Technologien

Eine App, um uns zu knechten? Was Corona Tracing können muss – und was nicht.

von am

Die Nachrichten um COVID-19 überschlagen sich. Evergreen dieser Tage ist die seit mehreren Wochen angekündigte Corona-Tracing-App, die hierzulande vom Robert-Koch-Institut herausgegeben werden soll und dabei europäischen wie deutschen Standards des Datenschutzes entsprechen muss. Kein einfaches Unterfangen, wie es scheint – denn die Zusammenarbeit von Politikern, Entwicklern, Wissenschaftlern und Datenschützern steht vor Herausforderungen auf vielen Levels.

Frau mit Barcode im Nacken
Epidemiologische Relevanz, totale Überwachung? Die Corona-App wirft viele Fragen auf. Bild: shutterstock.

Anmerkung der Redaktion: Da sich Beschlüsse dieser Tage häufig ändern, werden wir diesen Artikel natürlich updaten!

Beim aktuell diskutierten Contact Tracing sollen Kontakte zwischen Personen aufgezeichnet werden, um diese im Nachhinein zu warnen, falls ein*e Nutzer*in positiv auf SARS-CoV-2 getestet wird. Schauen wir uns mal an, wie das – zumindest in der Theorie – funktioniert, fragen nach dem Datenschutz und werfen dann einen Blick auf die bislang, sagen wir, ein wenig unentschlossen erscheinende Praxis.

Technologische Unterstützung für überlastete Gesundheitsämter

Ein Mensch kann bis zu zwei Wochen am Corona-Virus erkrankt sein, bevor sich Symptome bemerkbar machen. In dieser Zeit kann er viele andere anstecken. Aktuell versuchen die Gesundheitsbehörden, bei einem positiven Test alle Menschen zu benachrichtigen, mit denen die erkrankte Person in Kontakt gekommen ist. Gesetzt den Fall, dass diese das noch rekonstruieren kann, wird das derzeit lokal in (teilweise papiernen) Listen bearbeitet, von einem System, das ohnehin schon überlastet ist – das kann dauern. Die Neuinfizierten stecken währenddessen ihrerseits wieder an… und so weiter: exponentielle Perlen an den Infektionsketten.

Listen, Datensammlungen: Der Gedanke an eine digitale Lösung für dieses Problem lag nahe. Und so traten Ende März 130 europäische Experten – Wissenschaftler, Politiker, IT-Spezialisten und Forschungsinstitute – zusammen, um diese zu realisieren. Während Minister wie Jens Spahn schnell euphorisch reagierten, stand für die meisten Beteiligten fest, dass eine solche App nur unter der Einhaltung strenger Schutzmaßnahmen für Daten und Privatsphäre entwickelt werden kann.

Contact Tracing via App
Temporäre IDs, Speicherung nur unter bestimmten Voraussetzungen, baldige Löschung: So soll Contact Tracing funktionieren. Eigene Grafik, inspiriert durch Netzpolitik.org - herzlichen Dank!

Die Funktionsweise des Contact Tracings

Die geplante App würde alle paar Minuten eine temporäre ID aussenden und via Bluetooth Low Energy permanent unsere physischen Kontakte messen und bewerten. Waren zwei Smartphones mehr als eine Viertelstunde weniger als zwei Meter voneinander entfernt, wird dieser Kontakt gespeichert, aber nur lokal auf den Mobiltelefonen der Beteiligten. Dort wird lediglich die räumliche Nähe vermerkt, nicht aber der Standort. Nach Ablauf einer bestimmten Frist werden die Daten wieder gelöscht.

Wird ein User positiv getestet, bekommt er einen Code vom Gesundheitsamt, unter dem er seine gespeicherten und verschlüsselten Kontaktdaten freiwillig auf einen Server laden kann. Dieser markiert dann die temporären IDs der anderen Smartphones. Die App wiederum prüft, ob die ID auf dem Server markiert wurde und schlägt Alarm. Der Kontakt wird benachrichtigt, dass er sich beim Gesundheitsamt melden und die Quarantäne antreten sollte. Das Ganze soll durch Länder-Codes auch übergreifend funktionieren, wenn die Kontaktpersonen sich im Ausland infiziert haben könnten.

