Contact Tracing gegen CoronaApple und Google schaffen globalen Standard

Die Technologie zur Verfolgung von möglichen Kontakten mit Corona-Infizierten könnte bald auf jedem Handy landen. Doch die Ankündigung der Technologiekonzerne ruft auch Kritik und Skepsis auf den Plan.

Menschenmengen in Kontakt
Die Welt vor Corona: Tracing-Apps sollen bei der Rückkehr in die Normalität helfen CC-BY 2.0 Sergio Boscaino

Google und Apple arbeiten gemeinsam an Contact-Tracing-Software. Die Kooperation könnte bald auf den meisten Smartphones auf der Welt Apps verfügbar machen, die ihre Nutzer informieren, ob sie sich in der Nähe von möglichen Corona-Infizierten aufgehalten haben. Die außergewöhnliche Zusammenarbeit der zwei Technologiekonzerne schafft einen globalen Standard für sogenanntes Contact Tracing, der Schritt weckt jedoch Sorgen vor dem möglichen Missbrauch der Technologie.

In der Corona-Pandemie wird seit Wochen intensiv an Contact-Tracing-Apps gearbeitet. In Deutschland tüfteln etwa Wissenschaftler:innen im Umfeld des Heinrich-Hertz-Instituts seit Wochen an solcher Technologie. Das System namens Pepp-PT beruht darauf, dass das eigene Smartphone ständig über Bluetooth ausliest, welche anderen Geräte sich gerade in der Nähe aufhalten.

Startzeit ist Mitte Mai

Google und Apple kündigen eine technische Lösung für Contact Tracing über Geräte- und Betriebssystemgrenzen hinaus bis Mitte Mai an. Die Konzerne wollen bis dahin knifflige Fragen rund um Bluetooth-Ortung und Privatsphäreschutz lösen.

Zunächst soll diese Lösung für Entwickler:innen, die derzeit an offiziellen Tracing-Apps arbeiten, in Form einer Programmierschnittstelle zur Verfügung stehen. In der Ankündigung von Google und Apple heißt es, die Firmen würden solche Schnittstellen ausrollen, die „die Interoperabilität zwischen Android und iOS-Geräten für Apps von Gesundheitsbehörden ermöglichen.“ Die offiziellen Apps wären dann in den jeweiligen App-Stores verfügbar.

In den folgenden Monaten wollen die Konzerne dann Bluetooth-Tracing direkt in ihre Betriebssysteme Android und iOS integrieren. „Dies ist eine robustere Lösung als eine API und ermöglicht es mehr Menschen teilzunehmen, falls sie sich dafür entscheiden, und erlaubt Interaktion mit einem breiteren Ökosystem von Anwendungen und staatlichen Gesundheitsbehörden“, heißt es in der Mitteilung von Google.

Nicht funktionieren soll das allerdings dort, wo wie in China die Dienste und Updates von Google geblockt sind. Unklar ist auch, ob die Funktionalität auf googlefreien Android-Versionen wie LineageOS verfügbar sein wird.

Zentral oder dezentral

Zuletzt wurde heiß diskutiert, ob die Kontaktverfolgung zentralisiert oder dezentral passieren soll. Eine Gruppe von Wissenschaftler:innen um den Juristen Michael Veale und die IT-Expertin Carmela Troncoso setzt sich für die dezentrale Variante ein, die sie Decentralized Privacy-Preserving Proximity Tracing (DP-3T) nennen. Sie befürchten, dass eine zentralisierte Variante, bei der alle Informationen über Kontakte zwischen Nutzer:innen an einem Punkt zusammenlaufen, zum Missbrauch einlädt.

Sorgen vor einer zentralen Durchleuchtung aller Kontakte weckt etwa Singapur. Die dort von der Regierung verbreitete App TraceTogether soll nach offiziellen Angaben eigentlich keine Standortdaten sammeln. Doch genau das tut die App nach Maßgabe von französischen Sicherheitsforschern. Der Chaos Computer Club (CCC) und Reporter ohne Grenzen haben darum Mindestanforderungen für die Transparenz von Kontaktverfolgungsapps vorgelegt.

Der Schritt von Apple und Google bedeute eine klare Entscheidung für einen dezentralisierten Standard, sagte der Jurist Veale aus der Gruppe von Befürwortern des dezentralen Systems. Zentralisierte Lösungen würden nun nicht mehr funktionieren, argumentiert er. Die Schnittstelle von Google und Apple erlaube es nicht, die Liste der Kontakte in der App zu speichern. Folglich könnten sie auch nicht auf einen zentralen Server hochgeladen werden, um auf diesem Weg Kontaktpersonen zu benachrichtigen.

Andere Stimmen bemängeln wiederum, dass die dezentrale Variante Informationen über Infizierte in alle Richtungen schicken lasse, statt sie an einer – hoffentlich vertrauenswürdigen Stelle – zu bündeln. Diese wären zwar verschlüsselt, lassen sich aber mit einigem Aufwand wieder einer Person zuordnen. Der IT-Unternehmer Chris Boos argumentierte deshalb, dass es in der Deutschland rechtlich gar nicht möglich sei, solche sensiblen Gesundheitsdaten öffentlich zu teilen. Laut Datenschutzgrundverordnung bräuchte man dafür die Zustimmung der Nutzer:innen – das gilt für die gesamte EU. Die Frage ist allerdings, ob solche Daten überhaupt als persönliche Daten betrachtet werden sollen, argumentiert Veale.

Tracing ersetzt kein Testing

Die Ankündigung von Google und Apple sorgt an einigen Stellen für Skepsis und Kritik. Selbst US-Präsident Donald Trump äußerte Bedenken. „Es ist sehr interessant, aber eine Menge Leute haben Sorgen wegen der persönlichen Freiheit. Wir werden uns das sehr genau ansehen“, sagte Trump vor Journalist:innen.

Noch ist unklar, wie europäische Staaten die Ankündigung sehen. Die EU-Kommission reagierte zunächst nicht auf eine Anfrage von netzpolitik.org.

Der Cybersicherheitsforscher Ashkan Soltani warnt davor, dass zunächst freiwilliges Tracing über Apps bald verpflichtend werden könnte. Der Einsatz von Bluetooth könne zudem allzu oft falsche Ergebnisse produzieren, etwa wenn Geräte von Nachbar:innen durch Wände hinweg Kontakt anzeigten, wo es keine physische Begegnung gab. Das berge die Gefahr, dass die scheinbare Sicherheit der App echte Tests auf Corona ersetze.

13 Ergänzungen

  1. > Der IT-Unternehmer Chris Boos argumentierte deshalb, dass es in der Deutschland rechtlich gar nicht möglich sei, solche sensiblen Gesundheitsdaten öffentlich zu teilen. Laut Datenschutzgrundverordnung bräuchte man dafür die Zustimmung der Nutzer:innen

    Und genau deshalb verstehe ich es nicht, warum manche offenbar es für einen gangbaren Weg halten, die IDs der Kontakte, die man hatte, an einen zentralen Server mitzuteilen. Warum sollte man das ohne deren Zustimmung tun dürfen? So wie ich Herrn Boos verstehe, argumentiert er aber gerade dafür, weil er hierin das kleinere Problem sieht. Offenbar scheint sich aus einer mutmaßlich vertrauenswürdigen zentralen Stelle eben ein institutioneller Datenschutz ableiten.

    Mir widerstrebt diese Vorstellung. Die Alternative ist simpel und erfordert nichts weiter als eine freiwillige informierte Entscheidung: Ich selbst veröffentliche die Informationen, die ich ausgesandt habe (oder eine kryptografische Identität, die die von mir versandten IDs als solche zuordnen kann) und überlasse meinen Kontakten die Verifikation. Erzwingen lässt sich das sowieso nicht. Ich glaube auch nicht, dass sich die Akzeptanz hierfür erhöht, wenn mir eine dritte Stelle verspricht, den betroffenen Bescheid zu geben.

    Insbesondere, wenn ich umgekehrt natürlich weiß, dass ich dann nichts dagegen machen kann, dass diese dritte Stelle informiert ist, dass ein Betroffener mich gesehen hat. Aus meiner Sicht ist Consent nur in eine Richtung möglich: Von mir selbst ausgehend.

  2. Vielleicht sollte man auch nochmal beleuchten, was eine solche App überhaupt leisten kann. Singapur hat das ja versucht und ist nun in der gleichen Situation wie der Rest der Welt – im Lockdown Modus. Offenbar reicht eine App Eben nicht aus die Infektionsträger ausreichend zu isolieren. Wenn das nun schon in einem eher autokratischem, technologisiertem Stadtstaat nicht funktioniert, wie soll das dann in Deutschland gehen?

  3. Besser als der völlig zentrale Ansatz. Aber man kann es immer noch nicht anonym und dezentral nennen! Jeder der diese App benutzt sollte dies informiert tun. Es gibt Menschen für die dieser Ansatz nicht reicht! Hier https://twitter.com/moxie/status/1248707315626201088 sind Beispiele für Angriffe und technische Probleme. Es sollte weiterhin versucht werden das Maximum rauszuholen, wie zum Beispiel hiermit https://twitter.com/frank_rieger/status/1244755402044198912

  4. Wenn man genau Podcasts des Herrn Drosten lauscht, oder den Presseerklärungen des RKI, dann zeigt sich ein Bild in der sich das Feld der Unsicherheit nur sehr langsam verschiebt, und man mit heuristischen und statistischen Methoden versucht die ethisch und wissenschaftlich gesehen praktisch besten Handlungsweisen zu finden. Das kann anstrengend sein und frustrieren.
    Vor diesem Hintergrund sollten wir der Technik einen ebenso inkrementellen evolutiven Ansatz zuerkennen, auch Fehler zu machen, aber diese dann transparent zu halten um darauf schnell reagieren zu können. Eine Gefahr besteht in Notstandsgesetzen die nicht mehr rueckgaengig gemacht werden, in Ausnahmezuständen die zur Normalität werden. Hier muss man sehr aufmerksam bleiben. Vor allem ist es notwendig gemeinsam, rationale und empirische Wahrheiten als solche auch anzuerkennen. Auch privacy advocates koennen so in ihre Nische des „scienedenialism“ abtauchen, z.b. wenn ihre Systemanalyse nicht genau genug ist.

    Zwischen Zentralität und Dezentralität hat in Deutschland das föderale Prinzip sich durchgesetzt. Lokale Gesundheitsaemter haben die Datenhoheit und organisieren Tests und epidemische Gegenmassnahmen die den realen lokalen Gegebenheiten angepasst sind. Notwendig sind weder kommerzialisierbare unabhaengige p2p meshworks des low-level bluetooth trackings *noch* zentralisierte internationale Datenbanken mit personenbezogenen Daten zum Infektionsstatus wie das bei Haustieren ueblich ist, die „rfid-gechippt“ sind. „federated“ Client-Server Ansaetze sind hier darum spannend, bzw. Store and Forward Architekturen, bei der eine geographisch lokalisierbare Datenhoheit das Riskiko begrenzt dass personenbezogene Daten im grossen Stil zirkulieren und akkumuliert gespeichert zu Worst-Case-Scenarien fuehren. Apis und kryptographische Protokolle erlauben dabei Mobilitaet und Roaming ebenso wie nichtkommerzielle, streng wissenschaftlich orientierte Datenerhebungen.

  5. Dann kann man da ja auch sicher abfragen, wer schon mal ne Geschlechtskrankheit hatte, oder geschieden ist. Bei Frauen hätte ich gerne das Alter gewusst, und das Gewicht, bei Männern will meine Nachbarin das Einkommen wissen. Oder vielleicht, wer schon mal straffällig war.

  6. Interessante Frage: ist BTLE mit seinen 2,4GHz einfach spezifisch abschirmbar, zB mit einer entsprechend gefuetterten Tasche?

    1. Um es nicht ausschalten zu müssen? Was ist der Zweck?

      Eventuell ist ein Störsender zielführender :), wenn auch nicht legal. Ein Abschirmgewebe wird vermutlich auch WLAN und einige Mobilfrequenzen dämfen.

      Gegen starke Sender mit großen Richtantennen hilft ein dünneres Gewebe aber auch nicht. Um Bluetooth insgesamt auszumerzen, kommt man derzeit an planetenzerstörende Waffen eigentlich nicht vorbei.

  7. Danke für den Artikel. Tja, was bedeutet das nun. Ist es der Anfang vom nächsten neuen Markt, der Verwertung der Gesundheitsdaten? Unsere Metadaten (wer mit wem, wann und wo kommuniziert) werden ja schon ausgeschlachtet. Nun kommt ein neuer Geschäftszweig dazu, die Gesundheits- und dann auch bald die kompletten Vitaldaten?
    Die Frage ist, lassen wir den Raub dieser Daten jetzt auch noch zu?

  8. Dass Konzerne Fragen zum Privatsphäreschutz lösen wollen, ist vor dem Hintergrund ihrer
    jeweiligen Historie für sich schon ein Witz für sich.
    Inhaltlich werden hier flächendeckend Zugangstüren für Behörden geschaffen.
    Wenn das jemand im Snowden-Jahr 2013 vorgeschlagen hätte, wäre eine ordentliche Protestwelle kein Problem gewesen.
    Das ist aber bei dieser hinreichend verängstigten Bevölkerung leider nicht zu erwarten.

    Bleibt zu nur hoffen, dass es Alternativen geben wird, die ohne diesen Dreck
    ausgeliefert werden.

  9. Losgelöst von der Diskussion über ein zentrales oder dezentrales System hatte google ja bereits bekanntgegeben, dass es mit sog. Mobility Reports, gespeist aus den Standortdaten, gegen Covid 19 unterstützen wird. Die Daten sollen dazu anonymisiert werden (s. https://www.blog.google/technology/health/covid-19-community-mobility-reports).

    Dass diese Daten google auch in nicht-anonymisierter Form vorliegen, legt die Datenschutzerklärung nahe:
    „Wenn Sie unsere Dienste nutzen, erheben wir Daten zu Ihrem Standort. Dadurch können wir Ihnen Funktionen wie Wegbeschreibungen für Ihren Wochenendausflug oder Spielzeiten von Kinofilmen in Ihrer Nähe anbieten.
    Ihr Standort kann mit unterschiedlicher Genauigkeit bestimmt werden.
    Dazu verwenden wir:
    – GPS
    – IP-Adresse
    – Sensordaten von Ihrem Gerät
    – Informationen über Objekte in der Nähe Ihres Geräts, wie etwa WLAN-Zugriffspunkte, Funkmasten und Bluetoothfähige Geräte.
    Die durch uns erhobenen Typen von Standortdaten hängen zum Teil von Ihren Geräte- und Kontoeinstellungen ab. Zum Beispiel können Sie mit der App „Einstellungen“ in Ihrem Android-Gerät die Standorterfassung Ihres Geräts aktivieren oder deaktivieren. Wenn Sie eine private Karte mit Orten erstellen möchten, die Sie mit Ihren angemeldeten Geräten besuchen, können Sie auch den Standortverlauf aktivieren.“ (s. https://www.gstatic.com/policies/privacy/pdf/20200331/acec359e/google_privacy_policy_de_eu.pdf)

    Daraus ergibt sich mindestens eine Frage:
    Gibt es hier möglicherweise ohnehin eine zentralisierte Stelle, die zumindest für die Nutzer der google-Dienste über die zu erfassenden Standort- und Kontakt-Daten verfügt?

  10. Die totale, staatliche Zwangsüberwachung. Dass die Telekoms das machen ist lange bekannt. Das die Staaten darauf Zugriff haben auch. Jetzt Zwangsinstallation über Updates von Apple und Google, bekanntermaßen zwei der größten Überwachungsfirmen, das nicht nur den Benutzer selbst, sondern auch jeden, der in seine Reichweite kommt überwacht. Damit ist jede Person und der Aufenthaltsort jeder Person zu jedem Zeitpunkt identifizerbar, auf GPS zuzugreifen braucht man gar nicht, um das zu können, man hat nämlich die Positionsdaten der Sendemasten. Das verschleiert man hinter der GPS brauchen wir nicht Propaganda.

    Die Wanze, äh, das Handy, das jeder Idiot bei sich trägt wird so nicht nur zum Überwachungsgerät für den Träger, sondern auch für alle anderen.

    Verteidigung ist nur noch durch Zerstörung aller Handys in Reichweite möglich.

    Bin gespannt, wann die Handy-Kameras und Handy-Mikrofone eingeschaltet werden. Sind sie es schon Erkennen kann man das nicht (ich erinnere an das Tracking der Location based Services bei Google Android, man schaltet es ab, Android sagt es sit abgeschaltet, in Wahrheit lief es weiter).

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.