Cyber-Security in digitalen Gästebüchern

Fachhochschule St. Pölten, Masterarbeit, Studiengang Inforamtion Security

Die COVID-19 Pandemie hat in den letzten zwei Jahren gezeigt, wie sehr es vor allem in dichtbesiedelten Gebieten ausschlaggebend ist, ein effizientes Contact-Tracing-System zu nützen, um die Infektionen so gut wie möglich zurückführen und eindämmen zu können. Daher hat die Österreichische Bundesregierung verordnet, dass bestimmte Betriebe die Kontaktdaten ihrer Gäste erheben und diese den Gesundheitsbehörden im Falle eines COVID-19 (Verdacht-) Falles zur Verfügung stellen müssen. Da dies gerade bei hochfrequentierten Betrieben wie Cafés über ein vorgedrucktes Formular nur schwer umsetzbar ist, haben viele Unternehmen kleine Apps entwickelt um schnell die erforderlichen Daten der Gäste erheben und abspeichern zu können. Diese Arbeit untersucht einige der vorhandenen Applikationen und versucht herauszufinden, ob diese nach dem Prinzip „Privacy by default“ - ein theoretisches Konzept, mit dem Ziel die Daten so weit zu verarbeiten, dass nur Personen diese einsehen können, wenn dies unbedingt erforderlich ist - umgesetzt wurden. Dies soll auch für zukünftige Applikationen ein Wegweiser sein. Der Schutz der persönlichen Daten gegen Missbrauch ist bei Tracing-Apps sehr wichtig. Nur wenn die Gesellschaft vertrauen bei der Verarbeitung ihrer Daten hat, werden die Tracing-Apps angenommen was ein effizientes Arbeiten der Behörden ermöglicht. Immer wieder kommt es zu Vorfällen, wo Angreifer eine große Menge an Daten von Servern stehlen und diese im Darknet zu Geld machen. Dies ist mittlerweile ein sehr lukratives Geschäft. Damit der Erfolg solcher Angriffe minimiert wird und weder die Betriebe noch die Anbieter solcher Apps die Daten unrechtmäßig verwenden können, müssen die Daten Ende-zu-Ende verschlüsselt werden. Das bedeutet, dass die Daten schon am Gerät des Gastes mit einem öffentlichen Schlüssel verschlüsselt und erst dann zum Server übertragen werden. Auch die Schlüsselgeneration muss am Client der Gastronomiebetreiber*innen stattfinden, damit ausgeschlossen werden kann, dass der Anbieter der App den privaten Schlüssel verarbeiten kann, denn nur mit diesem, können die Daten wieder entschlüsselt werden. Da die Gastronomiebetreiber*innen den privaten Schlüssel besitzen können diese jederzeit die Daten entschlüsseln. Damit das nicht möglich ist verhindert das 4-Augen-Prinzip ein vorzeitiges Auslesen der Daten. Der Anbieter der App darf die Daten dem Betrieb nur freigeben, wenn diese von einer Gesundheitsbehörde angefordert werden. Fast alle der untersuchten Applikationen verwenden keine derartige Verschlüsselung. Damit haben die Anbieter solcher Apps jederzeit Zugriff auf die gesammelten Daten all ihrer Kundinnen und Kunden. Nur zwei Applikationen wurden gefunden, welche eine Ende-zu-Ende Verschlüsselung implementiert haben. Viele der Anwendungen weisen zudem auch sicherheitsrelevante Fehlkonfigurationen am Server auf, wie z.B. nicht gesetzte Security Header. Abseits des Mangels an Datenschutz wird außerdem bei einigen Applikationen die Verordnung nicht ordnungsgemäß umgesetzt, da entweder zu viele oder zu wenig Daten erhoben werden oder diese mit Gewinnspielen verknüpft wurden.

In the past two years, the COVID-19 pandemic has shown how crucial it is to use an efficient contact tracing system, especially in densely populated areas, in order to be able to trace back and, thus, contain infections as well as possible. Therefore, the Austrian government has decreed that certain companies must collect contact details of their guests and provide those to healthcare authorities in the event of a (suspected) COVID-19 case. Since this is difficult to achieve via a pre-printed form, especially for high-traffic businesses such as cafés, many firms have developed small apps to quickly collect and store the required guest data. In this paper, existing apps are examined and analysed whether they have been implemented according to the principle of "privacy by default" - a theoretical concept that aims to process data to the extent that only people who need to see it can do so. Additionally, this can be used as a guide for future applications. The protection of personal data against misuse is crucial in tracing apps. Only if society trusts the processing of their data, tracing apps will be accepted which enables the authorities to work efficiently. Furthermore, incidents of attackers stealing a large amount of data from servers and turning it into money on the darknet are increasing steadily. Lately, this has become a lucrative business amongst hackers. To minimise the success of such attacks and to ensure that neither companies nor providers of such apps can use the data illegally, it must be encrypted end-to-end. More precisely, the data has to be encrypted already on the guests’ device with a public key and only then transmitted to the server. The key generation must also take place at the restaurant operator's client in order to rule out that the app operator is able to process the private key, as the data can only be decrypted again with this private key. Since the restaurant operator has the private key, he can decrypt the data at any time. To ensure that this is not possible, the 4-eyes principle prevents the data from being read out prematurely. The app provider may only release the data to the respective restaurant if it is requested by a health authority. Almost all of the apps examined in this paper do not use this type of encryption which means that providers of these apps have access to the collected data of all their customers at any time. Only two apps were found that provide end-to-end encryption. Moreover, numerous of the assessed apps have security-relevant misconfigurations on the server, such as security headers that are not set. Beyond the lack of data protection, some applications also fail to properly implement the regulation set by the government by either collecting too much or too little data or linking it to sweepstakes.