Vorpreschende Politik, relativierende IT

Gesundheitsminister Jens Spahn setzte wie fast alle Regierungen sofort auf Tracking. Allerdings schlug er zunächst die wenig sinnvolle und datenschutzrechtlich äußerst bedenkliche Lösung der Standortdatenauswertung per Funkzellen vor. In einem Gesetzentwurf zur Überarbeitung des Infektionsschutzgesetzes verbarg sich dann auch noch ein Punkt, der die Auswertung von Standortdaten möglich gemacht hätte. Mit Funkzellendaten ist aber nur eine grobe Lokalisierung von Mobiltelefonen möglich, unbrauchbar für die Krise. Auch die andere Erwägung, Telekommunikationsdaten zu nutzen, ist sinnlos, weil diese Daten eher Aussagen über soziale Vernetzungen statt über physische Kontakte treffen können und dabei den Datenschutz erheblich verletzen.

Auch wenn der entsprechende Punkt im Gesetzesentwurf zurückgezogen wurde, hatte der mediale Schnellschuss Einfluss auf die Reaktion der Bevölkerung. Die war vor allem besorgt: Was will man uns da aufzwingen? Stellt die App den ersten Schritt zur totalen Überwachung nach der Epidemie dar? Kann mein Smartphone nicht leichter gehackt werden, wenn ich die ganze Zeit Bluetooth anhabe? Ich möchte mein Bluetooth gar nicht aktivieren! So raunte es durch die Menge. Und wer es ein bisschen genauer wissen wollte, der fragte sich:

Gibt es das überhaupt, eine datenschutzkonforme Tracing-App?

Menschen mit Masken, gezeichnet
Masken sind seit dem 27. April Pflicht, die Corona-App ist (noch) als zwingend freiwillig vorgesehen. Bild: Shutterstock.

Damit die App überhaupt erst wirksam wird, müssen möglichst viele Nutzer – mindestens 60 % der Bevölkerung – sie installieren. Dabei soll sie laut europäischer Kommission unbedingt freiwillig sein. Um das Vertrauen der Bevölkerung zu gewinnen, musste das Thema Privatsphäre von Experten angegangen werden. Deren Fazit: Ja, es ist möglich, eine Contact-Tracing-App zu entwickeln, die die Privatsphäre ihrer Nutzer schützt. Ein guter Anfang ist es, den Ansatz der Datensparsamkeit zu verfolgen (und damit einem Grundsatz der DSGVO zu entsprechen): So wenig Daten wie möglich sollen gesammelt werden, am besten nicht zentral, sondern auf den Mobiltelefonen der Nutzer. Und Standortdaten sollen nicht darunter sein. Denn es spielt ja keine Rolle, wo man sich angesteckt hat, sondern bei wem.

Der Chaos Computer Club, als Hacker-NGO eine Vereinigung absoluter Spezialisten für Informationssicherheit, hat Anfang April eine Reihe von Mindestanforderungen für eine datenschutzkonforme Tracing-App geäußert, die eigentlich über jeden Zweifel erhaben sein sollten:

CHAOS COMPUTER CLUB: 10 PRÜFSTEINE FÜR CONTACT TRACING

Epidemiologischer Sinn & Zweckgebundenheit

Daten dürfen nur zur Bekämpfung von SARS-CoV-2-Infektionsketten genutzt werden.

Freiwilligkeit und Diskriminierungsfreiheit

Die breite Nutzung darf nicht durch Zwang erreicht werden; die App muss regelmäßig auf ihren Betrieb hinweisen sowie temporär deaktivierbar und dauerhaft deinstallierbar sein.

Grundlegende Privatsphäre

Maßnahmen zum Schutz der Privatsphäre, wie Kryptografie und Anonymisierung. Die Beteiligung von Unternehmen aus der Überwachungsbranche wird als “Covid Washing” abgelehnt.

Transparenz und Prüfbarkeit

Der vollständige Quelltext muss einsehbar (Open Source) sein. Einbindung von Reproducible-Build-Techniken.

Keine zentrale Entität, der vertraut werden muss

Konzepte, die eine zentrale Infrastruktur beinhalten, werden als fragwürdig abgelehnt. Vertraulichkeit und Sicherheit sollen ausschließlich durch Verschlüsselung, Anonymisierung und die Verifizierbarkeit des Quellcodes gewährleistet werden.

Datensparsamkeit

Nur notwendige (Meta-)Daten dürfen gespeichert werden (keine Lokationsdaten), Nutzer dürfen nicht gezwungen werden, Standortdaten weiterzugeben; nicht mehr benötigte Daten sind zu löschen. Wer freiwillig mehr Daten für die Forschung spenden will, muss in der App dafür eine separate Einwilligung abgeben, die nicht Voraussetzung für die Nutzung sein darf.

