Covid-19

Forscher:innen warnen, Kontaktverfolgung könne zur Überwachung missbraucht werden

Rund 300 Wissenschaftler:innen aus der ganzen Welt fordern, Maßnahmen zur Kontaktverfolgung mit Apps müssten die Privatsphäre der Bürger:innen achten. Indirekt kritisieren sie damit das Modell, das derzeit auch die Bundesregierung favorisiert.

Menschen auf eine Rolltreppe
Wie nah war man sich und wie lange? Das ist entscheidend für das Infektionsrisiko mit Covid-19. Die Identität der Betroffenen muss dagegen geschützt bleiben. Vereinfachte Pixabay Lizenz

Zwischen Wissenschaftler:innen, die an der Entwicklung einer Technologie für die Covid-19-Kontaktrückverfolgung beteiligt sind, ist ein offener Streit entbrannt. Jetzt haben mehr als 280 Forscher:innen aus der ganzen Welt einen offenen Brief unterzeichnet, in dem sie sich gegen die technische Lösung aussprechen, die derzeit auch von der deutschen Bundesregierung favorisiert wird.

Kontaktverfolgung mit Hilfe von Apps könne grundsätzlich sinnvoll sein, heißt es in dem Brief. Mit ihrer Hilfe könnten gefährdete Personen schneller benachrichtigt werden könnten. Auch sei es grundsätzlich zu begrüßen, dafür Bluetooth-Technologie zu nutzen statt Standortdaten zu sammeln und zu speichern. Bluetooth Low Energy (BLE) misst lediglich die Nähe zweiter Geräte zueinander – und damit ihrer Besitzer:innen – und ist damit wesentlich schonender für die Privatsphäre als eine Sammlung der Standortdaten, aus der sich Bewegungsmuster erstellen lassen.

Im Kern geht es um die Frage, ob die verschlüsselten IDs der einzelnen App-Nutzer:innen zentral auf einem Server gespeichert werden sollen oder auf der jeweiligen Gerät verbleiben. Darüber wird derzeit unter Fachleuten heiß diskutiert. Das zentrale Verfahren, so die Kritik der Forscher:innen, berge das Risiko einer schleichenden Ausweitung der Zweckbestimmung. In einem solchen Modell würde die verschlüsselte Liste der Kontaktpersonen einer infizierten Nutzerin auf einen zentralen Server hochgeladen werden. Der Betreiber eines solchen Server könnte daraus rekonstruieren, welche anderen Personen man in den vergangenen Wochen getroffen hat. Social Graph nennt sich diese Information, das soziale Geflecht also, in dem sich eine Person bewegt.

Die Rekonstruktion dieses Geflechtes ermögliche eine Form der Überwachung, die das „Vertrauen in und die Akzeptanz solcher Applikation in der Gesellschaft katastrophal behindern“ könne, heißt es in dem Brief. „Es ist entscheidend, dass wir aus der aktuellen Krise heraus kein Werkzeug entwickeln, das eine Datensammlung der Bevölkerung in großem Ausmaß erlaubt.“ Autoritäre Staaten, Unternehmen oder Hacker:innen mit Zugriff auf diese Informationen könnten sonst Bürger:innen in ihrem Alltag ausspionieren. Wie genau dies möglich wäre, haben einige der Wissenschaftler:innen in einer ausführlichen Analyse beschrieben.

Im Zweifel immer die datensparsamere Lösung

Die Unterzeichner:innen plädieren deswegen dafür, eine dezentrale Architektur für die Nachverfolgung von Kontakten zu verwenden. In einem solchen Modell verbleibt die Liste der IDs von Kontaktpersonen auf dem jeweiligen Gerät, so könne niemand das Netz der Sozialkontakte daraus ableiten. Die Forscher:innen verweisen auf die Rolle von Apple und Google. Die beiden Konzerne haben angekündigt, erstmals in ihrer Geschichte zusammenzuarbeiten, um eine gemeinsame Infrastruktur für den Einsatz von Bluetooth auf ihren Geräten zur Verfügung zu stellen. Dabei setzen sie ebenfalls auf eine dezentrale Architektur. „Wir begrüßen diese Initiative“, schreiben die Forscherinnen.

