Corona-Tracking

Diese Handy-Technologie soll Covid-19 ausbremsen

Wissenschaftler:innen im Umfeld des Heinrich-Hertz-Instituts arbeiten seit Wochen an einer Technologie, die Menschen warnt, wenn sie mit Corona-Infizierten in Kontakt waren. Sollte das funktionieren, könnte der Lockdown gelockert werden. Doch das hängt vor allem davon ab, wie viele mitmachen.

Strenge Ausgangssperren ließen sich lockern, wenn man Infektionsketten künftig via Handy verfolgen könnte. Gemeinfrei-ähnlich freigegeben durch unsplash.com

Auf dem Gelände der Julius-Leber-Kaserne im Berliner Norden werden sich in den kommenden Tagen interessante Szenen abspielen. Rund 50 Soldat:innen werden dort acht Stunden am Tag in Schutzkleidung vermummt Situationen nachstellen, wie sie sich sonst im zivilen Alltag abspielen. Auf dem Plan stehen der gemeinsame Aufenthalt in engen Räumen, Spaziergänge unter freiem Himmel, Zusammensitzen vor dem Fernseher oder Arbeitsmeetings. Immer mit dabei: Das Handy in der Tasche und darauf eine neue Technologie, die zum Schlüssel für die Eindämmung der COVID-19-Pandemie werden könnte.

Der Auftrag dürfte für das hier beheimatete Kommando Territoriale Aufgaben der Bundeswehr ungewöhnlich sein, normalerweise kümmert man sich um Waldbrände, sammelt Wetter- und Umweltdaten. Jetzt helfen die Soldat:innen dabei, eine Technologie zu kalibrieren, mit deren Hilfe bald ganz Europa die Ausbreitung der Covid19-Pandemie in den Griff bekommen soll. Die Schutzmontur tragen sie, weil auch für sie gilt: Ob bereits eine infizierte Person unter ihnen ist, weiß niemand.

Start der Entwicklung bereits vor drei Wochen

Entwickelt wird diese Technologie von einem internationalen Team aus Wissenschaftler:innen, IT-Fachleuten und einzelnen Unternehmen rund um das Fraunhofer Institut für Nachrichtentechnik (Heinrich-Hertz-Institut). Das Robert-Koch-Institut ist beteiligt, das Bundesamt für Sicherheit in der Informationstechnik (BSI), der Bundesdatenschutzbeauftragte hat eigens Leute zur Beratung abgestellt. Und jetzt sogar die Bundeswehr. Es scheint als sei zur Zeit möglich, was vor einigen Wochen kaum denkbar war: dass alle in einer erstaunlichen Geschwindigkeit zusammenarbeiten.

Stabsgebäude des Kommando Territoriale Aufgaben der Bundeswehr in der Julius-Leber-Kaserne in Berlin.
Das Stabsgebäude des Kommando Territoriale Aufgaben der Bundeswehr in der Julius-Leber-Kaserne in Berlin. Alle Rechte vorbehalten Bundeswehr / Akbar

„Ich sage Ihnen, manchmal wird man überrascht“, sagt Chris Boos. Boos ist als Unternehmer Pionier auf dem Feld der Künstlichen Intelligenz und Mitglied im Digitalrat der Bundesregierung. Auf seine Initiative geht zurück, dass in Deutschland jetzt eine technologische Lösung entwickelt wird, die ganz Europa helfen soll. Anfang März bereits hat Boos im Digitalrat Alarm geschlagen, damals verzeichnete Deutschland erst rund 200 bestätigte Fälle und der Tenor der Anwesenden war, man hätte noch Zeit.

Boos war anderer Ansicht. Er ist vertraut mit der Dynamik von exponentiellem Wachstum. Bei einem Treffen im Digitallabor des Gesundheitsministeriums trifft er Thomas Wiegand, Leiter des Heinrich-Hertz-Institutes. Der stellt den Kontakt zum RKI her und gemeinsam begannen sie ein Team von internationalen Freiwilligen zu koordinieren. Sie arbeiten im Ehrenamt, und wollen das Projekt langfristig durch Spenden finanzieren.

Räumliche Nähe messen, Privatsphäre wahren

Ihr Ziel: So bald wie möglich eine Technologie für die Nachverfolgung der Infektionsketten bauen, um die Kontaktsperren zu lockern und zur sozialen und wirtschaftlichen Normalität zurückzukehren. Das wird laut Epidemiolog:innen nur möglich sein, wenn wir es schaffen, alle Infizierten und ihre Kontaktpersonen schnell zu isolieren, bevor sie das Virus weitergeben.

Wie kann so eine Lösung technisch aussehen? Expert:innen hatten in der Vergangenheit immer wieder darauf hingewiesen, dass etwa Funkzellendaten, die Jens Spahn gerne auswerten würde, zu ungenau seien, um sie im Kampf gegen Corona zu nutzen – von den verheerenden Auswirkungen auf die Privatsphäre mal ganz abgesehen. Es geht schließlich darum herauszufinden, ob Menschen über längere Zeit wenige Meter Abstand zueinander hatten, nicht ob sie in der gleichen Straße leben.

Das Team stützt sich deswegen auf Bluetooth-Low-Energy-Technologie. Deren Nachteil, dass sie nur über wenige Meter Reichweite Verbindungen herstellen kann, wird hier zum Vorteil. „Wir können das mit Bluetooth lösen und mit einer Genauigkeit von 1,5 Metern sagen, wie nah zwei Leute beieinander stehen,“ sagt Wiegand.

Das größere Problem, sagt Boos, war die Frage des Datenschutzes: Wie kann man physische Nähe zwischen zwei Handys nachverfolgen, ohne die Privatsphäre der Handynutzer:innen zu gefährden? Das wäre der Fall, wenn man einzelne Personen identifizieren könnte, etwa anhand einer Telefonnummer, technischer Daten des Handys oder über ihr Bewegungsprofil. Während Kanzleramtschef Helge Braun noch die südkoreanische Tracking-Technologie lobte, war den Beteiligten schnell klar, dass eine solche Lösung in Europa nicht funktionieren würde. In Südkorea hat die Veröffentlichung von Daten unter anderem zu öffentlichen Hetzkampagnen gegen Infizierte geführt, nachdem ihre Identität bekannt wurde.

