Bund empfiehlt Mitarbeitenden ein „Katar-Handy“- aber nicht der Bevölkerung

Viel wurde bereits über die ominösen Contact Tracing/WM-Apps von Katar geschrieben, die die Fussballfans herunterladen müssen für die bevorstehende Fussball-WM. Es handelt sich um die Apps „Ehteraz“ und „Hayya“. Ehteraz ist eine covid-19-Tracking-App, während Hayya als offizielle WM-App fungiert, mit der man den Überblick über die Spieltickets behält und die kostenlose Metro in Katar nutzen kann.

Laut der Recherchen des öffentlich-rechtlichen Senders NRK verlangen die Apps so viel Befugnisse dass quasi der Katarische Staat mit einem Bein schon in einem Smartphone „drinsitzt“.

So beschreiben die norwegischen Journalisten die Funktionen: Die covid-19-App Ehteraz möchte insbesondere Zugriffsrechte auf dem Mobiltelefon, z. B. das Lesen, Löschen oder Ändern aller Inhalte auf dem Telefon, das Herstellen einer WiFi- und Bluetooth-Verbindung, das Außerkraftsetzen anderer Apps und das Verhindern des Abschaltens des Telefons in den Schlafmodus. Ausserdem wird damit dem Katarischen Staat (offiziell dem „Gesundheitsamt“) eine Übersicht über den genauen Standort des Telefons mitgegeben, zudem die Möglichkeit, direkte Anrufe über das Telefon zu tätigen, und die Möglichkeit, die Bildschirmsperre zu deaktivieren.

Besonders die Information wo sich welche Handys aufhalten, stufen die von NRK befragten Forscher:innen von Mnemonic und Bouvet als besonders gravierend ein. So steht im Artikel: „Auf diese Weise können sie die Informationen miteinander verknüpfen und herausfinden, mit wem man sich trifft und spricht.“ Für LGBTQ-Fussballfans nicht ungefährlich, wenn diese beispielsweise Gay-Bars aufsuchen möchten (sofern diese in Katar überhaupt existieren).

Die Hayya-App verlange laut NRK nicht so viele Befugnisse, habe aber ebenfalls eine Reihe von kritischen Aspekten. Unter anderem bittet die App um die Freigabe Ihrer persönlichen Daten fast ohne Einschränkungen. Darüber hinaus bietet die Hayya-App Zugriff auf die Bestimmung des genauen „Standorts des Telefons, die Verhinderung des Ruhezustands des Geräts und die Anzeige der Netzwerkverbindungen des Telefons“.

Viele Medien weltweit haben diesen Primeur aufgenommen. Nun gibt es auch von der Schweiz eine amtliche Bestätigung dieser mutmasslichen Spionage.

Letzte Woche haben Angestellte der Bundesverwaltung folgende Email vom „Mobile Device Management“ des BIT-Teams erhalten (der „Blick“ berichtete bereits): Zum einen werden jene beiden Apps gesperrt auf den Geschäftshandys. Zum anderen wird empfohlen auch auf dem privaten Smartphones weder Ehterazz noch Hayya zu installieren. Und sich dafür ein Billig-Smartphone zuzulegen.



Interessant dabei: warum wird jene Information nicht der allgemeinen Bevölkerung zugänglich gemacht? Und welche Befunde hinsichtlich der Spionage-Tätigkeit liegen dem National Cybersecurity Centre und dem BIT vor?

Wir haben nachgefragt, geantwortet hat die Bundeskanzlei – genauer der Bereich DTI, verantwortlich für die digitale Transformation und IKT-Lenkung- die hier offenbar die Koordination und Kommunikation dieser Massnahme verantwortet.

Frage: : Welche Hinweise hat das BIT/NCSC zur Spionagetätigkeit von Katar?

