Covid-19-KontaktverfolgungRichtungsstreit unter den Entwickler:innen der Corona-Tracing-Technologie

Offener Konflikt im europäischen Konsortium PEPP-PT, das eine Technologie für Corona-Tracing-Apps entwickeln will. Mehrere Vertreter:innen eines dezentralen Ansatzes machen auf Twitter öffentlich Schluss mit der Gruppe. Deren Sprecher Chris Boos bemüht sich um Schadensbegrenzung.

Menschen mit Smartphones in der Hand
Wer so nah beieinander steht, hat sich womöglich angesteckt. Eine Technologie auf dem Smartphone soll bei der Rückverfolgung der Kontakte helfen. CC-BY 2.0 Rawpixel Ltd.

Gerüchte über Spannungen zwischen unterschiedlichen Fraktionen im Konsortium PEPP-PT zur Entwicklung eines europäischen Corona-Tracing-Standards gab es schon lange. Nun eskaliert der Streit öffentlich. Am heutigen Freitag ziehen sich Vertreter:innen des dezentralen Tracing-Ansatzes DP3T öffentlichkeitswirksam aus der Gruppe zurück.

Ein abgestimmtes Statement der DP3T-Gruppe gibt es bisher nicht, die Forscher:innen arbeiten als loser Verband ohne PR-Team. Doch am Freitagmorgen teilte der Schweizer Epidemiologe Marcel Salathé via Twitter mit: „Ich dis-assoziiere mich von PEPP-PT“. Der Professor der Polytechnischen Hochschule von Lausanne war eines der öffentlichen Gesichter des Konsortiums – und ist ein Verfechter des dezentralen Ansatzes. „Während ich weiterhin an die Kernideen glaube, kann ich nicht hinter etwas stehen, von dem ich nicht weiß, wofür es eigentlich steht. PEPP-PT ist aktuell nicht offen und transparent genug.“

Auch der Jurist Michael Veale schreibt, man habe sich mit guten Absichten unter das Dach des Konsortiums begeben, nun sei aber klar, dass mächtige Akteure, die einen zentralisierten Ansatz befürworten, nicht mit solch guten Absichten handelten.

Vorangegangen waren Medienberichte, denen zufolge die Erwähnung von DP3T auf der Website von PEPP-PT ohne Rücksprache mit den Betroffenen gelöscht wurde.

Gretchenfrage: Zentrales oder dezentrales Matching?

Hintergrund ist ein Richtungsstreit über die konkrete Ausgestaltung der Kontaktrückverfolgung mithilfe von Smartphones. Beide Gruppen schreiben sich Freiwilligkeit und Datenschutz auf die Fahnen und wollen ohne Ortungsdaten Kontakte von Infizierten mittels Bluetooth-Low-Energy-Technik (BLE) erkennen. So sollen möglicherweise Infizierte schnell informiert und letztlich Infektionsketten unterbrochen werden.

Dafür werden auf Smartphones temporäre IDs ausgesendet und mit solchen Telefonen ausgetauscht, die sich für einen bestimmten Zeitraum im Nahbereich aufgehalten haben. Der große Unterschied der beiden Modelle: Beim zentralen Ansatz würde diese Liste der Risiko-Kontakte von der infizierten Person auf einen zentralen Server hochgeladen werden, sobald sie positiv auf das Virus getestet wurde. Dieser berechnet das Risiko einer Infektion und verständigt die Risiko-Kontaktpersonen. Dieses Modell steht unter anderem deshalb in der Kritik, weil eine Sammlung der Kontakte an zentraler Stelle eine Re-Identifizierung der pseudonymisierten Daten ermögliche.

Der dezentrale Ansatz soll ohne eine solche Speicherung und Verarbeitung von sensiblen Daten auf einem zentralen Server auskommen. Die infizierten Personen melden ihre ID stattdessen als infiziert – und alle anderen Smartphones fragen ständig ab, ob sie in Kontakt mit diesen IDs waren. [Wie genau die beiden Modelle funktionieren, erklärt sehr anschaulich republik.ch]

PEPP-PT gestartet als Marktplatz unterschiedlicher Ideen

PEPP-PT sei als ein Marktplatz für unterschiedliche Ideen und Architekturen für Corona-Tracing-Apps gestartet, erklärt Ninja Marnau gegenüber netzpolitik.org. Die Juristin vom Helmholtz Center for Information Security unterstützt die Gruppe der Wissenschaftler:innen, die den dezentralen DP3T-Ansatz entwickelt. Sie hätten sich entschieden, sich unter dem Schirm des PEPP-Konsortiums zu engagieren, weil dort verschiedene Ansätze nebeneinander erarbeitet wurden.

Anfangs habe es auch regelmäßige Telefonkonferenzen zwischen unterschiedlichen Teams gegeben. Doch die einzigen, die kontinuierlich ihre Ergebnisse veröffentlicht hätten, seien die DP3T-Forscher:innen gewesen, so Marnau. Michael Veale, Jurist am University College London und Teil der Gruppe ergänzt, dass es für die DP3T-Gruppe seit einiger Zeit keine Einladungen zu Treffen oder sonstige Informationen mehr gegeben habe.

