."

Auch das ist auf Strava möglich.
Aber damit wird ja nur die Darstellung für andere User und nicht Erfassung von Daten verhindert, oder? :Gruebeln:

Gruß
N. :Huhu:

Sollte man für die Wirksamkeit der App nicht gerade die GPS Koordinaten mit erfassen? Dann könnten die Leute endlich mal sehen wo die tatsächlichen Hotspots der Ansteckungen sind und man kann fundierter über die Frage diskutieren, ob man sich im kleinen, engen 50m2 Laden ansteckt oder im 5000m2 Möbelladen.

Sorry das ist doch an den Haaren herbei gezogen. Selbst bei Hochleistungssportlern die eindeutig ihren Körper überlasten, zahlt die Krankenkasse ohne Nachfrage.


Das meine ich hinter der Vorsicht steht kein rationales Argument, sondern lediglich ein Gefühl. So lebe ich nicht. :Huhu:

Du machst Sport im Möbelladen?


Man kann im übrigen mit dieser APP nicht nachweisen wer sich wo angesteckt hat, es geht darum Hotspots mit vielen Infizierten zu finden, aus Köperdaten wie Puls usw..

Ist das Tor einmal offen, glaubst du doch nicht ernsthaft das Behörden diese einfach wieder zu machen. Wenn ich mir so vorstelle, wer in den letzten Jahren bspw in leitender Position beim Verfassungsschutz gearbeitet hat.

Ich schrieb es weiter oben bereits. Mit der aktuellen Regierung habe ich keinen Schmerz.
Nur braucht man mal nach Ungarn zu schauen, wie schnell sich eine Demokratie umbauen lässt.
Ein Orban-Regime hätte absolut gar keinen Schmerz damit nachzuverfolgen "Oh, sie waren am 24.04.2020 bei einer Fridaysforfuture Demo? Naja, wir werden ihren Antrag auf Immatrikulation an der Uni schon sicher irgendwann noch prüfen". "Ohoh, was seh ich da, auf ihrem Ibooks Account liegt eine Ausgabe von "Das Kapital", soosooo"..

Wenn dir das nicht schwerwiegend genug ist, ist das in Ordnung, man kann Verhältnismässigkeit ja diskutieren. Aber andererleuts Argumente als "das ist nicht rational, sondern nur ein Gefühl" abzutun ist vielleicht auch so ne mittelstarke Diskussionskultur ;)

Ich bin weiterhin Befürworter einer solchen App, wenn sie der Sache dient.
Ich bin aber auch der Meinung, dass mit offenen Karten gespielt werden muss und nicht Daten abgefragt werden dürfen, die der Sache nicht dienen. Da viel (Steuer)Geld und andere Ressourcen in die App(s) fliessen, müssen auch Datenschutz und Transparenz ausreichend berücksichtigt werden.

Sich über mögliche Zukunftszenarien Gedanken zu machen, halte ich persönlich für sehr rational. Da ich von der technischen Seite komme und halbwegs erahnen und erklären kann, was möglich ist, fühle ich mich im privaten Umfeld, falls eine Diskussion darüber stattfindet, sogar ein klein wenig verpflichtet auf mögliche negative Auswirkungen hinzuweisen. Mehr aber auch nicht! Was dann der einzelne damit macht, geht mich persönlich nichts an, interssiert mich nicht und soll auch seine eigene Entscheidung sein.

Menschen stimmen jetzt schon Datenweitergaben zu, ohne zu wissen welche Auswirkungen das hat. Beispiel private Krankenversicherung. Wer mal bei der Musterung geflunkert und bspw. Rückenschmerzen angegeben hat um ausgemustert zu werden, dann beim Eintritt in die PKV bei den Vorerkrankungen 'nein' angeben hat, hat schlechte Karten bei Rückenproblemen Erstattungen zu erhalten.

Und wie hier schon jemand schrieb: Ich denke nicht dass es das Geschäftsmodell von Strava, Garmin, Polar etc. ist, Gesundheitsdaten zu verkaufen. Natürlich sind auch von mir Daten im Netz unterwegs, sobald man ein Smartphone einschaltet, ist man erfasst. Dennoch muss ich nicht alles mit jedem Teilen und alles der Öffentlichkeit mitteilen. Ich würde die App sicher anders sehen, wenn man mit offenen Karten spielen würde, und den Code veröffentlichen würde. Werde jetzt erstmal das CCC-pdf durchgehen, das ist mir in der Tat entgangen.

Und nein, es ist kein Gefühl. Habe Freunde, die ich als IT-Freaks bezeichnen würde. Sie haben mir mit einfachen Mitteln gezeigt, was heutzutage möglich ist. Das hat meine Sensibilität für dieses Thema definitiv erhöht.

In der aktuellen CT sind einige Beiträge zur Datenspende!

Danke für den Link :-) Python und Git natürlich, so soll das sein. Es gibt auch so viele wunderbare Sachen zu untersuchen durch Corona, man kommt gar nicht hinterher... ;-)

Bei der neuen App gibt es auch Ärger


https://www.tagesschau.de/inland/cor...s-app-107.html

Genau das machst Du bei der Corona App oder halt nicht.;)

Jens, was genau meinst Du?:confused:
Grüße
Tom

Ich nicht.
Zu keiner Zeit wurde da jemals mit offenen Karten gespielt.

Die Regierung hatte sich ursprünglich für das Grundgerüst der europäischen Technologie-Initiative PEPP-PT entschieden. Doch die Kritik daran war massiv. Am Freitag hatten unter anderem der Chaos Computer Club, die Gesellschaft für Informatik sowie weitere Organisationen, die sich mit netzpolitischen Fragen beschäftigen, einen offenen Brief an die Bundesregierung veröffentlicht.


Man macht nun eine grundlegend andere Konstruktion.