Anonymität

Daten dürfen nicht deanonymiserbar sein; eindeutige Nutzerkennungen sind verboten. IDs müssen häufig wechseln und dürfen nicht zurückführbar sein, auch nicht durch Ableitung aus Push Tokens, Telefonnummern, verwendeten IP-Adressen usw.

Kein Aufbau von zentralen Bewegungs- und Kontaktprofilen

Standortverfolgung und Kontaktprofile dürfen nicht aufgebaut werden. GPS, WLAN udgl. sowie die Verknüpfung der Daten mit Telefonnummern, Accounts usw. werden abgelehnt.

Unverkettbarkeit

IDs dürfen ohne privaten Schlüssel nicht verkettbar und daher nicht ableitbar sein. Die gesammelten Daten dürfen nicht über längere Zeiträume verkettbar sein.

Unbeobachtbarkeit der Kommunikation

Aus der Übermittlung einer Nachricht im System darf nicht geschlossen werden können, dass eine Person infiziert ist oder Kontakt zu Infizierten hatte. Auch, was die App nicht beinhalten sollte, wurde klar formuliert: keine zentralen Server, keine Speicherung von Standortdaten. Letzteres wurde durch die Politik schnell akzeptiert, dennoch wurde lange – bis Ende letzter Woche – am zentralen Datenaustausch, also dem Konzept des PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing), festgehalten.

PEPP-PT oder DP-3T, das war hier die Frage

Für das Kabinett und das RKI stand Berichten zufolge bei der Überlegung, mit PEPP-PT zu arbeiten, die virologische Forschung im Vordergrund: Von der Zusammenführung und Verarbeitung der Daten auf einem zentralen Server versprach man sich, Infektionsketten besser nachzuverfolgen und somit rasch neue epidemiologische Erkenntnisse zu gewinnen. Darüber hinaus dachte man an die Erstellung von Risikoanalysen anhand der Datenlage.

Im Verlauf der hitzigen Debatte um den Schutz der Privatsphäre wurde PEPP-PT prominent kritisiert und eine Alternative vorgestellt: das von einer 25-köpfigen Gruppe aus Wissenschaftlern um die IT-Spezialistin Carmela Troncoso und den Digital-Rights-Experten Michael Veale entwickelte DP-3T – für Decentralized Privacy-Preserving Proximity Tracing. Die Differenz scheint bereits im Namen durch: DP-3T ist ein offenes Protokoll für die Nahbereichsverfolgung, das ebenfalls mit Bluetooth Low Energy arbeitet. Anders als bei PEPP-PT verbleiben dabei jedoch alle Daten auf dem Smartphone des Nutzers.

DP-3T-Phasen
Die verschiedenen Phasen im dezentralisierten Tracing-System DP-3T, Quelle: Github.

Im Prinzip liegt der Unterschied zwischen den beiden Ansätzen nur in der Frage, wo die Daten gespeichert und von wo aus die Kontakte gewarnt werden. Bei einem zentralen Ansatz wie PEPP-PT würde die Analyse des Kontakts und die Entscheidung für die Alarmierung auf einem zentralen Server stattfinden. Das wäre zwar für die Forschung praktisch, für unsere Privatsphäre aber riskant: Eine zentrale Instanz, deren Vertrauenswürdigkeit wir nicht endgültig überprüfen könnten, wüsste über unsere Kontakte Bescheid, könnte unsere IDs entschlüsseln und hätte Zugriff auf unsere Daten – nicht nur die epidemiologisch relevanten.

Im dezentralen Modell würde die Alarmierung nicht über den Server, sondern das Mobiltelefon des Empfängers ausgelöst, ohne dass der Verteiler, den es rein technisch auch bei DP-3T gäbe, davon erfährt. Der Infizierte muss die freie und nicht-automatisierbare Entscheidung treffen, seine verschlüsselten Kontakt-IDs auf den Server zu laden. Institute wie das RKI würden die Daten nicht oder nur sehr zeitverzögert nutzen können.

Deshalb verfolgte man bis letzten Freitag strikt den PEPP-PT-Ansatz, auch wenn sich einige Wissenschaftler wie der Epidemiologe Marcel Salathé oder der Informatiker Hannes Federrath bereits aufgrund von Bedenken aus dem Projekt zurückgezogen hatten.

Dass es nun überraschend wohl doch DP-3T werden wird, haben wir nicht allein dem Protest der digitalen Initiativen zu verdanken. Den Standard gibt mal wieder jemand ganz anderes vor: Google und Apple, vereint wie noch nie.

