ERFOLGSGESCHICHTEN Corona-Datenspende-App (RKI) - www.aurasec.de
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
ERFOLGSGESCHICHTEN Corona-Datenspende-App (RKI) www.aurasec.de Daten. Sicher. Machen.
Informationssicherheit und Daten-
schutz für Apps und Infrastruktur
AuraSec testet die Sicherheit der
Android- und iOS-App sowie des
Backends
Welchen Zweck die Corona-Datenspende-App
des Robert-Koch-Instituts verfolgt und wie sie
zur Eindämmung der Pandemie beitragen kann
Mit der Corona-Datenspende stellen Bürgerinnen Neuartige Algorithmen können anhand dieser
und Bürger dem Robert Koch-Institut Daten zur Daten verschiedene Symptome erkennen, die
Verfügung, die dabei helfen können, die Ausbrei- unter anderem mit einer Coronavirus-Infektion in
tung des Coronavirus besser zu erfassen und zu Verbindung gebracht werden. Auf Basis wissen-
verstehen. Dabei handelt es sich um Daten von schaftlicher Methoden werden die Ergebnisse
Fitnessarmbändern und Smartwatches, auch Wea- geografisch aufbereitet. Sie können den Wissen-
rables genannt. Diese Daten werden mit Hilfe einer schaftlerinnen und Wissenschaftler des Robert
Smartphone-App zur Verfügung gestellt. Die Daten Koch-Instituts zusätzliche Informationen zur
können Hinweise auf Symptome einer Infektion Verbreitung des neuartigen Coronavirus liefern.
mit dem Coronavirus liefern. Die Datenfreigabe aus
Fitnessarmbändern und Smartwatches soll zusam- Die Corona-Datenspende-App kann kostenfrei im
men mit Informationen aus anderen Datenquellen App Store von Apple und dem Google Play Store
wie zum Beispiel den offiziellen Meldedaten dazu heruntergeladen werden.
beitragen, dass die Wissenschaftler und Wissen-
schaftlerinnen ein genaueres Bild über die Verbrei-
tung des Virus gewinnen.
Nutzerinnen und Nutzer senden über eine App
verschiedene Daten an das Robert Koch-Institut.
Dazu gehören Daten zur Aktivität und Herzfre-
quenz, die von Fitnessarmbändern und Smart-
watches gesammelt werden. Ebenso wird nach der
Postleitzahl der Nutzer und Nutzerinnen gefragt. App Store ist eine Dienstleistungsmarke der Apple Inc.
Google Play und das Google Play-Logo sind Marken von Google
LLC.
Sensible Gesundheitsdaten verdienen einen
besonderen Schutz
Mobile Apps, die Gesundheitsdaten verarbeiten Verständlicherweise rückte daher die von der
und zur Analyse weiterleiten unterliegen beson- Regierung und dem Robert Koch-Institut (RKI)
ders hohen Anforderungen an den Schutzbedarf, beauftragte Corona-Datenspende-App des in
da sie einen direkten Zugriff auf die hoch sensiblen Berlin niedergelassen Unternehmens mHealth
Nutzerdaten der App-Anwender haben und falsche Pioneers GmbH in den Fokus der Diskussion,
oder schlecht umgesetzten Sicherheitsvorkehrun- welche zu Beginn der Corona-Pandemie in
gen der App ein erhebliches Risiko darstellen. Deutschland veröffentlicht wurde.
Dies gilt für die App selbst, aber auch für die Die App, welche zur Datenspende in Verbindung
Backend-Infrastruktur, in welcher die eigentliche mit Fitness-Trackern genutzt wird, erreichte dabei
Datenverarbeitung erfolgt. Unberechtigte Zugriffe direkt bei Ihrer Veröffentlichung den ersten Platz
sowie eine unerwünschte Weitergabe beziehungs- der meistgeladenen Apps im App Store. Die
weise die Fremdnutzung von Anwendung, deren Nutzung
sensiblen Nutzerdaten wie freiwillig ist, liefert ergän-
zum Beispiel persönliche zende Informationen dazu,
Informationen, Gesund- wo und wie schnell sich das
heitsdaten, Standortdaten Coronavirus (SARS-CoV-2)
oder auch Bewegungspro- in Deutschland ausbreitet.
file, sind wichtige Aspekte
bei einer Entwicklung und
der Wartung von mobilen
Anwendungen. Ebenfalls
dazukommen Fragen nach
der Sicherheit der intera-
gierenden Server und
der Datenverbindung
zwischen dem Smart-
phone oder Tablet
und dem Server.
