Stopp Corona App des ÖRK ein Datenschutz-Desaster?

Artikel ansehen

Ohne den Inhalt der Daten zu kennen, macht es überhaupt keinen Sinn, sich zu mukieren dass die Speicherung auf Azure passiert. Daten werden anonymisiert, lange bevor sich in die Cloud gehen, bestes Beispiel aus der Kueche, der Thermomix. Der schiebt auch die Daten in die Amazoncloud, jedoch sind diese vorher schon anonymisiert und teils auch crypted. Ein Datenweg sagt also gar nichts aus.

Schade das man Laienaussagen einfach so uebernimmt, einfach mal mit einen Data Scientist vorher reden, wenn man schon grundlegen keine Ahnung hat?

Naja…findest du nicht, dass dein Vergleich zwischen einer „Küchenmaschine“ und einer „Gesundheitsapplikation“ etwas hinterherhinkt?!

Der Techniker entdeckte zudem, dass Api-Schlüssel mit passender URL und andere Daten zur Authentifizierung der App unverschlüsselt im Klartext übertragen werden…
Direkt nach dem Start funkt die Software über mehrere Subdomains an die Server von Google und Microsoft. Das darf sie aber erst, nachdem der jeweilige Anwender der Verarbeitung seiner personenbezogenen Daten durch Dritte zugestimmt hat…

Was ist daran eigentlich grundlegend nicht zu verstehen - die App darf es nicht, tut es aber trotzdem! Ich denke, dass würde auch jeder seriöse „Data Scientist“ genauso sehen. Dabei ist es auch irrelevant, welche bzw. wieviele Daten in dieser Form übertragen werden! Für den Fall, dass du mehr Ahnung hast, steht es dir ja frei, uns an deiner Kenntnis teilhaben zu lassen…

Nein, denn die Daten sind so oder so anonymisiert und verschluesselt.
Heißt als Microsoft kann da nur Datenmüll oder sinn freie Daten abgreifen. Da es keine DACH Cloud gibt, die etwas leisten kann, bleibt Dir eigentlich nur die Wahl zwischen Google, Amazon oder Azure. Azure wird zunehmend verwendet, weil „kostenfrei“. Das kommt mit Windows/O365/bla in die Konzerne.

Und auch nur darauf beziehe ich meinen Kommentar, dass eben mit den Daten gar nichts schlimmes passiert.

Das eine Connection ungefragt zu Drittanbietern passiert ist ärgerlich, aber auch hier ist eine Verbindung dahin nur ein mäßig grosses Problem, die App funkt. Ja aber was funkt sie denn da? Die Antwort ist doch einfach nicht da.
Jede Android App telefoniert nach Google, Adcommuication etc.
Und ne App die MS Komponenten aus der Cloud nutzt, ja ;). Get over it. Das ist heute so. Ich sag nur Angular und Co.

Die Corona App telefoniert auch erst Mal gar keine Daten, weil der Handshake, der dann wirklich persönliche Daten kommuniziert, manuell erfolgen muss. Ich hab die App hier und Wireshark kann denke ich auch jeder, da ist nix tolles zu sehen.
Die Deutsche App war da spannender.

Geht es nur mir so, oder sind die bereits getrackten Google-Standortverlaufsdaten offiziell nicht nutzbar, oder nicht genau genug?
Wenn Google weiß wo ich 2015 war, warum nutze Germany nix ala Deutsche-NSA und nutzt einfach diese Daten anstatt das Rad 2x zu erfinden?

Da könnte man doch einfach mal freundlich anfragen, ob die Datenkraken Google & Apfel uns (anonymisierte) Daten für Deutschland zur Verfügung stellen.

Wenn bei den Gesundheitsbehörden die Handynr. hinterlegt sind, dann wäre es doch ein leichtes anhand der Standortverläufe die Datenbanken abzugleichen, wer wann wo in der Nähe eine infizierten war und diese über´ne sinnvolle Push-Nachricht zu informieren.

So wie jemand meinte, aus Müll etwas sinnvolles herzustellen ala „er ist ja schließlich schon vorhanden“ (peinlich genug), da kann man die vorhandenen Daten doch auch dafür verwenden.

Und wenn die nicht wollen, dann fragt man Trumpete, ob er der NSÄ mal den Auftrag dafür gibt was sinnvolles zu erledigen!