Apple und Google machen den Sack zu

Für den CCC ist die Beteiligung von Konzernen an der Entwicklung der App “Covid-Washing”, aber in den USA ticken die Bomb… äh, Verzeihung, Uhren nun einmal anders. Um irgendetwas gegen die im Lande wütende Pandemie und die schöpferische Lethargie des Präsidenten zu unternehmen, treten Google und Apple in ungewohnter Allianz aufs Parkett. Für die geplante Entwicklung interoperabler Tracing-APIs für Android und iOS muss beim iPhone kräftig an den Bluetooth-Einstellungen geschraubt werden, um es wie vorgesehen nutzbar zu machen.

Spahn bewertet die Einmischung der Konzerne ins Contact Tracing kritisch. Er befürchtet, dass die Daten bei den Unternehmen nicht geschützt sind. In der Vergangenheit hat sich oft genug herausgestellt, wie gefährlich hier manchmal Vertrauen sein kann, da muss man zustimmen. Jedoch tritt der Minister mit seinem Argument für die zentralen Server der Bundesregierung ein.

Apple und Google allerdings setzen auf eine dezentrale Lösung und legen bei diesem Projekt augenscheinlich eine Extraportion Sorgfalt in Sachen Datenschutz an den Tag. Sie verschlüsseln derzeit sogar die Stärke des Bluetooth-Signals und arbeiten an weiteren vorzeigbaren Lösungen.

Wie auch immer diese nach außen getragenen Bemühungen am Ende zu bewerten sind: Nach Einschätzung von Experten wie dem CCC-Sprecher Linus Neumann (in einem interessanten Interview) haben Apple und Google mit ihrer Ankündigung die Diskussion um zentral und dezentral jedenfalls beendet. Mit der Definition der Rahmenbedingungen für den Datenaustausch über Android und iOS ist durch die Entscheidung technisch nur noch der dezentrale Ansatz möglich. Die Betriebssysteme – ab iOS 13.1 (ältestes kompatibles Gerät ist das iPhone 6s) und Android 6/Marshmallow – bekommen die nötigen Schnittstellen direkt eingebaut. 99 % aller Smartphones weltweit basieren auf iOS oder Android: Der globale Standard steht. Die Regierungen, die einen anderen Weg einschlagen, sind also gezwungen, mit den Tech-Giganten Kompromisse auszuhandeln.

Wir werden sehn, wir werden sehn: Wenn Kurswechsel zum Kurs gehören

Während also am 24. April die Entscheidung auf PEPP-PT gefallen scheint, kommt am 26. plötzlich die Kehrtwende: Bundeskanzleramtschef Helge Braun kündigt an, künftig auf eine “dezentrale Architektur (...), die die Kontakte nur auf den Geräten speichert” zu setzen. Welche Überlegung die Regierung letztlich dazu bewogen haben mag – die Einwände der Datenschützer, das Vertrauen der Bevölkerung oder die Sorge, auf eine inkompatible Lösung zu setzen – hat er nicht verraten.

Am Ende ist die dezentrale Datenspeicherung die nutzerfreundlichere Wahl. Die, die wahrscheinlicher von der breiten Masse der Bevölkerung akzeptiert wird. Sonst, und das sollte man nicht vergessen, ist das ganze Unterfangen nämlich umsonst. Denn letzten Endes geht es bei der Corona-App vor allem darum, dass sie genutzt wird. Ob für die Konzerne da am Ende mehr rausspringt, als offen kommuniziert wird, wird sich zeigen und müsste dann juristisch bewertet werden. Im Mai sollen zunächst die APIs veröffentlicht werden. In den kommenden Monaten wird das Tracing via Bluetooth dann direkt in die Betriebssysteme integriert.

Was auch kommt: Wir bleiben dran!

EXTRA: Wem das alles zu undurchsichtig ist, kann sich hier nochmal einen Überblick über die Chronologie der Ereignisse um die umstrittene Corona-App verschaffen (ohne Anspruch auf Vollständigkeit):

DIE CHRONOLOGIE DES CORONA-CONTACT-TRACINGS

Ende Dezember 2019 bis Mitte Januar 2020

COVID-19 entwickelt sich von der ersten Meldung aus Wuhan zur Epidemie.

27. Januar 2020

Der erste Fall von Covid-19 in Deutschland wird bestätigt.