© Robert Koch-Institut. Startbildschirm
der Corona-Datenspende-App auf einem
Apple iPhone® 12 Pro. Abgerufen
08.02.2021
Funktionsweise der Corona-Datenspende-App
in Kombination mit einem Fitnessarmband
oder einer Smartwatch
Mit der Corona-Datenspende stellen die App Die gesammelten Informationen sollen Hinweise
Nutzer Gesundheits- bzw. Fitness-Daten wie zum auf Symptome einer möglichen Infektion mit dem
Beispiel Alter, Größe, Gewicht, Geschlecht, Puls, Coronavirus liefern. Zusammen mit anderen
Temperatur sowie Schlaf und Aktivitätsniveau zur Datenquellen, zum Beispiel den offiziellen Melde-
Verfügung, die dabei helfen sollen, die Ausbreitung daten sollen die Daten der Datenspender dem RKI
des Coronavirus in der Bevölkerung besser zu helfen die Ausbreitung des Corona Virus besser
erfassen und zu verstehen. voraussagen zu können. Mitbegründer von mhealth
Pioneers, Friedlich Lämmel erklärt: „Die Coro-
Diese Daten werden durch Fitnessarmbänder und na-Datenspende-App dient in diesen Krisenzeiten
Smartwatches, auf iOS oder Android-Basis auch als eine Art medizinisches Thermometer“. Mehr als
Wearables genannt, erfasst und über die Coro- 500.000 Menschen in Deutschland haben die App
na-Datenspende-App dem RKI in pseudonomisier- bereits heruntergeladen (Stand: 24.04.2020).
ter Form zur Analyse und Auswertung zur Verfü-
gung gestellt.
© Robert Koch-Institut. Verknüpfung der Corona-Datenspende-App mit einer
Smartwatch (am Beispiel mit Apple Health in Kombination mit einer Apple Watch®)
auf einem Apple iPhone® 12 Pro. Abgerufen 08.02.2021mHealth Pioneers GmbH (Thryve) –
Spezialisiert auf Digital Health
mHealth Pioneers hatte bereits Anfang 2020 das Obwohl DSGVO-konform und nach dem Stand
Grundkonzept für die dann später genannte der neusten Technik entwickelt, äußerten einige
Corona-Datenspende-App entwickelt – in Form Datenschützer und Sicherheitsexperten Kritik an
eines Algorithmus zur Erkennung grippeähnlicher der App.
Symptome. Noch bevor die Corona-Pandemie
Deutschland erreichte, untersuchten Lämmel und
sein Team im Februar, wie ihre Technologie zur Um noch mehr Vertrauen für die
Bekämpfung der Pandemie beitragen kann. App zu schaffen, beauftragte das
„Wir haben festgestellt, dass wir mit einigen
Berliner mHealth Pioneers GmbH
Anpassungen unseres bestehenden Algorithmus die AuraSec GmbH mit der Durch-
auch COVID-19-Symptome erkennen können.“ führung eines App-Security Tests
mHealth Pioneers wandte sich proaktiv an das RKI
und schlug vor, eine App zu entwickeln. Innerhalb
sowie einer Prüfung des Backends.
von nur vier Wochen wurde in enger Zusammenar-
beit mit dem RKI die Corona-Datenspende-App Ziel dabei war die Identifizierung
entwickelt. mHelath Pioneers lieferte die tech-
nische Grundlage für die Analyse und Auswertung
potentieller Schwachstellen, die es
der Daten, das Design und die Benutzeroberfläche Angreifern erlauben könnten, die
wurden in Zusammenarbeit mit dem RKI erstellt. Applikation zu kompromittieren,
Die breite und weitgehend positive Berichter-
missbräuchlich zu nutzen, in ihrer
stattung in den Medien – wie die New York Times Verfügbarkeit einzuschränken oder
und die Washington Post berichteten – ist eine vertrauliche Daten auszuspähen.
Premiere für das noch junge Unternehmen
mHealth Pioneers.
