Wer an den Olympischen Spielen in Peking teilnehmen möchte, muss verpflichtend eine spezielle App namens My2022 auf seinem Smartphone installieren – und dort sensible Daten eingeben. Es gibt Vorwürfe, die App sei nicht sicher und könnte zum Spionieren genutzt werden.
Winterspiele in Peking. Obwohl da kein Schnee liegt, wird Ski gefahren, mit dem Bob die Strecke langgepest und Schlittschuh gelaufen. Und was man sonst so alles macht im Wintersport. Wintersport ohne natürlichen Schnee.
Aber das ist keineswegs die einzige Kuriosität, die es über die Winterspiele in Peking zu sagen gibt. Eine weitere ist technischer Natur. Denn alle, die bei den Olympischen Spielen anwesend sind, ob Athleten, Presse, Gäste oder Besucher müssen eine App auf ihr Smartphone laden.
My2022 heißt sie – und sie wird sehr kritisch gesehen.
My2022 gibt es für iOS und Android
My2022: Pflichtprogramm für alle
My2022 gibt es für Android und iOS und sie ist Pflichtprogramm für jeden, der bei den Winterspielen und den Paralympics mitmacht und anwesend ist. Egal ob Athlet, Journalist, Trainer, Masseur, Sponsor, Helfer, Funktionär oder Gast. Jeder muss die App verpflichtend laden, installieren und benutzen. Und das nicht erst beim Eintreffen, sondern schon vorher.
Die App will alles einfacher machen: Wo befindet sich was, wann findet wo welcher Wettkampf statt, wo und wann gibt es etwas zu essen… Das kenne ich auch von großen Messen in den USA. Darüber hinaus gibt es Funktionen wie Gepäck-Nachverfolgung, Wetterhinweise oder Chat-Funktionen.
Der Unterschied in China ist aber, dass die App verpflichtend ist. Und man der App auch viele sensible persönliche Daten anvertrauen muss. Seine Passnummer zum Beispiel. Aber auch gesundheitliche Daten, etwa Körpertemperatur oder Wohlbefinden. Die chinesische Regierung begründet das mit dem Kampf gegen Corona. Man will schnell und effektiv im Infektionsfall reagieren können.
Sorgen um Datensicherheit
Das klingt erst mal sogar sinnvoll. Mit Ausnahme der Tatsache, dass es verpflichtend ist. Aber es gibt Kritik und Sorge um die Datensicherheit.
Sicherheitsforscher haben sich die App mal genauer angeschaut und gleich mehrere Aspekte gefunden, die bedenklich sind. Das betrifft zunächst die Datensicherheit. Wegen einer „simplen, aber verheerenden Schwachstelle“ könnten bei Anwendung persönliche Daten abgefangen werden, teilte die auf Cybersicherheit spezialisierte interdisziplinäre Forschungsstelle Citizen Lab an der kanadischen Universität Toronto mit.
Entwickelt wurde My2022 von einem chinesischen Staatsunternehmen. Da ist Misstrauen angebracht. Denn in China ist das Internet streng kontrolliert und überwacht. Ein konkreter Hinweis: Die Experten haben in der App eine Datei namens illegalwords.txt entdeckt. Darin 2442 Begriffe, in Chinesisch, Uigurisch, Englisch, Tibetanisch.
Eine Liste mit politisch unerwünschten Themen, etwa „Tiananmen Aufstand“, „Uiguren“ oder „Dalai Lama“. Auch pornografische Begriffe sind enthalten. Ob und wie diese Sperrliste Anwendung findet, lässt sich nicht so einfach herausfinden. Vielleicht macht die App automatisch Meldung, wenn ein User die Begriffe verwendet.
Auch Gesundheitsdaten gefährdet
Alle ausländischen Besucher der Spiele müssen die App bereits 14 Tage vor Anreise mit täglichen Gesundheitsbefunden wie Körpertemperatur und allgemeinem Wohlbefinden sowie Dokumenten wie Testergebnissen befüllen. Dadurch entsteht natürlich eine mehr als hochsensible Sammlung individueller medizinischer Daten, die nicht einmal durch eine schlichte SSL-Verbindung beim Datentransport im Internet geschützt ist.
Trotzdem müssen die Teilnehmer auch noch ihre individuelle medizinische Historie hinterlegen. Und diese Daten lassen sich laut den Sicherheitsexperten ziemlich leicht auslesen, da sie keine speziellen Sicherung unterliegen.
Wenn man bedenkt, mit welcher Akribie wir hier in Deutschland darüber diskutieren, welche Daten wie bei Corona Warn App oder Luca App anfallen und genutzt werden können – bei der App herrscht das genaue Gegenteil. Daten werden verlangt und nicht mal geschützt. Dazu kommt natürlich, dass durch die Verwendung der App auch stets der aktuelle Aufenthaltsort bekannt ist. Eine bequeme Methode, jeden einzelnen Teilnehmer überwachen zu können.
IOC sieht tatenlos zu
Der IOC hat offensichtlich nichts unternommen, um die Teilnehmer und Athleten zu schützen.
Der Deutsche Olympische Sportbund (DOSB) stattet seine Delegation mit neuen, „leeren“ Smartphones aus – nur für die App. Damit die App im Einsatz ist, aber nicht auch noch auf Fotos oder Daten zugreifen kann. Denn die App kann abfragen, welche Apps sonst noch installiert sind, in welchen WLANs jemand gewesen ist und vieles andere mehr.
Ein Sicherheitsforscher befürchtet sogar, die App könnte Gespräche abhören – im Quellcode der App befinden sich entsprechende Hinweise. Das ist aber nur ein Verdacht.
Belegen lässt sich das bislang nicht, denn die App kann nur installieren und benutzen, wer auch wirklich eingeladen ist. Das wäre aber nötig, um festzustellen, ob ständig Daten abfließen und welche Art von Daten. Was man aber auf jeden Fall sagen kann: Die Skepsis ist groß – und die Sorge ebenso, die App könnte eine Art Spionage-Gerät sein.