Auch ein System, dass dem Staat Zugriff auf die Bewegungsprofile von Einzelnen gibt, sei mit europäischen Prinzipien nicht vereinbar, sagt Boos. „Das darf man nicht machen, auch nicht, wenn es gerade nötig ist“, sagt Boos. Eine Lösung für die Europäische Union müsse auch den Vorgaben der EU für den Datenschutz folgen, gerade in Krisenzeiten. „Wir haben extrem viele Designaspekte so gewählt wie sie sind, damit die Privatsphäre gewahrt bleibt,“ sagt Thomas Wiegand.

Wo und wer ist egal, entscheidend ist, wie nah und wie lange

Das Team hat sich deswegen für eine Lösung entschieden, die auf Ortsdaten komplett verzichtet. Aus Sicht der Infektionswissenschaft ist schließlich egal, wann und wo man mit einer infizierten Person in Kontakt war. Entscheidend ist, in welchem Kontext es passiert ist, erklärt Wiegand. Denn auf dem Fahrrad ist eine Infektion unwahrscheinlicher als in der U-Bahn, im Park unwahrscheinlicher als im Büro. „Interessant ist im Grunde nur: Sind sie drinnen oder draußen und wen treffen sie da eigentlich und wie nah ist ihnen die Person gekommen?“

Konkret soll das Tracking so funktionieren: Nutzer:innen laden die App auf ihr Handy, je mehr desto besser. Die App generiert alle paar Minuten eine neue temporäre ID und sendet diese aus. So kann man keine Rückschlüsse auf die Person oder das Gerät ziehen. Geht man davon aus, dass der Kontakt epidemiologisch relevant war, etwa weil zwei Geräte mehr als 15 Minuten weniger als 2 Meter voneinander entfernt waren, wird er abgespeichert. Das passiert lokal auf dem eigenen Telefon. Wird eine Person später positiv auf das Corona-Virus getestet, kann sie freiwillig ihre lokal gespeicherten Daten an einen Server hochladen.

Erst dann und nur falls die Person zustimmt erfährt der zentrale Server, mit welchen anderen temporären IDs das Handy in Kontakt war. Der Server kann nicht entschlüsseln, welche Personen sich hinter diesen IDs verbergen. Er kann sie aber über die App benachrichtigen. Die Nutzer:innen könnten also schnell über den Kontakt informiert werden und eine Aufforderung erhalten: Bitte begeben sie sich in Quarantäne und melden sie sich bei ihrem Gesundheitsamt. (Die technischen Details erklären Johannes Abeler, Matthias Bäcker und Ulf Buermeyer in diesem Gastbeitrag. Buermeyer hat auch das Entwicklungsteam beraten.)

Damit Menschen, die im Ausland unterwegs sind und dort Kontakt zu einer infizierten Person hatten, ebenfalls benachrichtigt werden können, sind in die anonymen IDs auch verschlüsselte Ländercodes eingebaut. So könnte etwa ein Urlauber, der in Österreich Skifahren war, nach seiner Rückkehr darüber informiert werden, dass er dort Kontakt mit einer positiv getesteten Person aus Österreich hatte – auch wenn der eine die österreichische und der andere die deutsche App nutzt.

Eine Technologie als Grundlage, viele nationale Apps

„Wir bauen hier keine App, sondern eine Technologie“, betont Thomas Wiegand vom Heinrich-Hertz-Institut. Auch den Namen habe man absichtlich sperrig gewählt: Pan European Privacy Protecting Proximity Tracing (PEPP-PT) soll die Technologie heißen. An der Entwicklung sind Wissenschaftler:innen aus mehreren europäischen Ländern beteiligt, die Technologie ist quelloffen und soll später von allen genutzt werden können. So könnten Deutschland, Italien oder Spanien auf diesem Gerüst ihre jeweils eigenen Apps bauen, die Technologie im Hintergrund wäre überall die gleiche. Das ist entscheidend für die Interoperabilität, also die Fähigkeit der Systeme möglichst nahtlos zusammenzuarbeiten. Nur so könnten die Infektionsketten auch über Ländergrenzen hinweg verfolgt werden.

In Deutschland wird offiziell das Robert-Koch-Institut die App veröffentlichen. RKI-Chef Lothar Wieler hatte bereits Anfang März angekündigt, dass man an einer Lösung arbeite. Die Bausteine dafür baut derzeit ebenfalls das Heinrich-Hertz-Institut. Auf einen Launchtermin will sich noch niemand festlegen, ein Sprecher von Fraunhofer spricht von der Zeit „nach Ostern“.

Die beste Lösung für die Privatsphäre zu finden, daran war das Team schon aus strategischen Gründen interessiert. Denn die App soll freiwillig heruntergeladen werden. Zugleich gilt: Nur wenn möglichst viele mitmachen und die App freiwillig nutzen, wird man den gesellschaftlichen Lockdown wieder lockern können. Der Schweizer Epidemiologe Marcel Salathé, der an der Entwicklung mitwirkt, sagt, erst wenn jeder Fall einer möglichen Infektion nachverfolgt werden kann und die Infektionskette so unterbrochen würde, können man wieder zur Normalität übergehen. Weil Corona bereits vor ersten Symptomen ansteckend sei, reiche es nicht, die Kranken zu isolieren. Auch die Infizierten ohne Symptome müssten in die Isolation, „damit nicht jeder Funke gleich zum Waldbrand wird“.

Damit das gelingt, müssten Studien zufolge mindestens rund 60 Prozent der Bevölkerung eine solche App nutzen. In Deutschland hieße das: 50 Millionen Menschen. Oder auch: so gut wie alle, die überhaupt ein Smartphone nutzen. Laut Bitkom sind das 81 Prozent aller Bürger:innen über 14 Jahren.

