Kontaktverfolgung in Katar: Corona-App greift auf Fotos zu

Weltweit sorgen Corona-Apps für Angst vor Überwachung. Katars Innenministerium geht im vermeintlichen Kampf gegen das Virus besonders weit.

Ein Plakat zeigt eine Frau mit Mundschutz und den Slogan "We need You to stay at home"

Plakat in Doha, Katar, April 2020 Foto: Nikku/Xinhua/imago

BERLIN taz | Allein im Google Play Store wurde sie in wenigen Tagen mehr als eine Million Mal heruntergeladen: „Ehteraz“, die Corona-Warn-App, mit der das kaum drei Millionen EinwohnerInnen zählende Katar dem Coronavirus den Kampf angesagt hat. Mit der unveröffentlichten Zahl an Apple-Downloads dürfte der Großteil der Menschen in Katar die App auf ihrem Smartphone installiert haben.

Ganz Katar also im „Ehteraz“-Fieber? Nicht wirklich, denn neuerdings ist es gesetzliche Vorschrift, die App installiert zu haben. „Alle BürgerInnen und BewohnerInnen sind verpflichtet, die Ehteraz-App zu installieren, wenn sie das Haus aus irgendeinem Grund verlassen“, verkündete die staatliche Nachrichtenagentur vergangene Woche. Wer dagegen verstößt, dem droht eine Geldstrafe von 200.000 Katar-Riyal (50.800 Euro) oder bis zu drei Jahre Gefängnis.

Weltweit sorgen Corona-Apps derzeit für Diskussionen. In Deutschland soll die Kontaktverfolgung per Smartphone ab Beginn der Sommerferien in etwa vier Wochen starten. In rund 40 Ländern weltweit sind bereits Apps im Einsatz, die eine Verfolgung von Infektionsketten erleichtern sollen. In der chinesischen Metropole Hangzhou regt sich Unmut, weil die Lokalregierung die chinesische Corona-App mit ihrem Gesundheitscode auch in Post-Pandemie-Zeiten beibehalten möchte.

„Ehteraz“, die von Katars Innenministerium entwickelte Pflicht-App, ist auch deshalb umstritten, weil sie offenbar einen massiven Eingriff in die Privatsphäre mit sich bringt. Medienberichten zufolge hat die App Zugriff auf private Dateien, auch auf Fotos und Videos. Android-NutzerInnen müssen demnach den Zugriff auf ihre Fotos nach der Installation erlauben, sonst laufe die App nicht.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Externen Inhalt erlauben

Starting tomorrow, installing Ehteraz app on your smartphone is mandatory for everyone when leaving the house for any reason as a precautionary measure to limit the spread of COVID-19. #YourSafetyIsMySafety

App Store: https://t.co/XfgPgduY98

Google Play: https://t.co/Cvs9kMm8oi pic.twitter.com/K2Zujm6rhS

— مكتب الاتصال الحكومي (@GCOQatar) May 21, 2020

Auch ist es nicht möglich, „Ehteraz“ auszuschalten, im Hintergrund läuft sie ununterbrochen. Da die App nicht nur Bluetooth zur Kontaktverfolgung nutzt, sondern technisch auch in der Lage ist, den genauen Standort von NutzerInnen per GPS in Echtzeit zu tracken, und darüber hinaus mit der nationalen Identifikationsnummer verknüpft ist, könnte der Staat also zu jeder Uhrzeit nachverfolgen, wer sich in Katar wo mit wem aufhält.

Amnesty deckt Sicherheitslücke auf

Auf Kritik hat die Regierung mittlerweile reagiert, ohne aber die grundlegenden Bedenken auszuräumen. „In Katar Wohnhafte brauchen keinerlei Bedenken bezüglich ihrer Privatsphäre zu haben“, sagte Mohammed bin Hamad Al Thani, ein hochrangiger Mitarbeiter des Gesundheitsministeriums, der Zeitung Gulf Times. Warum es dafür des Zugriffs auf Fotos bedarf, erklärte er nicht schlüssig. Al Thani zufolge ist das zweitrangig, da die Daten ohnehin nicht in die Hände Dritter gelangen würden, sondern nur „relevanten, spezialisierten Teams“ zugänglich seien.

Doch selbst wenn die Daten bei den Gesundheitsbehörden blieben und nicht mit anderen staatlichen Stellen – Polizei oder Geheimdiensten – geteilt würden sowie nach spätestens zwei Monaten gelöscht würden, bliebe ein Sicherheitsrisiko, sind sich KritikerInnen einig. IT-ExpertInnen von Amnesty International machten am Dienstag eine „riesige Sicherheitslücke und einen grundlegenden Fehler in Katars Kontaktverfolgungs-App“ öffentlich.

Der Fehler sei am Freitag behoben worden, also erst an dem Tag, als die App für alle verpflichtend wurde. Er hätte, schreiben die ExpertInnen, „Cyber-Angreifern den Zugriff auf hochsensible Informationen ermöglicht, einschließlich des Namens, der nationalen Identifikationsnummer, des Gesundheitszustands und der Standortdaten von mehr als einer Million Benutzern“.

Dezentrales Modell in Deutschland

Claudio Guarnieri, Leiter von Amnestys „Security Lab“ in Berlin, warnte, das katarische Beispiel müsse ein „Weckruf“ für Regierungen weltweit sein. „Wenn Technologie eine wirksame Rolle bei der Bekämpfung des Virus spielen soll, müssen die Menschen darauf vertrauen können, dass Kontaktverfolgungs-Apps ihre Privatsphäre und andere Menschenrechte schützen“, teilte er mit.

Die deutsche Corona-App wird derzeit im Auftrag der Bundesregierung vom Softwarekonzern SAP und der Deutschen Telekom entwickelt. DatenschützerInnen, NetzaktivistInnen und Medien hatten ursprüngliche Pläne von Gesundheitsminister Jens Spahn kritisiert und eine Debatte über über zentrale oder dezentrale Speicherung losgetreten. Bei dem zentralen Modell sollten die Daten auf einem zentralen Server gespeichert werden.

Mittlerweile ist die Bundesregierung umgeschwenkt und favorisiert ein dezentrales Modell, bei dem die Daten zunächst nur auf den Smartphones, also nicht bei einer staatlichen Stelle, gespeichert werden. SAP und Telekom haben versprochen, möglichst transparent zu arbeiten, und veröffentlichen nun regelmäßig Informationen zur App-Architektur auf der Open-Source-Plattform Github.

Einmal zahlen

.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.