Kontaktverfolgung in Katar: Corona-App greift auf Fotos zu
Weltweit sorgen Corona-Apps für Angst vor Überwachung. Katars Innenministerium geht im vermeintlichen Kampf gegen das Virus besonders weit.
Ganz Katar also im „Ehteraz“-Fieber? Nicht wirklich, denn neuerdings ist es gesetzliche Vorschrift, die App installiert zu haben. „Alle BürgerInnen und BewohnerInnen sind verpflichtet, die Ehteraz-App zu installieren, wenn sie das Haus aus irgendeinem Grund verlassen“, verkündete die staatliche Nachrichtenagentur vergangene Woche. Wer dagegen verstößt, dem droht eine Geldstrafe von 200.000 Katar-Riyal (50.800 Euro) oder bis zu drei Jahre Gefängnis.
Weltweit sorgen Corona-Apps derzeit für Diskussionen. In Deutschland soll die Kontaktverfolgung per Smartphone ab Beginn der Sommerferien in etwa vier Wochen starten. In rund 40 Ländern weltweit sind bereits Apps im Einsatz, die eine Verfolgung von Infektionsketten erleichtern sollen. In der chinesischen Metropole Hangzhou regt sich Unmut, weil die Lokalregierung die chinesische Corona-App mit ihrem Gesundheitscode auch in Post-Pandemie-Zeiten beibehalten möchte.
„Ehteraz“, die von Katars Innenministerium entwickelte Pflicht-App, ist auch deshalb umstritten, weil sie offenbar einen massiven Eingriff in die Privatsphäre mit sich bringt. Medienberichten zufolge hat die App Zugriff auf private Dateien, auch auf Fotos und Videos. Android-NutzerInnen müssen demnach den Zugriff auf ihre Fotos nach der Installation erlauben, sonst laufe die App nicht.
Empfohlener externer Inhalt
Auch ist es nicht möglich, „Ehteraz“ auszuschalten, im Hintergrund läuft sie ununterbrochen. Da die App nicht nur Bluetooth zur Kontaktverfolgung nutzt, sondern technisch auch in der Lage ist, den genauen Standort von NutzerInnen per GPS in Echtzeit zu tracken, und darüber hinaus mit der nationalen Identifikationsnummer verknüpft ist, könnte der Staat also zu jeder Uhrzeit nachverfolgen, wer sich in Katar wo mit wem aufhält.
Amnesty deckt Sicherheitslücke auf
Auf Kritik hat die Regierung mittlerweile reagiert, ohne aber die grundlegenden Bedenken auszuräumen. „In Katar Wohnhafte brauchen keinerlei Bedenken bezüglich ihrer Privatsphäre zu haben“, sagte Mohammed bin Hamad Al Thani, ein hochrangiger Mitarbeiter des Gesundheitsministeriums, der Zeitung Gulf Times. Warum es dafür des Zugriffs auf Fotos bedarf, erklärte er nicht schlüssig. Al Thani zufolge ist das zweitrangig, da die Daten ohnehin nicht in die Hände Dritter gelangen würden, sondern nur „relevanten, spezialisierten Teams“ zugänglich seien.
Doch selbst wenn die Daten bei den Gesundheitsbehörden blieben und nicht mit anderen staatlichen Stellen – Polizei oder Geheimdiensten – geteilt würden sowie nach spätestens zwei Monaten gelöscht würden, bliebe ein Sicherheitsrisiko, sind sich KritikerInnen einig. IT-ExpertInnen von Amnesty International machten am Dienstag eine „riesige Sicherheitslücke und einen grundlegenden Fehler in Katars Kontaktverfolgungs-App“ öffentlich.
Der Fehler sei am Freitag behoben worden, also erst an dem Tag, als die App für alle verpflichtend wurde. Er hätte, schreiben die ExpertInnen, „Cyber-Angreifern den Zugriff auf hochsensible Informationen ermöglicht, einschließlich des Namens, der nationalen Identifikationsnummer, des Gesundheitszustands und der Standortdaten von mehr als einer Million Benutzern“.
Dezentrales Modell in Deutschland
Claudio Guarnieri, Leiter von Amnestys „Security Lab“ in Berlin, warnte, das katarische Beispiel müsse ein „Weckruf“ für Regierungen weltweit sein. „Wenn Technologie eine wirksame Rolle bei der Bekämpfung des Virus spielen soll, müssen die Menschen darauf vertrauen können, dass Kontaktverfolgungs-Apps ihre Privatsphäre und andere Menschenrechte schützen“, teilte er mit.
Die deutsche Corona-App wird derzeit im Auftrag der Bundesregierung vom Softwarekonzern SAP und der Deutschen Telekom entwickelt. DatenschützerInnen, NetzaktivistInnen und Medien hatten ursprüngliche Pläne von Gesundheitsminister Jens Spahn kritisiert und eine Debatte über über zentrale oder dezentrale Speicherung losgetreten. Bei dem zentralen Modell sollten die Daten auf einem zentralen Server gespeichert werden.
Mittlerweile ist die Bundesregierung umgeschwenkt und favorisiert ein dezentrales Modell, bei dem die Daten zunächst nur auf den Smartphones, also nicht bei einer staatlichen Stelle, gespeichert werden. SAP und Telekom haben versprochen, möglichst transparent zu arbeiten, und veröffentlichen nun regelmäßig Informationen zur App-Architektur auf der Open-Source-Plattform Github.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Anschlag in Magdeburg
Bis Freitag war er einer von uns
Elon Musk und die AfD
Die Welt zerstören und dann ab auf den Mars
Magdeburg nach dem Anschlag
Atempause und stilles Gedenken
Bankkarten für Geflüchtete
Bezahlkarte – rassistisch oder smart?
Anschlag in Magdeburg
Der Täter hat sein Ziel erreicht: Angst verbreiten
Nordkoreas Soldaten in Russland
Kim Jong Un liefert Kanonenfutter