„Es handelt sich um eine Vorsichtsmassnahme aufgrund von Medienberichten. Es wurden keine zusätzlichen Analysen vorgenommen.“

Bundeskanzlei-Sprecher Florian Imbach

Imbach verweist auf Berichte in der Netzwoche, dem Bayrischen Rundfunk, die wiederum alle auf den obigen NRK-Bericht referenzieren. Nun denn, wir haben kurz beim Analysetools Exodus Privacy nachgeschaut und können jene weitreichenden Zugriffsrechte im Fall von Android bestätigen. Man beachte vor allem die ersten drei aufgelisteten:

Die Berechtigungen bei „Ehteraz“ (Google Playstore), das rote Ausrufezeichen bedeutet: „Das Symbol zeigt ein „Gefährliches“ oder „Spezial“-Level nach Googles Schutzniveau an.“

Zweite Frage: Weshalb wird diese Information nicht der allgemeinen Bevölkerung zugänglich gemacht?

„Grundsätzlich gibt das NCSC keine Empfehlungen zur Verwendung von Produkten ab. Die Cybersicherheit liegt in der Verantwortung der Unternehmen, Behörden sowie Privatpersonen. Der Entscheid, welche Produkte sie hierzu einsetzen und die dazugehörende Risikoeinschätzung, liegt in deren Kompetenz.“

Bundeskanzlei-Sprecher Florian Imbach

Abgesehen davon dass es sich ja im Grunde um eine Verhaltensempfehlung handelt und nicht um eine „Produktpromotion“: Der Schutz vor Überwachung liegt also gemäss dieser Antwort gutschweizerisch in der Eigenverantwortung der Fussballfans. Diese müssen selber Zusatzaufwendungen für ein Zweitgerät machen (und vor allem selber erst auf die Idee kommen).

Wer also bis hierhin gelesen hat, fussballbegeistert ist und effektiv plant nach Doha zu reisen, sei hiermit vorgewarnt: Verweigern kann man die Installation jener App Ehteraz nicht.

Fun Fact: Während man beim Schweizer EDA vergebens Informationen sucht rund um die Apps – es gibt weder eine Warnung noch einen Hinweis zur verpflichtenden Installation- wird man beim deutschen Auswärtigen Amt fündig: Dort wird zwar allgemein vor Katarischen Gesichtsscannern und Videokameras gewarnt und für Datenschutz sensibilisiert, beim Thema Ehteraz-App steht lediglich dass sie für „für den Besuch von Gesundheitseinrichtungen benötigt werde“ (obligatorisch ist der Download aber trotzdem).

Ein Déjà-Vu zum Thema getarnte Überwachungsapps gab es in den letzten Tagen auch für Gäste der Klima-Konferenz in Ägypten: auch dort werden die Teilnehmenden der internationalen Staatengemeinschaft von Expert:innen gewarnt vor der offiziellen Konferenz-App Ägyptens. Es handelt sich um mutmassliche Cyberwaffen mit „Backdoor-Privilegien“, bei denen auch mutmasslich verschlüsselte Chatnachrichten (wie auf Whatsapp) mitgelesen werden können. Leider lässt sich diese Aussage nicht überprüfen: Die App COP27 ist leider nicht „untersuchbar“ bei Privacy Exodus weil geographisch eingeschränkt auf Ägypten. Doch der Vorwurf ist gut nachvollziehbar: Ägypten hat einen grossen Track Record in der Verfolgung und Ausspähung von Dissidenten und der Opposition.

Update 2.12.2022 Teil I: Der EDÖB hat schlussendlich den Job der anderen Behörden übernommen und am 18.11 eine Empfehlung ausgesprochen: EDÖB empfiehlt Reisenden Zweit-Smartphone

Update 2.12.2022 Teil II: Drei SVP-Nationalräte reisten nach Katar zu einem Spiel der Schweizer Nati-Mannschaft. Nationalrat Thomas Aeschi buchte seine Unterkunft über die offizielle WM-App. Hoffentlich auf einem Billig-Smartphone, sonst stellt sich die Frage: Welche Gefahr geht von Bundespolitikern aus, die sich Katarische Überwachungsapps auf Handys laden?

Eine Antwort

  1. Sein normales Mobiltelephon nicht verwenden zu koennen bedeutet auch seine Kreditkarte nicht verwenden zu koennen. Die naechste Frage waere also, was geschieht wenn mas das nicht infizierte Zweithandy hervorzieht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge