Peking zwingt olympische Athleten, eine staatlich kontrollierte App zu verwenden

Peking will die Gesundheitsdaten der Athleten der Olympischen Winterspiele mit einer sogenannten COVID-App überwachen. Forscher und Athletenverbände warnen jedoch vor den erheblichen Sicherheitslücken der App und Zensur.
Titelbild
My-2022-App.Foto: FRANCOIS-XAVIER MARIT/AFP via Getty Images
Von 24. Januar 2022

Die Athleten, die an den Olympischen Winterspielen 2022 in Peking teilnehmen, müssen eine von der Kommunistischen Partei Chinas (KPC) kontrollierte App herunterladen. Ohne diese können sie nicht einreisen.

Die App mit dem Namen „My 2022“ („冬奥通“) dient in erster Linie der Überwachung der COVID-19-Gesundheitsdaten der Sportler. Entwickler haben jedoch erhebliche Sicherheitsbedenken wegen der Anwendung – da die Athleten technisch überwacht und zensiert werden. 

„Politisch sensible“ Themen wie das Tiananmen-Massaker von 1989 oder die Verfolgung von Minderheiten und religiösen Gruppen werden in einer Zensur-Liste in der App festgehalten. Chinesische Behörden können dadurch die Nutzer ausfindig machen und gegebenenfalls bestrafen.

Zudem befürchten Sportverbände auch, dass die Ergebnisse der täglichen Corona-Tests durch die App manipuliert werden könnten. Sie werfen dem IOC vor, sich gegenüber den Sportlern unverantwortlich zu verhalten, indem sie sie dazu zwingen, die App zu verwenden.

Ohne App keine Einreise

2021 haben die Organisatoren der Spiele in Peking zwei COVID-Handbücher herausgegeben. Demnach soll jeder, der zu den Spielen kommt, die App herunterladen, um überhaupt nach China einreisen zu können.

Die Athleten müssen persönliche Daten eingeben, beispielsweise ihren Impfstatus und allgemeine Gesundheitsdaten. Zudem sollen täglich die Körpertemperatur und auch die Ergebnisse der COVID-Tests eingetragen werden.

Doch die App kann noch viel mehr. Die Organisatoren der Sportveranstaltung empfehlen, My 2022 für die Kommunikation unter den Athleten und Personal zu verwenden. Dazu wurden auch Übersetzungsfunktionen eingebaut und grundlegende Informationen für den Aufenthalt während der Spiele. 

Was sich als ideale App für Athleten anhört, verbirgt jedoch enorme Sicherheitslücken, wie eine Forschungsgruppe an der Universität Toronto vor wenigen Tagen publik gemacht hat.

Laut der Analyse von „Citizen Lab“ gibt zwar My 2022 in seinen öffentlich zugänglichen Dokumenten relativ offen an, welche Arten von Daten es von den Nutzern erhebt, die App sammelt jedoch hochsensible medizinische Informationen und es ist unklar, mit wem oder welchen Organisationen sie diese Informationen teilt.

Zudem kann die Verschlüsselung der App „auf einfache Weise umgangen werden“, wodurch die Nutzer für Angriffe von Außenstehenden offen sind, die ihre persönlichen Gesundheitsinformationen und andere sensible Daten stehlen könnten. 

Es können Gesundheitszollformulare, Passdaten, demografische Informationen sowie die Kranken- und Reisegeschichte übermittelt werden und diese sind ebenfalls anfällig für Datenklau. 

Auch Server-Antworten können gefälscht werden, sodass ein Hacker den Nutzern gefälschte Anweisungen anzeigen kann, so die Bewertung der Forscher.

Keine SSL-Prüfung

Bei inländischen Nutzern erfasst My 2022 personenbezogene Daten wie Name, nationale Identifikationsnummer, Telefonnummer, E-Mail-Adresse, Profilbild und Beschäftigungsinformationen. Diese Daten werden an das Pekinger Organisationskomitee für die Olympischen Spiele 2022 weitergegeben. 

Bei internationalen Nutzern sammelt die App andere personenbezogene Daten, darunter demografische Informationen und Reisepassdaten (Ausstellungs- und Ablaufdatum) sowie die Organisation, der sie angehören.

