Dieser Artikel stammt von Netzpolitik.org.Der Autor ist…
Die norwegische Corona-App Smittestopp sammelte in einer ersten Version haufenweise personenbezogene Daten. Das Experiment wurde gestoppt, doch der Datensatz offenbar nicht gelöscht, sondern „anonymisiert“ und weiterverwendet. Ein Forscher zeigt nun, wie leicht die vermeintliche Anonymisierung zu knacken ist.
Die ehemalige norwegische Premierministerin Erna Solberg (Archivbild) – CC-BY-SA 3.0 Kjetil ReeNorwegens Regierung soll gegen Datenschutzauflagen bei der Nutzung von Daten aus der Corona-Kontaktverfolgungs-App Smittestopp verstoßen haben. Zu diesem Schluss kommt der Sicherheitsforscher Hagen Echzell in einer Untersuchung, die er am Dienstag auf der Norwegian Information Security Conference vorgestellt hat. Anders als von den Verantwortlichen behauptet, so Echzell in seinem Bericht, seien sensible Daten aus der Smittestopp-App mit hoher Wahrscheinlichkeit weder gelöscht noch anonymisiert worden.
Apps wie die deutsche Corona-Warn-App oder die norwegische Smittestopp sollten zu Hochzeiten der Corona-Pandemie dabei helfen, Mitmenschen über Begegnungen mit positiv getesteten Personen zu informieren. Norwegen ging dabei in Europa einen Sonderweg und brachte eine Warn-App auf den Markt, die viele Daten sammelte, um Forschung einfacher zu machen.
Der norwegische Sonderweg bei der Kontaktverfolgung dauerte nicht lange, doch die Zeit reichte aus, um einen beachtlichen Datenberg anzuhäufen. Vom 17. April bis 4. Juni 2020 zeichnete die Anwendung nicht nur Begegnungen mit anderen Menschen auf Basis von Bluetooth-Signalen auf, sondern auch vollständige Bewegungsmuster mittels GPS. Die norwegische Gesundheitsbehörde NIPH speicherte die Informationen in individuellen Profilen, die mit einer eindeutigen Kennung versehen wurden.
Gelöscht, anonymisiert oder weder noch?
Auf Druck der norwegischen Datenschutzbehörde stampfte die Regierung von Ministerpräsidentin Erna Solberg die erste Version der App bald ein und veröffentlichte eine datensparsame Variante. Die Gesundheitsbehörde versprach öffentlich, die Daten zu löschen.
Deshalb staunte Sicherheitsforscher Hagen Echzell nicht schlecht, als im Oktober 2021 Forscher:innen des staatlichen Simula Research Laboratory eine Studie zur Wirksamkeit der Smittestopp-App veröffentlichten, die auf den gesammelten Daten aus der Anfangsphase zu basieren schien.
Simula hatte die Smittestopp-App mit entwickelt und kam in der Studie zu dem Schluss, dass die Anwendung dabei geholfen habe, die Pandemie einzudämmen. Doch wie sollte das analysiert worden sein, wenn die Daten gelöscht worden wären?
Echzell forschte nach, unter anderem mit Anfragen nach dem norwegischen Informationsfreiheitsgesetz. Nach seinen Erkenntnissen erlaubte die Gesundheitsbehörde dem regierungseigenen Simula-Forschungsinstitut die Weiternutzung der Daten, sofern diese anonymisiert würden. Tatsächlich bietet Simula den Datensatz auch anderen Forscher:innen an, sofern diese Vertraulichkeit zusichern.
Verräterische Datenmuster
Echzell selbst hatte keinen Zugriff auf die Daten, leitete jedoch aus dem Simula-Forschungsbericht ab, wie der genutzte Datensatz ausgesehen haben muss. Vereinfacht gesagt bestand die Anonymisierung wohl in erster Linie darin, die GPS-Daten zu entfernen und bestimmte Informationen zusammenzufassen. In einer E-Mail des nationalen Forschungsdatenzentrums heißt es Echzell zufolge, dass eine Re-Identifizierung von Individuen somit „schwer vorstellbar“ sei.
Der Sicherheitsforscher sieht das anders. Durch Hinzunahme anderer Datenquellen – zum Beispiel elektronische Zeiterfassungssysteme von Arbeitgebern, die sozialen Medien oder das norwegische Bevölkerungsregister – sei es möglich, einzelne Personen in dem Datensatz wiederzuerkennen. Die Anonymisierung sei in Wirklichkeit lediglich eine Pseudonymisierung.
Echzell demonstriert das unter anderem am Beispiel der damaligen norwegischen Premierministerin Erna Solberg. Der Forscher betrachtet hierzu unter anderem öffentliche Auftritte der Premierministerin im fraglichen Zeitraum. So habe die Politikerin am 16. April 2020 ein Foto auf Facebook veröffentlicht, auf dem sie und Gesundheitsminister Bent Høie ihre Smartphones in die Kamera halten. Es war der Startschuss für die Smittestopp-App – und für potenzielle Angreifer mit Datenzugriff ein verräterisches Ereignis.
Denn es müsste an diesem Tag, einen Tag vor dem offiziellen Launch der App, eine sehr spezifische Kontaktaufzeichnung in der App geben. Später geben Solberg und ihr Gesundheitsminister regelmäßig Pressekonferenzen. Auch hier dürften die Telefone nah beieinanderliegen, sodass sich im Datensatz Begegnungen der gleichen IDs an den entsprechenden Tagen finden lassen.
Solberg lasse sich noch durch weitere Muster in ihren Daten wiederfinden, argumentiert Echzell. So gäbe es dokumentierte Auftritte von ihr mit Schulkindern oder bei einer Tanz-Einlage für TikTok mit Krankenschwestern. Auch diese ließen sich im Datensatz erkennen, weil hier ungewöhnlich viele Begegnungen zur gleichen Zeit dokumentiert seien.
Institut sollte Anonymisierung selbst prüfen
Auch für weniger prominente Menschen ließen sich Muster in den Datensätzen finden, die sie wiedererkennbar machen, wenn man noch eine andere Datenquelle hinzuziehen kann. Aus den Begegnungsdaten ließe sich beispielsweise auch herauslesen, ob jemand zur Arbeit gegangen ist. Krankentage oder Isolationstage würden individuelle Muster erzeugen, die Arbeitgeber mit etwas Mühe wiedererkennen könnten.
Echzell warnt, dass die potenzielle Re-Identifizierung für verschiedene Gruppen Risiken mit sich bringe. Mithilfe der Daten könnten beispielsweise romantische Beziehungen zwischen Menschen aufgedeckt und journalistische Quellen enttarnt werden. Unabhängig davon stelle unzureichende Anonymisierung einen Verstoß gegen die Datenschutzgrundverordnung dar.
Auch wenn der Forscher deutlich macht, dass es sich bei seiner Untersuchung um hypothetische Szenarios handelt, da er den Originaldatensatz nicht vorliegen hat, muss sich die norwegische Regierung nun unangenehme Fragen stellen lassen. Der norwegische öffentlich-rechtliche Rundfunk NRK, der als Erstes über Echzells Forschung berichtete, zitiert mehrere Expert:innen, die die Plausibilität seiner Annahmen bestätigen.
Die norwegische Gesundheitsbehörde bestätigte dem NRK, dass Simula mit anonymen Smittestopp-Daten habe arbeiten dürfen. Allerdings habe das Forschungsinstitut selbst die Verantwortung getragen, sicherzustellen, dass die Daten anonymisiert sind. Geprüft hat die Regierung das offenbar nicht. Simula selbst wollte sich gegenüber NRK nicht äußern.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel
Author: Ingo Dachwitz