Anfang März 2020

Initiator Chris Boos, Mitglied des Digitalrats in der Bundesregierung und Experte für Künstliche Intelligenz, tut sich mit Thomas Wiegand, Leiter des Heinrich-Hertz-Instituts und dem Robert-Koch-Institut zusammen, um eine technische Lösung zur Nachverfolgung der Infektionsketten zu entwickeln. Dabei geht es um die Technologie PEPP-PT (Pan European Privacy Protecting Proximity Tracing). Sie soll quelloffen sein, damit die europäischen Länder miteinander vernetzbare und interoperable nationale Apps entwickeln können.

31. März 2020

In Deutschland zeichnet das Robert-Koch-Institut für die Veröffentlichung der Corona-App auf PEPP-PT-Basis verantwortlich.

3. April 2020

RKI-Leiter Lothar Wieler beschreibt gegenüber der Presse, wie die Tracing-App funktionieren soll und betont, dass die Nutzung freiwillig ist. Er gibt den Launch für “nach Ostern” an.

6. April 2020

Der Chaos Computer Club veröffentlicht 10 Prüfsteine für die Beurteilung von “Contact Tracing”-Apps; es handelt sich hierbei um Mindestanforderungen, die eine “Corona-App” erfüllen muss.

7. April 2020

Die erste RKI-Corona-App, ein Produkt namens “Datenspende”, wird vorgestellt. Sie ist nur in Verbindung mit Smartwatches und Fitnessarmbändern nutzbar und spendet so erhobene Daten zu Forschungszwecken.

8. April 2020

Der Verein Digitalcourage äußert sich teilweise positiv, teilweise kritisch zu PEPP-PT. Er warnt außerdem vor dem Einsatz von Bluetooth, da deren ständiger Einsatz auf vielen Geräten ein Sicherheitsrisiko ist. Android erlaubt die Schnittstellennutzung außerdem nur, wenn die Ortung freigegeben wird. Außerdem können nur Menschen mit Smartphone von der Technik profitieren. Neben einer Reihe anderer Bedenken, die im Großen und Ganzen denen des CCC entsprechen, will der Verein außerdem genau wissen, wie die IDs erzeugt werden sollen, ohne deanonymisierbar oder verkettbar zu sein.

10. April 2020

Google und Apple kündigen Ihre Kooperation bei der Entwicklung einer technischen Lösung für die Corona-App an. Gemeinsam arbeite man an Software und APIs.

13. April 2020

Die Leopoldina-Studie bringt Tracking wieder ins Gespräch und schlägt sogar vor, die europäischen Datenschutzregeln “anzupassen”, sprich: zu lockern.

16. April 2020

Deutschland begibt sich, wie viele andere Länder Europas, in den Lockdown.

Die Europäische Kommission veröffentlicht Leitlinien zum Datenschutz für die Entwicklung von Corona-Apps. Darin macht sie klar, dass die Nutzung derartiger Apps auf das Vertrauen der EU-Bürger*innen aufbauen und sieht sowohl die DSGVO als auch die e-Datenschutzrichtlinie als Grundlage hierfür. Die Leitlinien umfassen v.a. Datenschutz und Privatsphäre sowie die Anonymisierung aggregierter Mobilfunk-Daten.

17. April 2020

Nachdem Chris Boos für Deutschland eine zentrale Server-Lösung befürwortet, meldet Dgitalcourage sich noch einmal zu Wort und revidiert ihren Optimismus (https://digitalcourage.de/blog/2020/corona-app-einordnung-digitalcourage) Stattdessen sei das Konzept D3PT vorzuziehen.

20. April 2020

Der CCC findet bei einer oberflächlichen Analyse(https://www.ccc.de/de/updates/2020/abofalle-datenspende) der bereits existierenden Corona-App namens “Datenspende” erhebliche Sicherheitslücken wie eine zu späte Pseudonymisierung und Angriffsflächen für Man-in-the-Middle-Attacken. Das Misstrauen wächst.

24. April 2020

Sprecherin Ulrike Demmer betont, wie groß das Vertrauen der Regierung in PEPP-PT ist.

Der CCC, die GI (Gesellschaft für Informatik) und weitere Organisationen warnen die Regierung in einem offenen Brief erneut ausdrücklich vor dem zentralen Server-Modell.

26. April 2020

Helge Braun erklärt überraschend, man habe sich für ein dezentrales Modell mit DP-3T entschieden. Hauptgrund sei, das Vertrauen der Bevölkerung zu gewinnen, da man auf deren breite Beteiligung angewiesen ist.