Sie äußern auch konkrete Forderungen an jene, die solche Apps in Zukunft entwickeln und einsetzen: So solle das System zu nichts anderem eingesetzt werden als die Eindämmung der Covid-19-Pandemie und keine Informationen speichern, außer die dafür unmittelbar notwendigen. Wenn mehrere Optionen für eine technische Lösung zur Verfügung stehen, müsse immer diejenige gewählt werden, die die Privatsphäre bestmöglich schützt.

Brief als direkte Kritik an PEPP-PT

An keiner Stelle nennen die Verfasser:innen direkt das Projekt PEPP-PT. Das Kürzel steht für Pan European Privacy-Protecting Proximity Tracing und es handelt sich dabei um einen technischen Standard zur Kontaktverfolgung mit Hilfe von Bluetooth, der derzeit unter anderem am Fraunhofer Heinrich-Hertz-Institut entwickelt wird. Mehrere Passagen lesen sich jedoch wie eine direkte Kritik des Vorgehens der Macher:innen von PEPP-PT. Das verwundert nicht: Einige der Unterzeichner:innen waren bis vor Kurzem selbst noch Teil von PEPP-PT und haben die Gruppe nun öffentlichkeitswirksam verlassen.

So fordern die Unterzeichner:innen, solche Technologie müssten transparent entwickelt werden, alle technologischen Grundlagen wie Protokolle und der verwendete Code sollten öffentlich und damit nachprüfbar gemacht werden. PEPP-PT hat dagegen lange Zeit hinter verschlossenen Türen an seiner Technologie gearbeitet. Erst vergangenen Samstag hat das Konsortium, an dem mehrere Forschungseinrichtungen und Unternehmen beteiligt sind, eine Dokumentation und damit eine Diskussionsgrundlage für das veröffentlicht, was eigentlich geplant ist. Während die Macher:innen des dezentralen Ansatzes ihren gesamten Code und alle Grundlagen im Netz zur Diskussion stellen, werden Vorschläge und Hinweise zum Code von PEPP-PT derzeit nicht entgegengenommen. Mitarbeiten dürfen nur Wissenschaftler:innen aus dem Kernteam.

Auch erwähnt der Brief, dass einige Entwickler:innen derzeit Druck auf Google und Apple ausüben wollen, ihre Schnittstellen so anzupassen, so dass auch eine zentrale Architektur für die Kontaktverfolgung funktionieren würde – aus Sicht des Datenschutzes ein Minuspunkt. Chris Boos, Gründer der Unternehmens Arago und in Deutschland treibende Kraft hinter PEPP-PT, hatte bei einer Pressekonferenz vergangenen Freitag angekündigt, genau das tun zu wollen.

Unter den Unterzeichner:innen sind auch mehr als 50 Forscher:innen aus Deutschland, etwa vom Helmholtz-Zentrum für Informationssicherheit CISPA oder der Technischen Universität München. Beide Einrichtungen waren ursprünglich selbst im losen Konsortium von PEPP-PT dabei. CISPA verließ vergangenen Freitag das Projekt nachdem klar wurde, dass PEPP-PT vor allem eine zentrale Architektur befürworten würde, ebenso die Schweizer Forscher:innen der EPFL Lausanne und der ETH Zürich und der belgischen KU Leuven, die nun ebenfalls den Brief unterzeichnen.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

12 Ergänzungen
  1. „Es ist entscheidend, dass wir aus der aktuellen Krise heraus kein Werkzeug entwickeln, das eine Datensammlung der Bevölkerung in großem Ausmaß erlaubt.“ – na ja, das haben wir auch schon ohne Krise nicht geschafft.

    Meine Erwartung ist, egal welche Diskussionen wir hier in EU oder DE führen und wie wir sie beenden, die Technologie kommt am Ende untransparent vom Google+Apple.
    Weil, wer sollte es sonst tun?

    (Einen gewissen Sinn für Humor braucht man schon, wenn das Anschreiben über mögliche Überwachung durch Technologie, auf einem Google Drive verteilt wird…)

    1. Ich habe die Spezifikation von Google und Apple überflogen. Das sah soweit tatsächlich nach der von Linus „beworbenen“ datensparsamen dezentralen Lösung aus, bei der nur die gesendeten Tokens der Infizierten über irgendeinen Server geteilt werden und alle teilnehmenden Geräte diese runterladen und lokal auf Übereinstimmungen prüfen.