Einerseits finde ich deine Begründungen zu deiner Aussage ja völlig in Ordnung. Andererseits sind die Gründe, welche Frenzel in seinem Bericht erleutert, auch komplett nachvollziehbar!
Ich weiß ja nicht, ob du diesen Artikel selber schon kennst? Deswegen hier mal die URL:

https://heiko-frenzel.de/die-stopp-corona-app-des-oerk-analyse-enthuellt-illegale-datenerfassung-und-irrefuehrung-15901/#comments

Nix für ungut, aber ich bin dabei ziemlich hin und -hergerissen, egal bei welcher Seite ich da bin! :wink:

Sobald Du hin und her gerissen bist, bist Du richtig positioniert.
Dafür das Du vollkommen bei mir stehst, dafür hab ich zu wenig geschrieben und zu wenig ins Detail. Aber es soll eben einfach Mal klar machen, dass nicht jeder Connect auf AWS oder AZURE per se böse ist und ein Datenskandal. Leider schade, aber aktuell vor allem ist aktuell mehr denn je wohl das hier wahr:

Nachdem sich viele in jüngerer Vergangenheit ein zweites Standbein in Virologie aufgebaut haben, scheinen sich nun all diese parallel in Datenschutz und Verschlüsselungstechnologien weitergebildet zu haben. Der grosse Rest hat entweder einen Sauerteig gezüchtet oder Yoga gemacht.

und das wird durch so halbgare Artikel wie der von Frenzel und auch der von Lars einfach nur umso mehr befeuert.

…das ist mir schon lange klar, wäre mir persönlich auch zu perfide! Im Übrigen haben wir aber durch Microsoft auch eine eigenständige deutsche Azure-Cloud, welche ja damals bei Etablierung des Office 365 fast parallel aufgestellt werden mußte, nach deutscher DSGVO.
Und die App des ÖRK speichert ihre Daten nämlich genau auf dieser in Frankfurt laut eigener Aussage.
Was mich an diesem ganzen Konstrukt etwas mißtrauisch werden lässt, sind halt die Umstände, wie es final zu dieser Applikation gekommen ist…
Das ÖRK schreibt dazu:

Die Entwicklung, den Betrieb und die Wartung der Software haben wir an einen zuverlässigen Partner ausgelagert: Accenture GmbH, Börsegebäude, Schottenring 16, 1010 Wien.
Accenture besorgt unter Heranziehung weiterer, einzeln genehmigter Dienstleister das Hosting und den technischen Betrieb der App und des Servers („Backend“) sowie die Wartung im Störungsfall und die technische Datensicherheit.

Die Firma Accenture PLC ist in der Vergangenheit schon des öfteren mit Datenschutzskandalen etc. in Verbindung gebracht worden, inklusive ihrer unbestreitbaren Nähe zu „Palantir“ usw.
Desweiteren ist die eigentliche App-Finanzierung durch die Versicherungsgruppe „Uniqa“ selbst in Österreich ein großes Thema geworden, worüber dort noch keinerlei Einigkeit herrscht!

Dort schrieb vor Kurzem noch „DerStandard“:

Eine von Datenschützern immer wieder geäußerte Forderung ist jene zur Freigabe des Quellcodes. Denn nur so könnte unabhängig geprüft werden, ob die Angaben der Entwickler auch wirklich korrekt seien. Bei Accenture tritt man in dieser Hinsicht etwas auf die Bremse: Ja, eine Freigabe sei geplant, aber werde wohl noch einige Zeit dauern, heißt es offiziell. Grund dafür sei, dass man dafür einerseits den Code noch dokumentieren müsse. Zudem müsse der Code zuvor auch noch besser abgesichert werden, wie Michael Zettel, Country Managing Director Accenture Österreich, eingesteht.

Als ersten Schritt unternehme man insofern zunächst einmal eine Art „Shared Source“-Modell, wie es etwa auch Microsoft immer wieder verwendet hat. Der Quellcode wird also einzelnen Organisationen zur Einsicht gegeben. Zurzeit würden dazu etwa die Datenschutz-NGOs Noyb sowie Epicenter Works gehören, die in den kommenden Tagen erste Analysen des Source Codes veröffentlichen sollen.

Man sieht also, dass bei diesem Thema eine gesunde Art des Mißtrauens schon angebracht ist…natürlich ohne Vorverurteilung oder ähnlichem!! :wink:

Heiko Frenzel kritisiert vor allem, dass es doch easy gewesen wäre, die Daten innerhalb der EU speichern und auswerten zu lassen.

Wieso muss das immer in den USA geschehen, wo quasi keine Datenschutzgesetze ihren Namen verdienen würden. Weil Daten werden durch die US-Gesetze nicht oder nur sehr eingeschränkt geschützt. Ob man die Daten derzeit entschlüsseln kann oder nicht, wieso kann man das nicht hier machen? Hat Deutschland keine Server? Oder was ist das Problem?

