Corona-Apps in Bahrain, Kuwait und Norwegen beruhen auf einem aggressiven zentralisierten Ansatz und stellen eine große Gefahr für die Privatsphäre dar. Diese Systeme erfassen Standortdaten per GPS und laden diese in eine zentrale Datenbank hoch. Damit werden die Bewegungsprofile der Nutzer*innen in Echtzeit erfasst. Die App „EHTERAZ“ von Katar kann optional die Standorte aller oder auch nur bestimmter Nutzer*innen in Echtzeit orten. (Zum Zeitpunkt des Verfassens dieses Artikels war diese Funktion deaktiviert, Anm.).
Tools zur Massenüberwachung
Die Behörden all dieser Länder können diese vertraulichen persönlichen Daten leicht einer Person zuordnen, da sich die Nutzer*innen in Katar, Bahrain und Kuwait mit einer nationalen ID-Nummer registrieren lassen müssen, während in Norwegen eine Registrierung mit einer gültigen Telefonnummer erforderlich ist.
Andere vom Security Lab ausgewerteten Apps, darunter „E7mi“ aus Tunesien, beruhen ebenfalls auf einem zentralisierten Modell, ermitteln Kontakte zwischen Nutzer*innen jedoch nicht über die GPS-Koordinaten, sondern über das sogenannte „Proximity Scanning“ via Bluetooth. Katars „EHTERAZ“ erfasst neben den GPS-Koordinaten Bluetooth-Kontakte zwischen den Geräten der Nutzer*innen und lädt diese hoch.
Eine große Sicherheitslücke wurde in Katars App EHTERAZ gefunden. Sie gefährdete die vertraulichen persönlichen Informationen von mehr als einer Million Menschen, auf die Angreifer*innen hätten Zugriff erlangen können. Dies gab vor allem deswegen Anlass zur Sorge, weil die Nutzung der App ab dem 22. Mai verpflichtend wurde. Die Sicherheitslücke wurde behoben, nachdem Amnesty die Behörden Ende Mai über die Entdeckung in Kenntnis gesetzt hatte. Die Sicherheitslücke hätte es Cyber-Angreifer*innen ermöglicht, auf hochsensible persönliche Daten zuzugreifen, darunter den Namen, die nationale ID, den Gesundheitszustand und den ausgewiesenen Aufenthaltsort der Benutzer*innen.
Corona-Apps aus Ländern wie Frankreich, Island und den Vereinigten Arabischen Emiraten verwenden ein zentralisiertes Modell, wobei Informationen über Kontakte zwischen den Geräten nur dann hochgeladen werden, wenn Nutzer*innen freiwillig oder auf Anfrage der Gesundheitsbehörden melden, dass sie unter Symptomen leiden. Solche freiwilligen und einvernehmlichen Uploads verringern zumindest das Risiko einer Massenüberwachung, da die Daten nicht automatisch hochgeladen werden. Das zentralisierte Modell der französischen App zur Kontaktverfolgung wirft in Verbindung mit der mangelnden Transparenz darüber, wie die Daten gespeichert werden, allerdings die Frage auf, ob es möglich wäre, die Anonymisierung der Nutzerdaten im Nachhinein aufzuheben.
„Regierungen weltweit müssen bei der Einführung fehlerhafter oder in die Privatsphäre eindringender Apps zur Erfassung von Personenkontakten auf die Pause-Taste drücken. Wenn Apps zur Rückverfolgung von Kontakten eine wirksame Rolle bei der Bekämpfung von COVID-19 spielen sollen, müssen die Menschen darauf vertrauen können, dass ihre Privatsphäre geschützt ist“, sagt Claudio Guarnieri.
Neue Formen der Überwachung
Sowohl die bahrainische als auch die kuwaitische App lassen sich mit einem Bluetooth-Armband koppeln, das sicherstellen soll, dass Nutzer*innen in der Nähe des Smartphones bleiben und die Quarantänemaßnahmen befolgen. Die kuwaitische App überprüft regelmäßig den Abstand zwischen Bluetooth-Armband und Smartphone und lädt alle zehn Minuten Standortdaten auf einen zentralen Server.
Standortdaten und zusätzliche Diagnoseinformationen des mit der App „BeAware Bahrain“ gekoppelten Armbands werden regelmäßig an einen zentralen Server gesendet. Alle Personen, die sich laut Registrierung zu Hause in Quarantäne befinden sollten, müssen das Armband tragen. Wer dies nicht tut, muss nach Gesetz Nr. 34 (2018) zur öffentlichen Gesundheit mit rechtlichen Konsequenzen rechnen, darunter mit einer mindestens dreimonatigen Haftstrafe und/oder einer Geldstrafe zwischen 1.000 und 10.000 BD (ca. 2.342 EUR bzw. 23.420 EUR).