Die Chancen dafür stehen nicht schlecht. Einer repräsentativen Umfrage aus der vergangenen Woche zufolge würden mehr als 70 Prozent der Befragten so eine App auf jeden Fall oder wahrscheinlich nutzen. Die Mehrheit gibt an, den Aufforderungen der App nachkommen zu wollen und sich in Quarantäne zu begeben, sollten sie mit einer infizierten Person in Kontakt gekommen sein.

Update, 03.04.2020: Nach weiteren Informationen der Bundeswehr haben wir den Absatz zum Test in der Julius-Leber-Kaserne aktualisiert.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

36 Ergänzungen
    1. Das erklären Buermeyer & Co. in ihrem oben verlinkten Artikel: „Wir sind nicht mit allen Details der Singapurer App und der dort praktizierten Nachverfolgung von Kontakten einverstanden. So ist dort zum Beispiel jede App-Installation mit der Telefonnummer des Nutzers verbunden und somit identifizierbar, was nicht erforderlich und daher aus Gründen der Datensparsamkeit abzulehnen ist.“

  1. Ich denke, dass so eine Technologie auch direkt von den Mobilen System unterstützt werden könnte (sprich iOS und Android). Dies würde eine große Verbreitung erwirkten.
    Die Freiwilligkeit kann hier trotzdem gewährleistet werden, in dem man diese Funktion optional macht und den Benutzer über die Settings entscheiden lässt ob er hier teilnehmen will oder nicht. Beim Update mit dem diese Technologie dann kommt kann man über einen Setup-Screen dann gleich darauf hinweisen und erreicht somit im Grunde jeden Besitzer eines Gerätes.
    Ich denke auch, dass die Integration direkt ins System auch du Zuverlässigkeit stärkt.

  2. Die exakte Messung auf 1,5 Meter bezweifle ich. Dazu folgender Versuch, den jeder machen kann:

    Im App-Store findet man Smartphone Apps, mit denen man BLE Beacons simulieren kann und auch die entsprechenden Empfänger Apps. Die Empfänger App zeigt die Signalstärke (rssi) des eingehenden Signals an.

    Dann wie folgt vorgehen: Zwei Personen stehen sich gegenüber, z.B. 2 Meter entfernt. Die eine Person hat das Smartphone mit dem BLE Sender (Beacon), die andere Person das Smartphone mit der Empfänger-App.

    Nun halten die 2 Personen ihr Smartphone abwechselnd bzw. gleichzeitig jeweils vor oder hinter den Körper. Daraus ergeben sich logischerweise 4 Empfangs-Kombinationen.

    Jedermann kann im Selbstversuch nun folgendes feststellen: vor oder hinter dem Körper (entspricht ca. Hosentasche vorne oder Hosentasche hinten) macht einen Unterschied von 10 dB. Also gibt es im Worst-Case 20 dB Unterschied im Empfangspegel von 2 Personen, die sich unverändert 2 Meter gegenüberstehen.

    Aber: 20 dB entspricht – wenn beide Personen das Gerät unverändert halten – einem Distanzunterschied von ca. 10 Metern. Woher will der Algorithmus wissen, wo am Körper das Smartphone ist? Meiner Meinung nach ist BLE in der Praxis (also nicht Laborbedingungen) zu ungenau. Es wird viele Falschmessungen (=Falsche Alarme) geben.

    1. Das ganze System muss sowieso mit vielen nur ungefähr bekannten Wahrscheinlichkeitsverteilungen umgehen. Nicht jede Begegnung unter 1.5m führt zur Infektion, d.h. Fehlalarme sind eingeplant – mit einem Faktor.
      Richtig ist natürlich, das das ganze im Endeffekt an der Kapazität schnell zu testen hängt.

    2. „Die exakte Messung auf 1,5 Meter bezweifle ich.“

      Das ist für mich der Knackpunkt. Ich halte eine halbwegs zuverlässige Genauigkeit einer Aussage, ob jemand innerhalb eines Radiuses von 1,5 Metern war oder nicht, mittels Bluetooth nicht für machbar. Und es macht einen riesigen Unterschied, ob man einen Radius von 1,5 oder von 10 Metern hat. Eine Aussage auf 10 Meter bringt absolut garnix. Frage mich, wer die 1,5 Meter behauptet und wie man so zuversichtlich sein kann.

      Andere Probleme sind grundlegende Sicherheitsprobleme bei Bluetooth, entstehende Interferenzen, wenn alle BT anhaben, die beschränkte Verbreitung von BT (LE) und die wahrscheinlich nicht irreversible Anonymisierung.

      Man sollte hier unbedingt weiter forschen, aber ich bin skeptisch, was den kurzfristigen Erfolg angeht.
      Langfristig wäre eine Idee, einen verpflichtenden Standard für Mobiltelephone einzuführen, bei dem eine präzisere Technik implementiert werden muss, die diese Funktionen erfüllt. Muss natürlich vom Benutzer ein- und ausschaltbar sein.

    1. @Dorado Opening
      Diese Bluetooth-Sicherheitslücke „#BlueFrag“ muß m.M.n. zuvor unbedingt gepatcht werden, da jene z.Zt. noch aktuell ist :( entdeckt von Sicherheitsexperten vom ERNW aus Heidelberg. „Bei Android 8.0 bis 9.0 kritisch, bei 10.0 führt (nur) zu Abstürzen, ältere Version bisher unklar“ ^\/\/\_!

      s.a. meine Anmerkung zu https://logbuch-netzpolitik.de/lnp338-corona-tracking-app#comment-127820

      Links: #BlueFrag (CVE-2020-0022) [https://www.connect.de/news/android-bluetooth-sicherheitsluecke-bluefrag-3200418.html]

  3. Das andere Problem-chen: Wenn sie es falsch machen, was recht einfach iost, kann man Sie mittels des Protokolls auf wenige Meter Entfernung identifizieren. Sie bzw. Ihr Telefon. Für den sogenannten Alltag natürlich egal, da man ja offensichtlich nichts zu verbergen hat und der Schwatte Mann ja wegen Kontaktverbot nirgendswo ran kann, doch wenn man es nicht übersehen will, so könnten eben generische Agenten (eher nicht der tailored access Heini von der NASA, sondern mehr oder weniger einfach lokale Kriminelle, oder Organisationen oder Fremddiensten Gefälligkeiten Schuldende) bei so einer Gelegenheit eben als Senke herumlaufen, und so ein recht präzises Bild zeichnen, ohne sich Gesichter merken zu müssen.

