SafeVac 2.0-App: Risiken und Nebenwirkungen
Impfungen sind das wichtigste Instrument zur Bekämpfung der Corona-Pandemie. Auch wenn die zugelassenen Impfstoffe gut wirksam sind und ihr Nutzen mögliche Risiken überwiegt, können in seltenen Fällen Nebenwirkungen auftreten. Deshalb muss die Verträglichkeit der Impfstoffe detailliert und zeitnah erfasst werden. Zu diesem Zweck hat das Paul-Ehrlich-Institut die SafeVac 2.0-App entwickelt. Wir haben mit unserem Analyse-Tool APPVISORY die iOS-Version der SafeVac 2.0 App (v 2.1.0) unter die Lupe genommen und sie auf ihren Umgang mit Nutzerdaten überprüft.
Die SafeVac-App im iOS App Store
Über die SafeVac App
Nutzer:innen können in der SafeVac App Auskunft darüber geben, wie sie ihre Impfung vertragen haben und welche Nebenwirkungen eventuell aufgetreten sind. Dafür müssen sie Angaben über ihr Alter, ihre Größe, ihr Gewicht und ihr Geschlecht machen und die Chargennummer ihrer Impfung eintragen.
SAFEVAC APP
Version: iOS 2.1.0
CVSS SCORE
6.8 (high) – Empfehlung nur unter Vorbehalt
ANALYSE-ERGEBNIS
- Datenübertragung an die Website des Herstellers
- Umweg der Daten über amerikanisches Unternehmen
- Anfällig für MITM-Attacken (kein Certificate Pinning)
- Falsche Angaben möglich
- Keine Erhebung personenbezogener Daten
Datenschutz und SafeVac 2.0-App: Wie sicher ist die App?
Wir konnten feststellen, dass die App Daten nur an die Webseite des Herstellers übermittelt. Dies geschieht allerdings über den Umweg mit dem in Kalifornien ansässigen Unternehmen Cloudflare, das eine Web Application-Firewall für die Domain bereitstellt. Diese soll IT-Systeme vor Angriffen und unbefugten Zugriffen schützen – verschleiert jedoch auch, wo die Daten letztendlich effektiv gespeichert werden. Für Anwendungen im Gesundheitssektor wäre auf jeden Fall mehr Unabhängigkeit von amerikanischen Unternehmen wünschenswert.
Des Weiteren ist unseren Datenschutz-Experten aufgefallen, dass die App anfällig für Man-in-the-Middle-Attacken ist. Es können Daten wie die Chargennummer der Impfung in Verbindung mit dem Alter, der Größe, dem Gewicht, dem Geschlecht und der Case-ID abgefangen werden. Dies könnte damit zusammenhängen, dass die App kein Certificate Pinning nutzt. Es handelt sich dabei um einen Sicherheitsmechanismus, der Man-in-the-Middle-Angriffe verhindert und heutzutage zum Standard-Verfahren gehört. Die App-Entwickler sollten das Certificate Pinning deshalb schnellstmöglich einbinden.
Da die Chargennummern der Impfstoffe lediglich hochgezählt werden, ist es zudem möglich, andere Impfstoffdosen mit falschen Angaben einzutragen und somit die Ergebnisse zu verfälschen. Dadurch kann es gelingen, Falschinformationen über Corona-Impfstoffe zu verbreiten und den Impffortschritt zu behindern.
SafeVac 2.0-App: Unsere Datenschutz-Beurteilung
Die Nutzung der SafeVac 2.0-App empfehlen wir im Hinblick auf den Datenschutz nur unter Vorbehalt. Die App erstellt zwar eine Case-ID, also eine eindeutig dem User zuordenbare Kennung, die mit dem Alter, der Größe, dem Gewicht und dem Geschlecht des Nutzers verknüpft ist. Diese wird aber nicht mit personenbezogenen Daten wie dem Namen oder der Mailadresse übertragen. Unerfreulich ist weiterhin, dass die gesendeten Daten den Weg in die Vereinigten Staaten gehen müssen. Da jedoch keine personenbezogenen Daten erhoben werden, stellt dies vorerst kein größeres Problem dar. Die Möglichkeit der Manipulation durch die hochzählbaren Chargennummern ist bedenklich, jedoch nicht die Schuld des App-Entwicklers. Aufgrund der leichten Beeinflussungsmöglichkeit sollten den dort hinterlegten Daten nicht viel Vertrauen entgegengebracht werden.
SafeVac App Testergebnisse
Die detaillierten Testergebnisse der SafeVac 2.0-App finden Sie hier als Download:
Wie sicher sind Luca, CovPass & Co.?
In diesem Beitrag zu den wichtigsten Corona-Apps finden Sie die Testergebnisse von luca, CovPass & Co.
