"My2022-App" - IOC will Probleme beheben
18. Januar 2022Das IOC teilte der DW mit, dass die chinesische Smartphone-App "My2022", die von allen Athleten bei den bevorstehenden Winterspielen in Peking genutzt werden soll, von zwei unabhängigen Organisationen für Cybersicherheitstests geprüft wurde - und dabei "keine kritischen Schwachstellen" vorgefunden wurden.
Die Erklärung des Internationalen Olympischen Komitees (IOC) folgte auf die Exklusiv-Story der DW, in der die Sicherheitslücken in der "My2022"-App aufgezeigt wurden. Das IOC teilte der DW in einer E-Mail-Antwort mit, dass es den veröffentlichten Bericht des "Citizen Labs" der Universität Toronto angefordert habe. Darin werden die Schwachstellen für Hacker beschrieben, einschließlich einiger Cybersicherheitsmaßnahmen, die laut dem "Citizen Lab" recht "trivial umgangen werden können".
"Die Anwendung 'My2022' ist ein wichtiges Instrument im Werkzeugkasten der COVID-19-Gegenmaßnahmen", heißt es in der IOC-Erklärung. "Die 'My2022'-App unterstützt die Funktion zur Gesundheitsüberwachung."
"Citizen Lab" behauptet dagegen, dass die elektronischen Formulare der "My2022"-App zur Übermittlung des Gesundheitszustands und der medizinischen Vorgeschichte eines Nutzers sowie dessen Pass- und Reisedaten und den demografischen Informationen zu den Schwachstellen der App gehören. Darüber hinaus sollen Serverantworten "gefälscht" werden können, so dass Hacker den Nutzern gefälschte Mitteilungen anzeigen könnten.
Konfigurationen und Bedenken
Laut IOC kann die App vom Benutzer so konfiguriert werden, dass der Zugriff auf Funktionen wie "Dateien und Medien, Kalender, Kamera, Kontakte" sowie auf den Standort des Benutzers, sein Telefon und das Mikrofon deaktiviert wird. Ob sich die meisten Olympia-Teilnehmer allerdings die Zeit nehmen werden, die App so zu konfigurieren, dass ihre Nutzung eingeschränkt wird, und ob das "Citizen Lab" auch dort weitere Schwachstellen feststellt, ist eine Frage für zukünftige Studien.
Einige Länder, darunter Deutschland, die Niederlande und die USA, haben die Sportler davor gewarnt, persönliche Telefone, Tablets oder Laptops zu benutzen oder gar nach Peking mitzubringen, weil die Bedenken hinsichtlich der Cybersicherheit und der möglichen Überwachung groß sind.
Das IOC erklärte: "Der Nutzer hat die Kontrolle darüber, worauf die App 'My2022' auf seinem Gerät zugreifen kann. Er kann die Einstellungen bereits während der Installation der App oder zu jedem beliebigen Zeitpunkt danach ändern". Außerdem heißt es, dass die App vom Google Play Store für Android-Telefone und vom App Store für Apple-Telefone "genehmigt" worden sei.
IOC: Nicht vorgeschrieben
Trotz des Berichts des "Citizen Labs", in dem die App als verpflichtend angesehen wird, sagt das IOC, dass "die Installation von 'My2022' auf Mobiltelefonen nicht vorgeschrieben ist, da akkreditiertes Personal sich stattdessen auf der Webseite in das Gesundheitsüberwachungssystem einloggen kann".
Das IOC teilte zudem mit, dass die App auch von den "lokalen Mitarbeitern von Peking 2022 für die Zeiterfassung, das Aufgabenmanagement und Instant Messaging genutzt wird, daher ist die App nicht nur für internationale Nutzer gedacht." Es fügt hinzu: "Wir haben den Bericht von 'Citizen Lab' angefordert, um ihre Bedenken besser zu verstehen."
Auch der Deutsche Olympische Sportbund reagierte in einer Stellungnahme und erklärte, man werde die Berichte über die Datensicherheit nicht kommentieren, aber "mit dem Bundesinstitut für Sicherheit in der Informationstechnik (BSI) zusammenarbeiten".
"Unsere Athleten werden in Peking mit einem Smartphone des IOC-Partners Samsung ausgestattet", heißt es weiter. "Das BSI empfiehlt, 'My2022' auf diesen Geräten in China zu verwenden und zu Hause zu deinstallieren. Ohne 'My2022' gibt es keine Einreise nach China gemäß den Spielregeln von Peking."
"Unerklärlich und unverantwortlich"
Scharfe Kritik kam von Seiten "Athleten Deutschland e.V.". Die Organisation vertritt die Interessen von mehr als 1000 deutschen Kader-Sportlerinnen und -Sportlern. "China hat seinen Überwachungsapparat perfektioniert, lässt Kritiker verschwinden und begeht eklatante Menschenrechtsverletzungen. Wir sollten nicht naiv sein und Szenarien, die für uns unvorstellbar sind, leichtfertig abtun", schrieb der Verein an die DW.
"Stattdessen sollten die Organisatoren und das IOC auf alle denkbaren Szenarien vorbereitet sein - sei es eine mögliche Manipulation der Corona-Tests, Überwachung und Spionage oder Repressalien gegen kritische Sportler... Es scheint jedoch, dass das IOC und die Organisatoren ihrer Sorgfaltspflicht nicht ausreichend nachkommen, wie der jüngste Bericht des 'Citizen Labs' zeigt. Es ist unerklärlich und unverantwortlich, dass das IOC von den Teilnehmern verlangt, eine App mit solch eklatanten Sicherheitslücken zu verwenden."
Auch EU Athletes, ein Zusammenschluss von 35 europäischen Athletenvertretungen, sieht Versäumnisse des IOC. "Das IOC hätte proaktiv darauf hinwirken müssen, dass die App, die es den Athleten in seinem Playbook wiederholt zum Herunterladen empfohlen hat, die Athleten nicht in Gefahr bringt", sagte Generalsekretärin Paulina Tomczyk der DW. "Es ist inakzeptabel, dass das Organisationskomitee nicht auf die Bedenken reagiert hat, die ihm bereits im Dezember vergangenen Jahres mitgeteilt wurden."