      Es würde mich also wirklich nicht wundern, wenn die Lösung von Google und Apple hinterher tatsächlich datenschutzfreundlicher wäre als die von der Bundesregierung favorisierte Lösung.

      1. „Wir wollen doch Apple und Google unseren schönen Datenschutz nicht überlassen“. Das wird die Message werden, um die Entscheider mit Halbwissen von einer zentralisierten Lösung zu überzeugen.

  2. „Mit ihrer [der App] Hilfe könnten gefährdete Personen schneller benachrichtigt werden könnten.“

    Und auch da ist schon Hofneusprech eingesickert.

    Die Gefährdung der Kontaktpersonen selbst ist den Gewaltigen dabei herzlich egal, es geht vielmehr darum, jene als mögliche _Gefährder_ (nämlich der Gesundheit anderer) zu identifizieren und überwacht und kostengünstig zwangszuisolieren.

  3. Könnte Google helfen, extra-territoriale Dunkelfelder auszuleuchten?

    Covid19-Infektionen in Deutschland müssen gemeldet werden. Das schreibt das Infektionsschutzgesetz vor. Aber nicht alle Ämter erfassen Fälle unter hier stationierten amerikanischen Militärangehörigen. Das haben Recherchen des Tagesspiegel ergeben. Die Behörden in Stuttgart beispielsweise halten sich für überhaupt nicht zuständig.

    https://www.tagesspiegel.de/politik/corona-fallzahlen-was-wissen-die-behoerden-ueber-covid-19-auf-us-basen-in-deutschland/25741972.html

    Im Übrigen gibt es Zehntausende deutscher „Civilians“, die auf den US-Basen arbeiten.

  4. Ich steige nicht mehr durch – was ist jetzt wirklich Stand der Diskussion des zentralen vs. dezentralen Ansatzes:

    Bisher hatte ich verstanden, dass
    – die Contact-Traces bei beiden Varianten ausschließlich auf dem Smartphone der Nutzer gesammelt und nach einer bestimmten Zeit (2-4 Wochen) verworfen werden.
    – ein Teilnehmer bei dem Covid-19 diagnostiziert wird, manuell durch Interaktion mit seiner App die verschlüsselten IDs seiner getroffenen Kontakte für die Information der Kontakte bereit stellt.

    Der Unterschied zwischen dem zentralen und dem dezentralen Ansatz lag meinem Verständnis nur darin, auf welchem Weg die Information der Kontakte erfolgt.
    – beim dezentralen Ansatz werden alle protokollierten IDs öffentlich bereitgestellt, sodass die Apps von Teilnehmern diese herunterladen und auf Übereinstimmung mit ihren eigenen IDs prüfen und damit den Benutzer informieren können.
    – beim zentralen Ansatz übergibt die App des Infizierten die IDs ausschließlich nach der manuellen Interaktion an einen zentralen Server, der jedoch über ein kryptographische Verfahren die IDs einer Push-Notification-Registrierung eines App zuordnen kann und diese dann per Push-Notification informiert.

    In beiden Fällen würde niemand etwas von den protokollierten Kontakten erfahren, wenn der Anwender diese nicht manuell zur Alarmierung der Kontakte bereitstellt.

    Im Falle einer Bereitstellung der Information erhält
    – beim dezentralen Ansatz jeder beliebige Teilnehmer die Information zu den Kontaktnetzen.
    – beim zentralen Ansatz die beteiligten Serverbetreiber (die Covid-Server und ggf. die Push-Information-Server) die Information zu den Kontaktnetzen.

    Ist mein Verständnis hier korrekt oder habe ich da etwas falsch verstanden?

    1. Soweit ich das verstanden habe, sollten doch bei der dezentralen Variante nur die gesendeten Tokens der infizierten bereitgestellt werden. Jedes teilnehmende Handy ruft periodisch diese Tokens ab und vergleicht diese mit den selbst empfangenen ab. Somit steht kein Kontaktnetz auf den Servern bereit.