Bildschirmfoto von der My 2022-App im Apple-Store. Foto: Epoch Times

My 2022 beschreibt selbst, dass es personenbezogene Daten ohne die Zustimmung der Nutzer offenlegen wird, wenn sie Angelegenheiten der nationalen Sicherheit, Vorfälle im öffentlichen Gesundheitswesen und strafrechtliche Ermittlungen betreffen. 

Laut „Citizen Lab“ wird in den Datenschutzrichtlinien jedoch nicht angegeben, ob die Offenlegung jeweils auf richterliche Anordnung erfolgt oder welche Organisationen möglicherweise Informationen erhalten würden.

Eine erhebliche Sicherheitslücke sehen die kanadischen Forscher darin, dass die App die SSL-Zertifikate nicht prüft. Dies könnte potenziellen Hackern ermöglichen, die vertrauenswürdigen Server zu täuschen, indem sie die Kommunikation zwischen der App und diesen Servern stören. 

Das Fehlen dieser Prüfung bedeutet, dass die App dazu verleitet werden kann, sich mit einem bösartigen Host zu verbinden, während sie glaubt, dass es sich dabei um einen vertrauenswürdigen Host handelt. 

Bildschirmfoto einer Bewertung der App My 2022. Foto: Epoch Times

Dadurch können Informationen, die die App an einen Server überträgt, abgefangen werden und die App kann gefälschte Inhalte anzeigen, die scheinbar von vertrauenswürdigen Servern stammen.

Zensur von „politisch sensiblen“ Inhalten

Ein weiterer Punkt ist, dass die App Funktionen enthält, die es Nutzern ermöglichen, „politisch sensible“ Inhalte zu melden. Dazu gibt es eine Liste mit Schlüsselwörtern zur Zensur. Die Liste ist zwar nicht aktiv, meint „Citizen Lab“, zielt jedoch auf eine Vielzahl politischer Themen ab. 

My 2022 hat Funktionen wie Echtzeit-Chats, Newsfeeds und Dateiübertragung. In der Android-Version der App haben die Forscher eine Datei namens „illegalwords.txt“ entdeckt, die eine Liste von 2.442 Schlüsselwörtern enthält. Diese gelten in China allgemein als politisch sensibel.

„Citizen Lab“ konnte jedoch nicht ermitteln, ob die Liste vollständig inaktiv ist oder ob die Liste noch absichtlich inaktiv ist. Die App enthält jedoch Codefunktionen, mit denen diese Liste für die Zensur verwendet werden kann, obwohl diese Funktionen derzeit nicht aufgerufen zu werden scheinen.

Wenn die Liste aktiv ist, können die Codefunktionen die Nutzer vom Senden von Nachrichten blockieren, die diese Wörter enthalten. Dies sei ein häufig verwendetes Instrument zur Zensur von Inhalten auf chinesischen Social-Media-Plattformen, schreibt „Citizen Lab“.

Die meisten der 2.442 Stichwörter sind in vereinfachtem Chinesisch, ein kleiner Teil in Tibetisch, Uigurisch, traditionellem Chinesisch und Englisch.

Zu den politisch motivierten Schlüsselwörtern gehören negative Verweise auf das chinesische politische System und innerparteiliche Machtkämpfe wie zum Beispiel der Machtkampf zwischen den ehemaligen Parteiführern Hu Jintao und Jiang Zemin („胡江内斗“). 

Auch die in China verbotene Meditationspraxis Falun Dafa (auch Falun Gong genannt) wird auf der Liste erwähnt, und zwar mit dem Spruch „Falun Dafa ist gut“ („法轮大法好“). Die Tiananmen-Bewegung von 1989 gehört auch zu den unerwünschten Begriffen („Tiananmen暴乱“). 

Die Forscher sind von ihren Ergebnissen jedoch nicht überrascht. In China gebe es weder Gesetze noch spezielle Behörden, die die Sammlung und den Schutz personenbezogener Daten durch private Unternehmen überwachten.

Auch My 2022 wurde von einem chinesischen Staatsunternehmen namens „Beijing Financial Holdings Group“ entwickelt und nicht vom Pekinger Organisationskomitee selbst, wie sie behaupten.