    Das Nichtherumlaufen von Leuten ist derzeit noch ein gutes Argument gegen die Wirksamkeit solcher Vorgehensweisen, dennoch wäre ein technisches Wiederkennen schon eine unschöne Sache.

  4. Es ist nicht anonym, wenn eine ID übertragen wird, mit der man die Kontaktpersonen informieren kann, weil die ID ja immer noch Personenbezug hat.

    1. In dem Moment, in dem du jemanden addressieren möchtest, geht (fast) nur noch pseudonym.

      Es gibt theoretische Methoden zum addressieren die zB auf unsymmetrischer Verschlüsselung basieren (und haarsträubend uneffizient sind) aber dann hast du das Problem gegenseitig die Schlüssel auszuliefern, wofür du wieder addressieren musst usw.

      1. Hallo Philip,
        guter Einwand. Ließe sich aber technisch umgehen, indem die App nach n Minuten eine neue ID erzeugt und dem Server mitteilt.
        Die App zieht sich dann die Liste aller „gefährdeten“ IDs, und wenn eine der bisherigen lokalen IDs drunter ist, geht’s ab zum Corona-Test. Sollte der positiv ausfallen, können sämtliche bisherigen IDs an den Server übermittelt werden, und somit alle andere User benachrichtigt, die in Deiner Nähe waren.
        Oder habe ich hier einen Denkfehler?

        1. Klingt vernünftig.

          Vielleicht gehört HMAC mit vom Server mitgeteilten PSK dazu, denn von der Performanz her sehe ich mit asymmetrischer Signierung kein Land, falls mal 100 Leute in der Nähe sind. Eine statische ID kann man auch nicht für sich nehmen, sondern eine öffentliche temporäre ID und hmac o.ä. mittels eines PSK. Sonst sorgt ein Troll dafür, dass jeder jeden kennt, indem die IDs einfach versprüht werden.

          Gegenmittel gibt es eigentlich nur mit Kryptographie, also z.B. PSK und HMAC. Dann kann eben erst der Server überprüfen, dass Daten authentisch sind.

  5. Schade, also wird doch Push gemacht und der Server erfährt von Kontakten, obwohl das ja gar nicht nötig gewesen wäre, wenn nur die infizierten IDs auf den Server kommen würden und die Clients diese ausschließlich selbst aktiv abfragten, oder?

    1. „Die Push-Nachricht sollte nicht über Google’s (GCM) oder Firebase Cloud Messaging (FCM) übertragen werden. … keine Daten freiwillig über us-Dienste um Trump nicht zuviele Argumente zu zuspielen.“ am 31. März 2020 um 22:31 :
      [ https://logbuch-netzpolitik.de/lnp338-corona-tracking-app#comment-127835 ]

      übrigens ohne ein Google-Konto z.B. auf Smartphones mit LineageOS – Take back control! (ohne microG wird das nix :( )

      s.a. [ https://netzpolitik.org/2020/corona-tracking-datenschutz-kein-notwendiger-widerspruch#comment-2538734 ]

      [ http://www.kuketz-blog.de/lineageos-take-back-control-teil2/ ]
      [ https://docs.microsoft.com/de-de/xamarin/android/data-cloud/google-messaging/remote-notifications-with-gcm ]

  6. Nepper, Schlepper, Bauernfänger oder wie? Grundrechte werden ohne belegbare Veranlassung beschnitten, nun sollen wir uns „freiwillig“ tracken lassen, damit die (evtl. zu Unrecht erlassenen Beschränkungen) wieder aufgeweicht werden können?
    Dafür gibt es dann noch Applaus….verstehe ich nicht. Mal gucken, wie lange freiwillig auch freiwillig bleibt, wenn nicht gleich jeder die App instaliert.
    Vergesst nicht: „es ist nicht die Zeit für die Lockerungsdebatte“

    1. Das ist wie mit der Masernimpfung: Es muss nicht jeder mitmachen. Aber wenn zu wenige Leute teilnehmen, kann man es auch gleich sein lassen.

      Insofern: Gern geschehen.

  7. Zitat:
    „Die Mehrheit gibt an, den Aufforderungen der App nachkommen zu wollen und sich in Quarantäne zu begeben, sollten sie mit einer infizierten Person in Kontakt gekommen sein.“

    Ich bin der Meinung, dass diese Maßnahme nicht wirklich zielführend ist.

    Diejenigen, die diese Nachricht erhalten müssen verpflichtet werden, sofort auf Corona getestet zu werden, um Klarheit zu haben,.
    Vor allem finde ich das deshalb wichtig, damit dann weitere (dritte) Personen benachrichtigt werden können/müssen, weil diese ebenfalls infiziert worden sein könnten und sich deshalb ebenfalls testen lassen müssen. usw.
    Natürlich müsste die Software so intelligent sein, dass die Ansteckungszeit berücksichtigt wird, um die Benachrichtigungen zu begrenzen.

  8. @Bastian, sehe ich auch so. Grundrechte beschneiden und Corona als Test für zukünftige Überwachungsmöglichkeiten nutzen. Bei den Pandemieen des 20igsten Jahrhunderts
    httxx://www.sueddeutsche.de/gesundheit/historie-pandemien-des-20-jahrhunderts-1.440586
    wurde nie so ein Aufriss gemacht, obwohl es Millionen Tote gab. Heute ist die Technik soweit, das alles was machbar ist eingesetzt wird.Diese Isolierung wird sich bei der nächsten Pandemie rechen. Wer jetzt nicht immunisiert ist wird halt beim nächsten Mal dran glauben. Mit 60 hat man schon einige Pandemieen durch, ist also schon grundimmunisiert. Die heutige Jugend, die steriel mit Sagrotan groß geworden ist hat ein Problem, weil sie mit keinen Erregern in Kontakt kommt. Früher wurden alle Kinder im Kindergarten zusammengesteckt damit alle was abkriegen von Masern, Röteln, Windpocken usw., denn als Erwachsener hat man mehr Probleme mit solchen Krankheiten. Heute heist es Kontaktverbot, dabei steht im IfSG kein Grundrechtseinschränkung nach Artikel 19 drinn.

  9. Ich habe ebenfalls ein Riesenproblem damit, dass die Server die IDs erfahren soll und die zugehörigen Clients benachrichtigen soll. Damit werden die angeblich so „anonymen“ IDs zu einem sensiblen Datum, insbesondere nämlich auch deshalb, weil sie nur zu einem bestimmten Zeitpunkt innerhalb eines bestimmten geografischen Umkreises erfasst worden sein konnten.

    Vor allem wäre es überhaupt nicht notwendig, dass diese IDs dem Server bekannt gegeben würden. Statt dass die App eines Infizierten sämtliche IDs hochlädt, die er von anderen Clients empfangen hat, sollte er einfach mit den Private-Keys, mit denen er die eigenen IDs/Tokens gegenüber anderen innerhalb seines mutmaßlich infektiösen Zeitraums signiert hat, eine „bin infiziert“-Mitteilung an den Server signieren. Dieser veröffentlicht diese Mitteilung und alle Clients können prüfen, ob sie selbst ein Token gesehen haben, das vom gleichen Private Key stammte und dann einen Alarm ausgeben.

    Der Server informiert niemanden selbst und die IDs/Tokens., die über Bluetooth übertragen wurden, werden niemals *außerhalb* einer App gespeichert und Dritte, die niemals eine Signatur eines solchen Private Keys gesehen haben, können damit auch nichts anfangen, oder auswerten, welche Clients welche IDs gesehen haben könnten.

    Der verwendete Private-Key könnte von der App jeden Tag neu generiert werden, so dass nach einem positiven Test nur die Keys der X vergangenen Tage als infektiös markiert werden müssten.

    Die Auswertung erfolgt allein bei den betroffenen Clients, der Server hat keinerlei Kenntnis darüber, welche Clients denn betroffen sind, oder ob überhaupt irgendwelche Clients betroffen sind.

  10. Ich habe aktuell oft nicht mal ein nichtsmartes Mobiltelefon dabei.
    Bluetooth offen ist aus Sicherheitssicht sowieso ein nogo.
    Neben Corona verbreiten wir jetzt noch Computerviren?

  11. Danke für die Hintergrundinfos. Leider fehlen mir hier für einen Netzpolitik-Artikel die notwendigen kritischen Einordnungen. Es kommen nur die Macher zu Wort. Es fehlen Einordnungen zur Frage der Freiwilligkeit (datenschutzrechtlich und sozial) sowie zur Geeignetheit.

    1. Auf Phoenix wurde gerade eben schon „diskutiert“, ob es vielleicht eine Zwangsapp geben soll. Mit vor den Möglicherweisekarren gespanntem Virologen.

      Also auch hier wieder schöne Grüße vom Nullphänomen :).

    2. > Leider fehlen mir hier für einen Netzpolitik-Artikel die notwendigen kritischen Einordnungen. Es kommen nur die Macher zu Wort. Es fehlen Einordnungen zur Frage der Freiwilligkeit (datenschutzrechtlich und sozial) sowie zur Geeignetheit.

      Dieser Aussage kann ich nur zustimmen. Ich finde es erschreckend, heute ist man ja erschüttert oder entsetzt, das Netzpolitik das als alternativlos hinstellt. Gerade die Push-Funktionalität ist doch komplett überflüssig.

      Die Aussage von Patrick H. (1. April 2020 um 20:22 Uhr) https://netzpolitik.org/2020/diese-handy-technologie-soll-covid-19-ausbremsen/#comment-2538803 zeugt von wirklichem Verständnis bzgl. Privatsphäre.

      Die Bundesregierung sagte: „Ich wende mich gegen jede dieser zynischen Erwägungen, dass man den Tod von Menschen in Kauf nehmen muss, damit die Wirtschaft läuft“.
      Die BR muss ihren Bürgern erklären, wie die Anwendung Infektionen von ältere Menschen verhindert, die sich draußen bewegen.
      Die Aussage „Tod von Menschen in Kauf nehmen“ scheint ja mit der Anwendung zuzutreffen.
      Es ist schön einfach die Verantwortung abzugeben. Wenn der erwünschte Erfolg aus bleibt kann die BR sich immer raus reden „die haben ja nicht mitgemacht. Sind selbst schuld. An uns lag es nicht, wir haben alles getan was wir konnten.“

      Maskenpflicht möchte man seinen Bürgern nicht zumuten oder woran liegt es? Vielleicht daran, dass die BR nur Papier ausdruckte https://www.youtube.com/watch?v=zHEapWvSMmI&feature=youtu.be&t=559 (Tagesschau vom 27.01.2020) und nicht anfing Schutzkleidung zu bevorraten.

      Die Wissenschaft ist der Meinung, das Masken etwas bringen.
      https://www1.wdr.de/mediathek/video/sendungen/aktuelle-stunde/video-mundschutz-unnoetig-wichtig-wirksam-100.html
      https://www.mdr.de/nachrichten/podcast/kekule-corona/mundschutz-sollte-standard-werden100.html
      https://www.mdr.de/nachrichten/podcast/kekule-corona/mundschutz-besser-als-zu-hause-bleiben100.html

      Wir sollten dieser Tage wieder mehr in uns horchen. Denn die Infektion ist nicht ohne Symptome. https://www.ndr.de/nachrichten/info/24-Wir-muessen-weiter-geduldig-sein,audio660754.html (Ab Minute 23:50).

  12. Schritt 1: Freiwillige Handy-App, alles pseudonym
    Schritt 2: Gesellschaftlicher Druck auf alle, die da nicht „freiwillig“ mitmachen wollen
    Schritt 3: App wird zur Standard-Ausstattung aller Smartphones
    Schritt 4: Forderung, dass diese Technologie „logischerweise“ nicht nur bei Virus-Pandemien verwendet werden darf, sondern auch zur Verfolgung von Hintermännern bei einem Terroranschlag. Der BND will eine Hintertür zu Identifikation.
    Schritt 5: Das muss dann selbstverständlich auch für Kapitalverbrechen gelten.
    Schritt 6: Und Pädophile
    Schritt 7: Und andere Personen, die eine Gefahr für sich oder andere darstellen…
    Schritt 8: …könnten
    Schritt 9: Trojaner greifen durch Exploits der schlampig programmierten App die Daten ab
    Schritt 10: Drittfirmen fordern eine Schnittstelle zur App, um eigene Dienste anzubieten
    Schritt 11: „Radarwarner“ informieren, sobald eine irgendwie gefährliche Person in den Nahbereich kommt.
    Schritt 12: Meldebutton, mit dem User andere User im Nahbereich als „verdächtig“ melden können

  13. Zur Frage der Anonymität der Daten gibt es ein aktuelles Forschungspapier:
    Hyunghoon Cho, Daphne Ippolito, Yun William Yu: Contact Tracing Mobile Apps for COVID-19: Privacy Considerations and Related Trade-offs, 25.3.2020, https://arxiv.org/pdf/2003.11511.pdf
    Man kann nach deren Analyse das System auch ohne (pseudonyme) Nutzerkennung für den Vermittlungsserver bauen (Varianten „polling“ bis „public database“ dort).

    Das scheint in der PEPP-PT-Variante *nicht* der Fall zu sein, und auch nicht in dem Blogpost von Ulf Buermeyer et al hier vor ein paar Tagen. Das ist ein Datenschutzproblem.

    Die Variante von Linus Neumann (https://linus-neumann.de/2020/03/corona-apps-sinn-und-unsinn-von-tracking/) setzt daher offenbar auf die „public database“, die aber in der Skalierung Herausforderungen für normale Smartphones bringen dürften. Diese Version scheint mir aber die einzige zu sein, die wirkliche Anonymität – gegenüber den Kontaktpersonen und gegenüber dem Vermittlungsserver – garantiert.

    Das PEPP-PT-Modell scheint daher nicht zu 100% Privacy by Design zu erfordern. Aber die Specs gibt es ja leider nur, wenn man dort Mitglied wird, so jedenfals die bisher sehr informationsarme Webseite des Konsortiums.

    1. „Das ist ein Datenschutzproblem.“ – na ja, DAS ist ein Datenschutzproblem: https://netzpolitik.org/2020/daten-von-infizierten-polizei-sammelt-in-mehreren-bundeslaendern-coronavirus-listen/

      „leider nur, wenn man dort Mitglied wird“ – meine Erwartung ist, wenn man im Datenschutz/Security tätig ist und mal nett an der info email fragt, wird man schon Auskunft bekommen. Ausserdem ist der öffentliche Druck (in DE) so groß, das das nicht lange verborgen bleiben wird (Pro Tip: Mal auf den Veröffentlichungslisten der benannten Partnern suchen).

      Was mich ein bisschen fasziniert (vermutlich, weil ich damit beruflich zu tun habe), wie über das Problem der ID Erzeugung hinweggegangen wird: Die ID muss verteilt eineindeutig erzeugt werden und absolut kollisionsfrei sein.

  14. Als kritische Rückfrage: Wenn das wirklich Freie Software werden soll
    („quelloffen“ ist nicht der Fachbegriff, wie Ihr bei Netzpolitik wisst, insofern lohnt sich nachfragen):
    Welche Lizenz genau und warum ist der Quelltext nicht direkt ohne Registrierung zugänglich?

    Hintergrund: Einige Initiativen versprechen eine Software-Entwicklung später als Freie Software zu veröffentlichen, aber oft klappt das dann nicht. Wer es damit ernster meint, der entwickelt das spätestens 1/3 nach Projektstart auch schon öffentlich.

    1. ==b „Full ACK“

      Der Quellcode zu dieser App sollte z.B. auf einem öffentlich Git-Server (Github, GitLab o. per Gitea) für alle einsehbaren sein. Ansonst kommt die App nicht auf unsere Phones. (Punkt)

      „Ich empfehle dringend NICHT die App bei Google down zuladen, sondern nur eine Free and Open Source Software ( FOSS) entsprechende App bei F-Droid.org oder einem in Deutschland unter höchster Sicherheitsstandard gehosteten F-Droid Repro … mit anonymen Tor-Zugang über vertraulichen Tor-Exit-Relay z.B. über den von digitalcourage.de “
      [ https://logbuch-netzpolitik.de/lnp338-corona-tracking-app#comment-127835 ] 31. März 2020 um 17:48

      Es wäre endlich an der Zeit, gute (werbefreie) & echt freie Software „FOSS“-APPs für Android aus einem F-Droid REPOsitory zu nutzen und NICHT von play.Google/Amazon o.a.

      „Einrichtung eines eigenen F-Droid-App-Repository“
      so etwas datenschutzfreundliches – away from Google – in der EU-gehostet ist doch kein Hexenwerk mehr. „Mein Android-Store“ Das wurde doch schon von Andreas Itzchak Rehberg in der 2019er c’t Heft 5 S.176–179 beschrieben: [ ct.de/yy18 ]

      zudem ist Conversations, Jitsi Meet u.a.
      #FOSS-Software wie @LineageAndroid
      mit Apps von #FDroid
      empfehlenswert. :)

  15. Was ist, wenn jemand sich einen „Scherz“ macht und auf den Server hochlädt, er sei infiziert getestet, ist es aber gar nicht. Dann lassen alle relevanten IDs einen Test machen…
    Kann so ein Missbrauch nicht entstehen? Und wenn ja, wie ist er zu verhindern? Es gibt doch viele merkwürdige Gestalten in diesem Land…
    Gruß Margot G.

  16. Ich finde das vorbrechen von der Regierung und anderen Akteuren sehr besorgniserregend. Wie einige Angemerkt haben, wird auch bei Netzpolitik bisher recht einseitig dazu berichtet.
    Ich habe zu einigen Punkten sehr große Bedenken. Die habe ich im folgeden mal aufgeführt. nicht erschrecken, ist recht lang geworden.

