Überwachung bei den Olympischen Spielen: Die Corona-App hört mit

Peking taz | In China werden bereits seit über anderthalb Jahren sämtliche Corona-Informationen wie Impfstatus und Reiseprotokoll in einer Gesundheits-App gespeichert. Diese muss man in Peking längst auch beim bloßen Supermarktbesuch vorzeigen.

Was in China zum Alltag gehört, löst bei vielen internationalen Teilnehmern der Olympischen Winterspiele Ängste aus. Sie sind dazu verpflichtet, die App My2022 auf ihren Geräten zu installieren. Die Olympia-Anwendung fürs Smartphone enthält nicht nur relevante Informationen rund um die Spiele, sondern wird auch zum Eintragen der täglichen Körpertemperaturmessungen und der PCR-Test­ergebnisse verwendet.

Was zunächst harmlos klingt, wurde bereits vor über einer Woche von den Forscherinnen und Forschern des renommierten Citizen Lab aus Toronto als hoch­pro­ble­ma­tisch angeprangert: Die Verschlüsselung der Daten sei mangelhaft, Sprachnachrichten nicht sicher.

So könnten persönliche Daten von chinesischen Internetprovidern oder Telekommunikationsunternehmen über die Wifi-Hotspots in den Hotels, Flughäfen oder den olympischen Einrichtungen ausgelesen werden. Und überhaupt sei ohnehin nicht transparent, wer genau über Zugriff auf die Personendaten verfügt. Besonders heikel: Die App soll auch eine Liste mit potenziellen Triggerwörtern enthalten, um die Zensurbehörden zu warnen – darunter etwa „Xinjiang“ oder „Tibet“.

Laut Citizen Lab würde die App daher möglicherweise gegen die Regeln der App-Stores von Google und Apple verstoßen sowie auch gegen Chinas eigene Datenschutzgesetze. Das Internationale Olympische Komitee (IOK) hat die mediale Kritik weitgehend als haltlos abgetan. Man habe schließlich für die My2022-App die offizielle Erlaubnis der App-Stores von Google und Apple erhalten. Zudem sei sie ein wichtiger Bestandteil der Covidbekämpfung während der Spiele.

Reserve Engeneering

Doch nun hat ein IT-Experte aus Texas die Smartphone-Anwendung in sämtliche Einzelteile auseinandergenommen und sich auch den Code genauer angeschaut. „Reverse Engineering“ nennt man das in der Fachsprache. Und was Jonathan Scott während seiner Untersuchung vorfand, hat ihn laut eigener Aussage dann doch „überrascht“: Die App verwende nachweislich Technologie des teils staatlichen Unternehmens iFlytek, das von Washington auf die schwarze Liste gesetzt wurde.

Denn die Firma aus dem zentralchinesischen Hefei soll aktiv dabei mithelfen, Chinas Überwachung der muslimischen Minderheit der Uiguren in Xinjiang zu unterstützen. Dort unterhält die Volksrepublik ein System aus politischen Umerziehungslagern, das laut Schätzungen von Menschenrechtsorganisationen bereits mehrere Hunderttausend Muslime – möglicherweise über eine Million – durchlaufen mussten.

Zudem hat auch Scott nachgewiesen, dass sämtliche Audioaufnahmen der Olympiateilnehmer mit der App „gesammelt und analysiert“ werden können. Doch die Nutzer der App-Stores werden darauf trotz anders lautender Bestimmungen nicht hingewiesen. Dies ist ein grobes Vergehen. Handelt es sich dabei um Fahrlässigkeit oder absichtliche Spionagelücken? Hacker Scott kann das nicht nachweisen.

Doch er sagt: „Die Erwartung, dass China ohnehin Spyware entwickelt, ist so weit verbreitet, dass viele Journalisten und Forscher bereits abgestumpft gegenüber solch schwerwiegenden Ver­gehen der App sind.“ Diese solle man auf jeden Fall ernst nehmen. Immerhin muss, wer zu den Spielen reist, Bilder des Reisepasses sowie des Personalausweises hochladen.

Verschiedene nationale olympische Komitees nahmen die Sache ­bereits ernst: Die Niederlande haben ihre Athletinnen angewiesen, private Telefone für Peking zu Hause zu lassen. Auch das britische ­Olympiateam hat die Teilnehmer der Spiele davor gewarnt, eigene Geräte in Peking zu nutzen. Der Deutsche Olympische Sportbund empfiehlt, die App nur im Flugmodus zu nutzen.