„Der Start der App war weitaus erfolgreicher, als wir es uns
jemals hätten vorstellen können. Dank unserer agilen internen
Strukturen waren wir flexibel genug, um schnell auf die ankom-
mende Spitzenlast zu reagieren – obwohl wir nur ein Team von
zwölf Personen sind. Das Projekt zeigt eindrucksvoll welch
wertvolle Informationen, vom Smartphone und Fitnesstracker
gesammelte, Gesundheitsdaten liefern.“
- Friedlich Lämmel, CEO & CoFounder mHealth PioneersVorgehen zur Überprüfung der iOS und Android-App
sowie der Backend-Infrastruktur auf Sicherheitsmängel
Anfang April 2020 erfolgte die Überprüfung auf Durch die umfassende Sicherheitsüberprüfung der
Sicherheitsmängel für iOS (Version 1.0.2) und Corona-Datenspende-App und den zugehörigen
Android (Version 1.0.1) durch die Sicherheitsex- Systemen, ist nun sichergestellt, dass die App auf
perten der AuraSec GmbH. Nach dem ersten Pene- dem neuesten Stand der Technik ist und eine
trationstest gaben die Experten unterschiedliche Gefahr vor missbräuchlichen Zugriffen somit
Hinweise, welche unmittelbar durch den Auftrag- weitestgehend ausgeschlossen werden kann.
geber umgesetzt wurden. In einem erneuten Pene-
trationstest wurde dann überprüft, ob die verschie- „Die Verschlüsselungsmechanismen sind
denen Hinweise korrekt implementiert wurden.
ordnungsgemäß integriert und es werden
Diese Überprüfung ergab, dass die relevanten
keine sensiblen Daten unverschlüsselt und
Sicherheitslücken korrekt geschlossen wurden und
somit über diese keine Angriffe mehr auf das außerhalb von Deutschland übertragen.“
System ausgeführt werden können.
– Daniel Janshoff, Consultant Informationssicher-
heit und Datenschutz AuraSecÜberprüfung des Backends zur Identifizierung
potentieller Schwachstellen
Bei der Überprüfung des Backends wurden die „Für uns war das ein spannendes
Dienste des genutzten Servers, die Domain daten-
Projekt eine so stark in der öffentli-
spende.und-gesund.de und die zur Verfügung
gestellten APIs untersucht. Es wurden keine chen Wahrnehmung diskutierte App
wesentlichen Sicherheitslücken festgestellt. zu prüfen. Für alle im Team war diese
Sicherheitsanalyse ein enormer Moti-
Eine durch den Chaos-Computer-Club (CCC)
durchgeführte Analyse des Gesamtsystems deckte vationsschub. Im Hinblick auf die bei
weitere Angriffsszenarien auf. Auf Grundlage Penetrationstests limitierte Zeit war
dieses Berichtes führte mHealth Pioneers weitere
Verbesserungen am System durch, welche die
es eine Herausforderung die relevan-
allgemeine Sicherheit verbessern sollten. ten Sicherheitslücken zu identifizie-
ren. Wir sind stolz mit unserem En-
Im Rahmen weiterer Prüfungshandlungen wurden
die vom CCC gegebenen Hinweise mit dem überar-
gagement einen positiven Beitrag zur
beiteten Stand des Gesamtsystems verglichen, um Bekämpfung der Covid19-Pandemie
zu überprüfen, ob die Angriffsvektoren erfolgreich zu leisten. Nur wenn die Menschen
geschlossen wurden. Schwachstellen, welche
nicht geschlossen wurden bzw. geschlossen
Vertrauen in die App haben, kann
werden konnten, wurden seitens AuraSec einer diese erfolgreich sein.“
Risikoanalyse unterzogen, damit deren Kritikalität
korrekt bewertet werden konnte. Hierbei wurden - Jan C. Arfwedson, Geschäftsführer AuraSec
ausschließlich die technischen Aspekte der
Umsetzung betrachtet.
Gerne unterstützen wir auch Sie im Rahmen einer technischen
Sicherheitsanalyse bei der Prüfung Ihrer Apps und zugehöriger
Infrastruktur in Punkto Informationssicherheit und Datenschutz.
AuraSec ist Ihr Ansprechpartner für Penetrationtesting und
App-Security im Gesundheitswesen.
Daten. Sicher. Machen.05/2021 KS
KONTAKT UNSERE BRANCHEN
AuraSec GmbH . Gesetzliche Krankenversicherungen
Unter den Linden 16 . Private Krankenversicherungen
10117 Berlin . Kliniken und Krankenhäuser
. Pharmaunternehmen
Telefon: +49 (0)30-408173352 . Rechenzentren
E-Mail: info@aurasec.de . Softwarehersteller
Web: www.aurasec.de . Kritische Infrastrukturen
UNSERE LEISTUNGEN
. IT- und Informationssicherheitsmanagement
. Business Contiuity-Management
. Datenschutzmanagement
. Risikomanagement
. Kritis-Nachweisverfahren nach § 8a BSIG
. Weiterbildung
. Prüfgemeinschaft zur gemeinschaftlichen Durchführung von Lieferantenprüfungen
. Datenschutzmanagement-Tool ADAMA
www.aurasec.de Daten. Sicher. Machen.Sie können auch lesen