    Mit der vorgeschlagenen Funktionalität ist vor allem eine möglichst Fehlerhafte Kontaktverfolgung möglich. Kontakt unter 2m für mindestens 15 min ist nicht gleich Kontakt unter 2m für mindestens 15 min . Da sind noch einige anderen Parameter entscheiden wie z.B. Tragen von Mund-Nase-Maske, sind die Personen zueinander zugewandt oder abgewandt, Stehen sie nur beeinander oder reden sie miteinander bzw. niest jemand, sind sie in geschlossenen (wie Groß) oder offenen Räumen, ist ein Luftzug vorhanden, sind zwischen den Personen Hindernisse wie eine Glasscheibe…
    All diese Parameter werden damit nicht erfasst, sind aber essentiel!
    Die daraus resultierenden Falschmeldung können falsche Gefühle/Reaktionen hervorrufen. Bei einer fälschlicherweise übermittelten Gefahr verunsichert es die Personen unnötig, bei einer fälchlicherweisen nicht übermittelten Gefahr wiegt die Person sich in Falscher Sicherheit, nimmt erste Symptome nicht wahr und verbreitet das Virus.
    Außerdem ist die Kontakterfassung auch analog möglich. Zwischen Infektiosität und ersten Symptomen vergehen im Schnitt (und der ist epidemologisch relevant) 1-3 Tage. Ich finde die Menschen werden ein großteil der relevanten Personen für diesen Zeitraum rekapitulieren können (100% sind nicht nötig, Ansteckungsrate um 2/3 senken ist Ziel).Dazu braucht es nicht ein solches Werkzeug mit so schwerwiegenden potentiellen Nebenwirkungen. Natürlich sind Test in Umfangreichen Maße nötig, damit jeder sich recht schnell testen kann. Aber dies soll ja in den nächsten Wochen erreicht werden
    Eine zusätzliche Methode für effiziente Kontaknachvefolgung abseits des Aktionismus mit Tracking wäre einfach den Personalmangel in den Gesundheitsämtern zu beheben.

    Wegen den genannten Aspekte lehnen einige Epidemologen diese Möglichkeit ab, das Robert-Koch-Institut ist da anderer Meinung.Solange in der Epidemologie zu diesem Thema so eine Uneinigkeit herscht, sollte von solchen Tiefgreifenden Maßnahmen mit (möglichen) Folgen weit nach Ende der Corona-Pandemie Abstand genommen werden.
    Ein weiterer Punkt ist das Öffnen von der Büchse der Pandora. Diese Regierung (insbesondere die CDU, aber auch teilweise SPD) haben in Vergangenheit öfters Gezeigt, dass im Zweifel die Sicherheit für die Freiheit eingetauscht werden. Dabei wird versucht, dass maximale aus dem Grundgesetzt herauszuholen und nähern sich der Grenze solange an, bis das Bundesverfassungsgericht es nicht mehr kippt (bspw. Vorratsdatenspeicherung wurde schon gekippt und dennoch ein neuer Versuch ohne signifikante Änderung gestartet, Poliziegesetze in Bayern, Sachsen bei denen Klage anhängig ist,…). Das Geschah oft gegen den Rat von Experten und Fakten, das Bauchgefühl hat denen gereicht (bestes aktuelles Beispiel Spahn mit den Funkmasten!). Dieses Regierung würde ich nicht vertrauen, dass sie Verwednung und Funktionalität nicht bei nächstbester Gelegenheit erweitert . Zunächst Pflich einführen für bessere Wirkung, wenn nicht der Gesellschaftliche Druck nicht zuvorkommt (hab dich mit datenschutz nicht so, es wird sonst Blut an deinen Händen kleben, du bist Schuld das Pandemie da ist usw. Die Projektion auf scheinbare Sündeböcke ist ja schon jetzt zu beobachten (bspw. Jugend mit ihren Corona Partys, auch wenn es Ausnahmen sind), wird bestimmt nicht weniger. Als nächstes bei Terroranschlag alle Kontaktpersonen von Terroristen, dann bei Terrorverdacht alle Kontaktpersonen von Verdächtigen, dann alle Kontaktpersonen von Gefährdern usw.)
    Wie sich unfassbare Überwachungsmaschinerien etablieren kann, ist doch sehr gut bei Facebook, Google &Co erkenne. Vor einigen Jahrzehnten gab riesen Aufstände bei einer Volkszählung. Inzwischen werden diese Daten teilweise bei Online-Portalen freiwillig Preis gegegeben. Das ist nicht von jetzt auf gleich entstanden, das ging immer in kleinen Schritten, die gerade noch so akzeptiert werden können (Die Gewöhnung des Menschen an Gefahren ist leider ein wissenschaftlicher Fakt). Und diese Tracking-App kann durchaus ein wichtiger Schritt hinsichtlich der Überwachung des Bürgers durch den Staat sein! Es kann auch nicht so kommen, aber allein die Gefahr sollte aufhorschen lassen. Einen Geist wieder in die Flasche zu bekommen ist recht schwierig, siehe die Datenkraken im Netz.

    Wegen all dieser Aspekte ist zwingend eine breite Diskussion nötig und sollte nicht über das Knie gebrochen werden! In der jetzigen aufgeregten Situation ist eine Diskussion Im Parlament (wer will freiwillig als Hemmer gelten, Macher sind ja jetzt so gefragt) und in der Zivilgesellschaft (Versammlungen schwer möglich, mit Demo’s kann kaum Druck ausgeübt werden) schwer möglich, aber zwingend nötig. Wenn jetzt sowas schwerwiegendes in recht kurzer Zeit durchgerpügelt wird, ohne Möglichkeit von Verschieden Gruppen darauf einzuwirken, hat dass den Anschein von regieren im Hinterzimmer.
    Meinen Verständnis von Demokratie nach sind bei so einer schwerwiegende Entscheidung möglichst viele Bevölkerungsteile einzubeziehen und sollte nicht einfach von oben beschlossen werden (Stichwort „die da oben“, hochgefährlich).
    Das hätte die Gefahr das Vertrauen in die Regierung und deren Maßnahmen in der Bevölkerung zu schwächen, was in der derzeitigen Lage gefährlich wäre.