IOC weist Bericht zurück

Das Internationale Olympische Komitee (IOC) und die Behörden in Peking wiesen laut „Reuters“ den Bericht von „Citizen Lab“ zurück. Sie versichern, die Datenschutzmaßnahmen der App entsprächen internationalen Standards und chinesischem Recht.

„Der Nutzer hat die Kontrolle darüber, worauf die ‚My 2022‘-App auf seinem Gerät zugreifen kann“, so das IOC in einer Erklärung gegenüber der „Deutschen Welle“. Die My 2022-Anwendung sei ein wichtiges Instrument „im Werkzeugkasten der COVID-19-Maßnahmen“.

Laut „Deutscher Welle“ haben chinesische Beamte Strafen für diejenigen angedroht, die gegen politische Normen der Kommunistischen Partei Chinas verstoßen. Daher sind die Sicherheitsbedenken von „Citizen Lab“, dass durch die App Nutzer überwacht und zensiert werden, ein Warnsignal.

„Jedes Verhalten oder jede Äußerung, die gegen den olympischen Geist und insbesondere gegen die chinesischen Gesetze und Vorschriften verstößt, wird ebenfalls bestraft“, sagte Yang Shu, stellvertretender Generaldirektor für internationale Beziehungen des Pekinger Organisationskomitees, bei einer Pressekonferenz am 18. Januar.

Nicht erst seit dem Bericht von „Citizen Lab“ sind die Delegationen der Athleten besorgt über die Sicherheit ihrer Telefone und anderer Geräte in China.

Die US-Mannschaft hat ihren eigenen Athleten geraten, keine persönlichen Geräte, sondern Wegwerfhandys mit nach China zu nehmen. Sie befürchten, dass die chinesischen Behörden die Geräte überwachen und mit bösartiger Malware infizieren könnten, berichtete das „Wall Street Journal“. 

Die olympischen Offiziellen der Niederlanden, Kanadas, Großbritanniens, Belgiens und Australiens haben den Athleten ebenfalls empfohlen, keine persönlichen Telefone oder Geräte zu verwenden.

Deutscher Verein teilt Bedenken

Der Deutsche Olympische Sportbund (DOSB) stattete die deutschen Athleten mit einem Smartphone des IOC-Partners Samsung aus. Diese sollen nur in China verwendet und zu Hause wieder deinstalliert werden.

Der Athleten Deutschland e. V., eine Organisation, die mehr als tausend Athleten vertritt, bezog deutlicher Stellung und kritisierte offen das IOC.

„China hat seinen Überwachungsapparat perfektioniert, lässt Kritiker verschwinden und begeht eklatante Menschenrechtsverletzungen“, schreibt die Organisation in einer Stellungnahme. Man solle nicht naiv und auf alles vorbereitet sein. Athleten Deutschland stellt auch die Möglichkeit in den Raum, dass die Corona-Tests manipuliert werden und die Sportler überwacht werden können.

„Das IOC und die Organisatoren sind ihrer Sorgfaltspflicht nicht ausreichend nachgekommen, wie der jüngste Bericht von ‚Citizen Lab‘ zeigt. Es ist unerklärlich und unverantwortlich, dass das IOC von den Teilnehmern verlangt, eine App mit solch eklatanten Sicherheitslücken zu verwenden“, so der Verein.



Kommentare
Liebe Leser,

vielen Dank, dass Sie unseren Kommentar-Bereich nutzen.

Bitte verzichten Sie auf Unterstellungen, Schimpfworte, aggressive Formulierungen und Werbe-Links. Solche Kommentare werden wir nicht veröffentlichen. Dies umfasst ebenso abschweifende Kommentare, die keinen konkreten Bezug zum jeweiligen Artikel haben. Viele Kommentare waren bisher schon anregend und auf die Themen bezogen. Wir bitten Sie um eine Qualität, die den Artikeln entspricht, so haben wir alle etwas davon.

Da wir die Verantwortung für jeden veröffentlichten Kommentar tragen, geben wir Kommentare erst nach einer Prüfung frei. Je nach Aufkommen kann es deswegen zu zeitlichen Verzögerungen kommen.


Ihre Epoch Times - Redaktion