Aus mehreren Quellen ist zu hören, dass die Bundesregierung, die PEPP-PT seit Mittwoch offiziell unterstützt, einen zentralen Ansatz forciere.

„Es muss klar sein: Wenn man künftig von PEPP-PT redet, dann redet man nicht vom dezentralen DP3T-Ansatz“, stellt Ninja Marnau klar. Steht PEPP-PT jetzt ausschließlich für den zentralen Ansatz? „Das weiß ja niemand. Wir wissen nicht mal, was der Bundesregierung unter dem Label PEPP-PT vorgestellt wurde.“

Boos: Weiterhin unterschiedliche Ansätze möglich

Das sieht einer der führenden Köpfe hinter PEPP-PT naturgemäß anders. Auf einer Video-Pressekonferenz am Freitag strahlte Chris Boos, IT-Unternehmer und Digitalberater der Bundesregierung, Zuversicht und demonstrative Gelassenheit aus. PEPP-PT ermögliche weiterhin viele unterschiedliche Ansätze und Ideen. Mehr als 40 Regierungen hätten Interesse an der Mitwirkung geäußert. Kryptographie sei aber gerade nur eines von vielen Themen, es gehe schließlich in erster Linie darum, eine Pandemie in den Griff zu bekommen.

Auf der Pressekonferenz verkündeten Boos und Thomas Wiegand vom Fraunhofer Heinrich-Hertz-Institut, dass die bisherigen Tests mit der BLE-Technologie vielversprechende Ergebnisse zeigten. Trefferquoten lägen zwischen 70 und 80 Prozent.

Auch die Medizinethikerin und Co-Vorsitzende der Datenethikkommission, Christiane Woopen, nahm an der Pressekonferenz teil. Sie vertrat die Ansicht, dass die Unterschiede zwischen dem zentralen und dezentralen Modell nachrangig wären, weil bei beiden Ansätzen keine personenbezogenen Daten verarbeitet würden – Datenschützer:innen widersprechen diesem Verständnis.

„Der dezentrale Ansatz ist nicht tot“

Zur gelöschten Passage auf der Website erklärte Boos gegenüber netzpolitik.org per Mail, dass die Nennung von DP3T gegen die gebotene Neutralität verstoßen habe. Für keine andere Systemkomponente sei öffentlich eine einzelne Technologie explizit genannt worden. Und: „Ein dezentraler Ansatz wurde fälschlicherweise mit DP3T gleichgesetzt. Das hat korrekterweise zu Anfragen geführt, warum weitere Möglichkeiten eines dezentralen oder sogar hybriden Ansatzes grundsätzlich ausgeschlossen seien.“ Tatsächlich hat mit der TU München gerade eine weitere PEPP-PT-Partnerin einen eigenen dezentralen Ansatz vorgeschlagen.

Dass die Korrektur der Website ohne Rücksprache stattgefunden habe, sei schlechte Kommunikation gewesen, erklärt Boos auf der Pressekonferenz. Er halte weiterhin viel von DP3T und wolle sich bei Salathé entschuldigen, in der Hoffnung, ihn wieder an Bord zu holen.

Salathé hatte erklärt, nun alle Kraft in DP3T stecken zu wollen. Auch Ninja Marnau erklärte: „Der dezentrale Ansatz ist keinesfalls tot. Aber es sieht so aus, als habe Deutschland sich dagegen entschieden.“ Die Wissenschaftler:innen wollen ihren Ansatz weiterentwickeln. Unklar ist, ob es weiter unter dem Dach von PEPP-PT passiert.

Andere Länder könnten den dezentralen Standard trotzdem nutzen, so die Hoffnung. Hier wiederum herrscht Einigkeit mit Chris Boos. Gegenüber netzpolitik.org teilt dieser mit: „Es wird später im Feld je nach Land unterschiedliche Realisierungs-Varianten von PEPP-PT geben, da unterschiedliche Prioritäten existieren.“

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

12 Ergänzungen

  1. „Chris Boos, IT-Unternehmer und Digitalberater der Bundesregierung“.

    Er liefert der Bundesregierung die zentrale Ueberwachungstechnologie, dafuer bekommt er den entsprechenden Auftrag und Bezahlung, die klassische Win:Win-Situation der GroKo.
    Auf Buergerrechte kann man zum Schutz von Staat und Wirtschaft nunmal keine Ruecksicht nehmen, in der marktkonformen Demokratie gibt es nur Unternehmer und Kunden.

  2. Dass zentralisierte PUSH- Architekturen nicht vor De-Pseudonymisierung schützen, ist manifest – „der Server“ (als funktionale, nicht als physische Komponente gemeint), muss dabei denknotwendig eine Möglichkeit haben, die Clients zu adressieren, egal über wieviele Hops das nun praktisch erfolgt. Diese PUSH-Kette lässt sich dann später mindestens mit höherrangigen Interessen (z.B. Strafverfolgung) im Handumdrehen bis zum User herunterbrechen.