    Solange in der Epidemologie zu diesem Thema so eine Uneinigkeit herscht, sollte außerdem von solchen Tiefgreifenden Maßnahmen mit (möglichen) Folgen weit nach Ende der Corona-Pandemie Abstand genommen werden.
    Wenn mit Menschenleben gekommen wird (was oft auch als Totschlagargument verwendet wird) sollte bedacht werden, dass den Genuss der jetzigen Freiheitsrechte auch viele Menschen gestorben sind.
    Diese App könnte durchaus einen Nutzen in ein paar Monaten haben, um bei vereinzelten Infektionsherden die ausbreitung zu verhindern. Allerdings sollte die Zeit bis dahin genutzt werde um ausführlich alle Möglichkeiten und Risiken zu betrachten und Diskutieren.

    1. Zitat :
      „Die daraus resultierenden Falschmeldung können falsche Gefühle/Reaktionen hervorrufen. Bei einer fälschlicherweise übermittelten Gefahr verunsichert es die Personen unnötig, bei einer fälchlicherweisen nicht übermittelten Gefahr wiegt die Person sich in Falscher Sicherheit, nimmt erste Symptome nicht wahr und verbreitet das Virus.“

      Genau das meine ich auch, wenn nicht sofort ein Test vorgeschrieben wird bei einer „Warnung“. Normalerweise müsste sogar jede Person, bevor die App gestartet wird, sich erst testen lassen.
      Wenn ich mich tatsächlich bei einer übermittelten „Warnung“ „freiwillig“ in Quarantäne begeben soll, wie soll ich das eigentlich meinem Arbeitgeber denn ohne Test klar machen ?
      Müsste eigentlich doch jeder wissen, dass ich erst zum Arzt muss und krank schreiben …. ginge nur mit positivem Test.
      Wie darf ich dann wiederum meine „Kontakte“ warnen ?
      Einfach so Button drücken ? Oder nur ein Arzt mit Passwort ??

      1. Aber auch allein die Nachricht, dass die Ampel auf rot geht kann anscheinend immense Auswirkung haben. Gestern hat ein Leiter eines Gesundheitsdezernates bei Maybrit Illner erwähnt, dass die Übermittlung eines positiven Ergebnisses starke Verunsicherung und Ängste bei den Personen hervorgerufen hat. Eine Automatische Benachrichtigung solle vermieden werden und stattdessen per Telefon mitgeteilt werden.
        Mit der verwendeten Technologie wird es wohl auch zu vielen Falschmeldungen kommen, welche die Bürger signifikant zusätzlich verunsichern würden. Die derzeitige Verunsicherung wegen der unklaren derzeitigen Lage und Zukunft ist schon für viele Bevölkerungsteile hochgradig belastend. Bei der Auswirkung von Corona auf die Gesundheitslage ist neben der physischen Zustand auch der psychische Zustand der Menschen zu betrachten.

        „Genau das meine ich auch, wenn nicht sofort ein Test vorgeschrieben wird bei einer „Warnung““.
        Aber zwischen Warnung und Test vergeht einige Zeit ( derzeit so um die 24-48h), in der diese Verunsicherung vorhanden ist. Und von dem Overload an Nachrichten zu Corona wird das Kopfkino sehr gut versorgt und gespeist. Auch die sofortige Erreichbarkeit der Gesundheitsämter ist fraglich, da dort die Leitungen glühen.

        Aber der Hauptpunkt ist einfach die hohe Fehleranfälligkeit, weshalb diese Methode zur EIndämung der Pandemie von einigen Epidemologen vehement abgelehnt wird (erwähnt sind Herr Alexander S. Kekulé und Gérard Krause. Beides Epidemologen mit Professuren, die auch schon als Berater der Bundesregierung für Seuchenschutzbekämpfung oder im Robert-Koch-Institut gearbeitet haben. Also keine Wodarg’s sind ;)

        „Müsste eigentlich doch jeder wissen, dass ich erst zum Arzt muss und krank schreiben …. ginge nur mit positivem Test.“ Ein Arzt kann per Telefon Personen 14 Tage krank schreiben.

        „Wie darf ich dann wiederum meine „Kontakte“ warnen ?“ Meinen Versändnis nach übermittel das Gesundheitsamt die ID des Infizierten an einen Server. Und über diesem erhalten die Kontake mit der App eine Warnung. Entweder fragt die App die ID ab oder der Server übermittelt die Warnung.

        1. Danke für die Information.
          Die Testdauer ist schon erschreckend.
          Stimmt, die Krankschreibung wurde „vereinfacht“ …
          Fällt mir auch ein, jugendliche könnten diese App auch installieren …

          Ihre Ausführungen bestätigt meine Meinung, dass es sich nicht um ein schlüssiges Konzept handelt, geschweige denn praxistauglich wäre. Ich kann deshalb auch nicht verstehen, warum immer gleich losprogrammiert wird. Vielleicht mal vorher nachdenken, nicht nur über den Datenschutz.
          Achja .. „Digitalisierung“, die zZt populärste Lösungsformel …

          Selbst „Herr Lanz“ hatte sich jüngst damit beschäftigt , Gast Linus Neumann
          https://www.zdf.de/gesellschaft/markus-lanz/markus-lanz-vom-2-april-2020-100.html

  17. Bitte nehmt es mir nicht übel – ich bin technisch und Corona betreffend durchaus sehr interessiert (weshalb ich auch hier gelandet bin), aber diese aufdringliche Ideologisierung eines Fachtextes durch die Gender-Sprache ist, als würde dort alle paar Worte ein „Preis den Herrn“ oder „Inschallah“ oder „Dank Kim Il Sung“ u.s.w. stehen. Das lässt einen einfach bockig werden und man bicht das Lesen ab. Es ist wirklich nicht auszuhalten und ganz sicher nicht im Sinne der Sache, um die es sich in dem Artikel eigentlich handelt….

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.