Hab ich doch oben geschrieben…die Daten liegen auf den MS Azure-Cloudservern in Frankfurt - das behauptet ja sogar das ÖRK selber…
Zur damaligen Einführung von Office 365 hat man doch in Bezug auf Azure damals alles neu strukturieren müssen, damit es für Firmen in DE datenschutzkonform zu etablieren ist !

Microsoft Azure Deutschland bietet eine Cloudplattform, die auf den grundlegenden Prinzipien von Sicherheit, Datenschutz, Compliance und Transparenz beruht. Azure Deutschland ist eine physisch isolierte Instanz von Microsoft Azure. Es basiert auf Sicherheits- und Compliancediensten, die für alle auf dieser Architektur beruhenden Systeme und Anwendungen hinsichtlich deutscher Datenschutzbestimmungen von entscheidender Bedeutung sind. Azure Deutschland wird von einem Datentreuhänder überwacht und unterstützt verschiedene Hybridszenarien für die Erstellung und Bereitstellung von Lösungen lokal oder in der Cloud. Sie können auch die sofortige Skalierbarkeit und garantierte Verfügbarkeit eines überaus skalierbaren Clouddiensts nutzen.

Es bietet Datenhoheit bei der Übertragung und Speicherung in Deutschland und gewährleistet die Geschäftskontinuität per Datenreplikation zwischen deutschen Rechenzentren. Kundendaten in beiden Rechenzentren werden unter der Kontrolle eines Datentreuhänders, T-Systems International, verwaltet. Bei diesem Treuhänder handelt es sich um ein unabhängiges deutsches Unternehmen, eine Tochtergesellschaft der Deutschen Telekom. Dieser sorgt für eine umfassendere Kontrolle über Kundendaten, da der Zugriff nur mit der Zustimmung des Kunden oder des Datentreuhänders gewährt wird.

Die kommerziellen Clouddienste von Microsoft in diesen neuen Rechenzentren erfüllen die deutschen Gesetze zur Datenverarbeitung und bieten Kunden eine größere Auswahl an Möglichkeiten, wie und wo die Daten verarbeitet werden.

Azure Deutschland umfasst die Hauptkomponenten von Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS). Zu diesen Komponenten gehören Infrastruktur, Netzwerk, Speicher, Datenverwaltung, Identitätsverwaltung und viele andere Dienste.

Azure Deutschland unterstützt im Wesentlichen dieselben hervorragenden Funktionen, die von Kunden der globalen Azure-Umgebung genutzt wurden, wie etwa geografisch synchrone Datenreplikation und automatische Skalierung.

Ich hab Tomaten auf den Augen, sorry.

OK… :joy:
Daten der App des ÖRK werden in Frankfurt, DE gespeichert !

Hallo in die Runde :slight_smile:

Nene. Ich kritisiere, dass man allgemein keine eigenen Server dafür nutzt, sondern auf derartige Dienste Dritter zugreift. Es dürfte im Grunde kein Problem sein den Dienst auch selbst zu hosten.

Daten sind nur so lange anonymisiert und verschlüsselt, bis man sie entschlüsselt und mit einer IP-Adresse und Gerätedaten verbinden kann. Und dass gerade Microsoft und Google gerne derartige Informationen „zweckentfremden“ um zum Beispiel „das Nutzererlebnis“ zu verbessern, wissen wir ja. Oder?

Und darin sehe ich zum Beispiel ein Problem. Denn wenn ich allgemein nicht möchte, dass eine App überhaupt erst eine Verbindung zu irgendwelchen Dritten aufbaut, kann ich das in dem Fall weder unterbinden, noch werde ich vorab darüber informiert.

Absolut!

Laien? Okay.

Das sie final dann bei Azure Deutschland hosten, finde ich noch nicht einmal das schlimmste an der ganzen Vorgehensweise. Sondern das die Organisation die komplette Verantwortung für die Software abtritt und dann auch noch an an eine Firma (Accenture), die eigentlich noch nie wirklich datenschutzkonform gehandelt hat :wink: Siehe O-Ton des ÖRK:

Davon mal abgesehen, dass diese Originalaussage auf der ÖRK-Site ja schon faktisch in Teilen falsch ist, wenn man den Bezug zu Azure DE dabei nimmt!!
Letztendlich bleibt es sowieso noch ein Rätsel, wer diese ominöse App tatsächlich entwickelt und geschrieben hat?!? Liegt ja schon daran, dass Accenture eigentlich nur eine Unternehmensberatung mit besten Verbindungen zu Palantir und Konsorten ist - ein Schelm, der dabei böses denkt…! :rofl: :rofl:

1 Like

Danke an @sToRm sToRm aka Heiko Frenzel für seine Reaktion hier. Thx! Hatte ihn per Twitter auf diesen Thread hingewiesen…

1 Like