    Aber auch bei dezentralen PULL-Architekturen stellt sich die Frage, inwieweit der in Client-seitiger Privacy – neugermlish „Secure Enclave“, vgl etwa https://twitter.com/MalteEngeler/status/1251429937279651840 (lesenswert!) – ermittelte Matchzustand irgendwie „privat“ bleiben könnte, wenn Benachrichtigte sich zu quarantänisieren und beim Gesundheitsamt zu melden haben.

    1. „wenn Benachrichtigte sich zu quarantänisieren und beim Gesundheitsamt zu melden haben.“

      Haben sie das? Wo steht das? Welches Gesetz soll die Rechtsgrundlage sein? Wie soll kontrolliert werden ob ich die Meldung erhalten habe?

    2. Nicht zu vergessen ist auch, dass jeder Server-Kontakt die IP-Adresse hinterlässt (egal, ob zentraler oder dezentraler Ansatz), so dass man den Client weiter eingrenzen oder sogar ermitteln kann (IP-Speicherungspflicht der Provider, es fehlt nur noch eine „vereinfachte“ Herausgabepflicht nicht nur bei Verdacht auf Straftat).

        1. Aber die Pflicht alle Daten herauszugeben :). Und was machen Provider so den halben Nachmittag lang?

          1. Abseits dessen, dass es gesetzliche Regelungen gibt, wann wir wem was an Daten herausgeben müssen lungern daneben LfDI und BfDI und gucken auf die Finger: wenn es keine gespeicherten Daten gibt, dann kann nichts außer einer Negativauskunft herausgegeben werden.

            Und Nachmittags machen wir dasselbe wie Vormittags: wir liefern den Kunden Fernsehen, Internet, Festnetztelefonie und Mobiltelefonier (und das soll 24/7/365 so sein) und arbeiten an diversen Aspekten dieses Geschäftes (neue Produkte, Werbung, Unternehmensprozesse, etc).

          2. Woher kommen dann die kaufbaren Angebote mit realpolitisch anonymisierten/aggregierten Daten?

            Wenn das Netz-DG, ob jetzt schon oder nach der nächsten Anpassung, vorbeischneit, sind „alle“ Daten interessant, die gesammelt werden u.o. überhaupt anfallen. Würden „Provider“ also mehr Daten herumschluchten oder sogar speichern als nötig, mehr als gesetzlich gefordert, landen wir wo?

            Ja, erst einmal nur bei einer Person, aber eben mit „mehr als gesetzlich gefordert“.

      1. Aus _einer_ IP-Adresse etc lässt sich bei dezentralem Matching maximal herleiten, dass User X die App zu Zeitpunkten t_i aktiviert hatte und die App sich die Liste gezogen hat.

        Man muss da aber dennoch genauer hinsehen:

        Problematisch wird es in dem Moment, wenn lokale WLANs genutzt werden und deren Basisstationen identifiziert oder sonstige Informationen der Netzwerkschicht (Funkzelle) mit den IP-Adressen verdichtet werden.

        Dann gibt es die Möglichkeit, eine De-Pseudonymisierung der _möglichen_ Kontakte eines/r Infizierten über die Netzwerkwerktopologie zu den Zeitpunkten t_i durchzuführen.

        Damit hätte Staat zwar noch nicht die _tatsächlichen_ Kontakte ermittelt, aber Beschlagnahme und Durchsuchung von DV-Anlagen – hier: Smartphone – ist in D schon auf rechtlich weit dünnerer Basis als dem Schutz von Gesundheit und Leben erfolgt.

        1. Ja, die Verknüpfungsmöglichkeiten weiten sich schon enorm aus mit der IP.

          Es gibt ja Datensätze zu kaufen, legal und illegal, sowie legal zu Kaufende/s, wo nicht klar ist, was hintersteckt. (Call center in Indien, AI, Trojaner, Orakel von Delphi).

          Es bleibt ja nicht bei „Idiot mit Lupe versucht Mathematik innerhalb eines k-anonymisierten Datensatzes auszuhebeln“. Nichts gegen den Idioten mit der Lupe, auch das muss probiert werden, z.B. um zu prüfen, ob Anonymisierung überhaupt stattgefunden hat. Es geht aber immer auch um Verknüpfung und Ausweitung, legal, illegal, konkret böse.

          IP war jetzt nur eine Art von Minimalbeispiel…

  3. Mittlerweile wird immer klarer, dass man hier eine Plattform fuer contact tracing und risk management aufbauen will, gerne mit „magic“ AI, und zur Erfolgskontrolle rueckgekoppelt an die echten Faelle.

    Da ist dann nichts mit anonym, und wenn wir noch die Idee des „Unbedenklichkeitszertifikats, natuerlich mit blockchain“ hinzunehmen, haben wir die totale Kontrolle. Und zwar aktiv wie passiv: man sieht jeden „Kontakt“, und man kann Personen Aktionen verbieten/verhindern. Zentral, automatisiert, skalierend. Und jeder Fehler ist „leider ein Computerfehler“, niemand ist Schuld.

    Wahnsinn mit Methode, wer den Film „Brazil“ gesehen hat, weiss, wo das hingeht.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.