      Diese Variante wäre im Grunde genommen auch die Api von Google und Apple. Um den Traffic zu minimieren, gibt es dort eine Tages-ID, von der die sich jeweils alle 10 Minuten ändernden Tokens abgeleitet werden. Dort würden dann über den Server nur die Tages-IDs der infizierten bereitgestellt werden. Der Traffic wäre dann nur 1/144 der gesamten Tokens. Die Generierung eines Tokens aus der Tages-ID ist dabei sehr einfach möglich, der umgekehrte Weg aber aufgrund der verwendeten Hashfunktionen quasi unmöglich.

  5. Tatsächlich muss man sich fragen, warum es diesen Konflikt überhaupt gibt.
    Es ist auch im Sinne der Bundesregierung eine möglichst große Akzeptanz der App zu erreichen, und sich daher immer für das datensparsamste und dezentralste Modell zu entscheiden.
    Es ist enttäuschend in einer so ernsten Lage von der Politik einem solchen Mangel an Verständnis und Pragmatismus zu erleben.

    1. Weil es Zielkonflikte und Verstaendnisdifferenzen gibt. Versetz Dich mal in die Position der etablierten Politik/GroKo, und vergiss dabei Deine postulierte Normalitaet.

      Bei grossen Teilen der Politik duerfte das Verstaendnis von Situation und Optionen sehr, sehr begrenzt sein. Damit haben Lobbyisten und aus der Wirtschaft stammende Berater wie Chris Boos entsprechend Einfluss. Konnte man ja immer wieder bei Leistungsschutzrecht und Copyright sehen.

      Zum anderen gibt es klare Ziele in der Politik: mehr Ueberwachung, staerkere zentrale Strukturen, im Zweifel auch Zwang der Buerger zur Compliance. Siehe Uploadfilter, VDS, NetzDG, usw.

      Akzeptanz ist nicht so wichtig, wenn man sich signifikanten Vertrauensmangel gar nicht vorstellen oder eben (auch informellen) Zwang vorstellen kann. Datensparsam und dezentral ist widersinning, wenn man Datenreichtum und zentral haben will.

    2. Vielleicht noch ergaenzend: wer sich als konservativer Politiker gerade umsieht, welcher Kollege persoenlich wie im Durchsetzen von Wirtschftsinteressen wie erfolgreich ist, dann sieht man da: Trump, Johnson, Orban, Kurz, und so weiter. Die sind ja nicht die Ursache sondern das Ergebnis der Umstaende und des neuen „Normal“ dieser Politikrichtung.

      In dem Kontext kann „Pragmatisch“ nur heissen, jede Chance zur Durchsetzung wirtschaftlicher Interesse zu ergreifen, und natuerlich jede Chance zur Selbstdarstellung. Die Chance ist klar: Etablieren einer Plattformloesung zur Kontaktverfolgung und KI-gestuetzten Auswertung mit automatisierter Konsequenzdurchsetzung. Potentiell ein Riesenmarkt, und das macht zZt noch keiner ausser China. Potentiell ganz grosses Kino mit allen buzzwords als „Macher“ fuer ein groesstenteils als zumindest verstaendnislos angenommenes Publikum, hat ja die ganzen Jahre schon geklappt. Also pragmatisch ran und gucken was passiert, ist ja kein persoenliches Risiko der Handelnden mit verbunden.

      Wir haben die Politiker in den handelnden Positionen, die sich am besten dem System angepasst haben. Dem System, dass die Waehler soweit unterstuetzt und gefoerdert haben.

  6. Wenn der sehr elitenahe Chris Boos da führend involviert ist ist die App für mich ein no Go! Ich kenne sein Netzwerk wenig vertrauenserweckend für mich.

  7. Ohne die Arbeit der 400 Gesundheitsämter, der Testlabs, Ärtzte genauer zu analysieren und mit deren Contact Tracing Methoden zusammen („seamless“) zu modellieren und zu funktionieren wird es zu einem Umsetzungsdebakel durch diese App kommen. Bisher scheinen alle vorgestellten Modelle in diesem Punkt verbesserungsfaehig. Der Vorteil an einem federated backend ansatz ist die Datensparsamkeit bleibt halbwegs gewahrt.
    Die Diskussion um dezentral und zentralisiert ist hinderlich um diese grundlegenden Fehler in der Systemanalyse ueberhaupt erst zu erkennen. Weder die Umgehung und Erschwerung der Arbeit der Gesundheitsaemter noch eine zentrale Speicherung in einerm Seuchenregister kann das Interesse einer kritischen Diskussion sein.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.