Katar: Amnesty deckt Sicherheitslücke in COVID-19-App auf
26. Mai 2020Amnesty International hat gravierende Sicherheitslücken in Katars verpflichtender App zur Ermittlung von Kontaktpersonen aufgedeckt. Diese Nachricht muss Regierungen, die COVID-19-Apps einführen, aufrütteln. Der Schutz der Privatsphäre muss stets im Mittelpunkt der Technologie stehen, fordert Amnesty.
Eine Untersuchung von Amnesty International deckte eine entscheidende Schwachstelle in der Konfiguration der EHTERAZ-App zur Ermittlung von Kontaktpersonen in Katar auf: Diese Schwachstelle, die mittlerweile behoben ist, hätte es Cyber-Angreifer*innen ermöglicht, auf hochsensible persönliche Daten zuzugreifen, darunter Name, die nationale ID, Gesundheitszustand und Standortdaten von mehr als einer Million Benutzer*innen.
Amnesty informierte die katarischen Behörden nach der Entdeckung am Donnerstag, 21. Mai, über die Schwachstelle. Die Behörden handelten rasch, um die Schwachstelle bis Ende Freitag, den 22. Mai, zu beheben.
„Zwar konnten die katarischen Behörden diese Schwachstelle schnell beheben. Doch es handelte sich um eine riesige Sicherheitslücke und einen grundlegenden Fehler in der App zur Ermittlung von Kontaktpersonen. Das hätten böswillige Angreifer*innen leicht ausnutzen können. Das ist besonders besorgniserregend, da die Nutzung der EHTERAZ-App am vergangenen Freitag zur Pflicht gemacht wurde“, sagte Claudio Guarnieri, Leiter des Security Lab von Amnesty International.
Dieser Vorfall ist eine Warnung für Regierungen auf der ganzen Welt, die Apps zur Ermittlung von Kontakten nicht zu überstürzen. Diese sind oft schlecht konzipiert und bieten keinen Schutz der Privatsphäre.
Claudio Guarnieri, Leiter des Security Lab von Amnesty International
„Wenn die Technologie eine wirksame Rolle bei der Bekämpfung des Virus spielen soll, müssen Menschen darauf vertrauen können, dass die Anwendungen zur Ermittlung von Kontaktpersonen ihre Privatsphäre und andere Menschenrechte schützen,“ sagt Claudio Guarnieri weiter.
Derzeit haben mehr als 45 Länder COVID-19-Apps zur Ermittlung von Kontaktpersonen eingeführt oder planen dies. Amnesty International ist besorgt darüber, dass Regierungen auf der ganzen Welt, darunter Australien, Frankreich, Italien, die Niederlande und das Vereinigte Königreich, vorpreschen, um Technologien einzuführen, die die Privatsphäre untergraben können und die die Sicherheit eines jeden einzelnen gefährden können. Hinzu kommt, dass die Wirksamkeit von solchen Anwendungen noch nicht bewiesen ist.
EHTERAZ wurde vom Innenministerium in Katar entwickelt und verwendet GPS- und Bluetooth-Technologie zur Verfolgung von COVID-19-Fällen. Die Anwendung ist, wie viele andere, die gerade eingeführt werden, aufgrund fehlender Datenschutzvorkehrungen nach wie vor höchst problematisch. Sensible persönliche Daten werden weiterhin in eine zentrale Datenbank hochgeladen und ermöglichen Behörden jederzeit die Echtzeit-Ortung der Nutzer*innen.
Seit vergangenem Freitag ist das Herunterladen und die Nutzung der App, die allein im Google Play Store mehr als eine Million Mal heruntergeladen wurde, obligatorisch. Personen, die die App nicht nutzen, drohen bis zu drei Jahren Gefängnis und eine Geldstrafe von QR 200.000 (ca. 55.000 US-Dollar).