Zentrale vs. dezentrale Corona-Tracing-Apps

Welche Technologie bietet den besseren Datenschutz?

Smartphones sollen bei der Kontaktverfolgung von Covid-19-Infizierten helfen. Das Potential solcher Technologie zur Eindämmung der Pandemie ist enorm. Doch Fachleute streiten sich derzeit öffentlich um die Frage, welche Technologie zum Standard wird, um die hochsensiblen Daten bestmöglich zu schützen. Ein Rekonstruktionsversuch.

Netz aus Seilen
Ein Netzwerk statt zentraler allwissender Server: Das fordern Wissenschaftler:innen für das Tracing von Corona-Infektionen. Gemeinfrei-ähnlich freigegeben durch unsplash.com

Es kommt selten vor, dass sich ein Problem mit einer rein technologischen Lösung beheben lässt. Im Fall der Kontaktverfolgung von Covid-19-Infizierten könnte eine Technologie die Arbeit aber zumindest stark vereinfachen, darin sind sich Expert:innen einig. Die derzeitige Praxis der Gesundheitsämter, Kontakte mit Hilfe von Stift, Papier und Telefon nachzuzeichnen, sie mutet archaisch an und ist vor allem zu langsam.

Denn das Virus wartet nicht aufs Amt. Bisherige Daten legen nahe, dass knapp die Hälfte der Infektionen passieren, noch bevor man überhaupt anfängt zu husten oder fiebern. Wenn es darum geht, mögliche Infizierte zu isolieren und damit Infektionsketten zu unterbrechen, richten sich die Hoffnungen derzeit vor allem auf eines: Apps, die räumliche Nähe automatisiert nachverfolgen könnten.

Vergangene Woche hat eine Allianz von mehr als 130 Forscher:innen und IT-Expert:innen eine mögliche Lösung dafür vorgestellt: eine Art Baukasten, mit dem solche Apps betrieben werden können. Ihre Technologie nennen sie Pan European Privacy Preserving Proximity Tracing (Pepp-PT) – und obwohl sie noch nicht fertig ist, setzen jetzt schon viele ihre Hoffnungen in ihr Versprechen von Erlösung. Deutschlands bekanntester Virologe Christian Drosten sprach in seinem Podcast von seiner „Faszination“.

Wir haben ausführlich erklärt, wie Pepp-PT funktioniert. Die Idee: Nutzer:innen laden sich freiwillig eine App auf das Telefon. Die App zeichnet auf, welche anderen Smartphones mit App in den vergangenen 21 Tagen in der Nähe des eigenen Smartphones waren – für mehr als 15 Minuten. Im Fall einer bestätigten Infektion teilen die Infizierten diese Informationen und alle relevanten Kontakte können binnen Sekunden benachrichtigt werden. Wozu das Gesundheitsamt Tage benötigt, passiert in Sekunden.

Der bestmögliche Datenschutz für alle

Klar ist, darin sind sich die Beteiligten einig: All das muss komplett entkoppelt von persönlichen Daten passieren. Eine zentrale Datenbank, in der die Identitäten oder Standorte von Infizierten gesammelt werden, so ein Szenario wäre in der EU nicht umzusetzen – nicht mal in Zeiten von Covid-19. Außerdem ist die Installation der App freiwillig. Wer würde eine solche Software noch herunterladen, wenn er oder sie fürchten müsste, später doch noch als rote Flagge auf einer Karte der eigenen Stadt aufzutauchen? Schon allein aus strategischen Gründen muss eine Lösung, die auf die freiwillige Teilnahme von Millionen setzt, für Vertrauen werben.

Uneinigkeit besteht allerdings noch in der Frage, wie dieser bestmögliche Datenschutz aussehen wird. Und dieser Graben zieht sich derzeit mitten durch die Gruppe derjenigen, die an Pepp-PT arbeiten. Während die Forscher:innen des Fraunhofer Heinrich-Hertz-Instituts hinter den Kulissen noch mit Hilfe der Bundeswehr an der Kalibrierung der Entfernungsmessung arbeiten, ist in den vergangenen Tagen eine öffentliche Diskussion über den richtigen Weg entbrannt, unter anderem auf Twitter. Es ist eine Diskussion unter Fachleuten für Kryptografie, aber sie wird noch entscheidend werden.

Grob heruntergebrochen dreht es sich um die Frage, ob eine solcher Standard, wie Pepp-PT ihn entwickelt, nach einem zentralen oder einem dezentralen Prinzip funktionieren soll. Ein zentrales Prinzip würde bedeuten: Irgendwo steht ein allwissender, zentraler Server, der meine geheime ID-Zahlenfolge kennt. Die einzelnen temporären Identitäten (IDs), die die App von dieser Zahlenfolge ableitet und aussendet, werden verschlüsselt auf dem Smartphone der Personen gespeichert, die meinem Telefon nahe waren – und umgekehrt. Sie ändert sich mehrmals pro Stunde. Wer mir begegnet ist, kann so niemals meine ID mit meiner Person in Verbindung bringen. Sollte ich aber mit einer anderen Covid-19-infizierten Person in Kontakt gekommen sein, kann der Server mich benachrichtigen, denn er kennt meine geheime Zahlenfolge.

In der dezentralen Version, wie eine Gruppe von Wissenschaftler:innen um die IT-Expertin Carmela Troncoso sie favorisiert, gibt es keine solche allwissende Instanz. Alle nötigen Berechnungen würden auf den Smartphones selbst laufen. Meldet sich eine App-Nutzerin nach einem positiven Test als infiziert, würde sie ihre geheime ID im Netzwerk veröffentlichen und dieses würde die Information an alle anderen Telefone verteilen. Sie können die temporären IDs berechnen und automatisch nachschauen, ob sie mit einer dieser ID in Kontakt waren.

Beide Systeme haben Schwachstellen

Welche Version ist nun sicherer? Ein Teil der Wissenschaftler:innen, darunter der Jurist Michael Veale, die IT-Expertin Carmela Troncoso und rund 20 weitere, plädieren engagiert für eine dezentrale Variante. Sie nennen diese Decentralized Privacy-Preserving Proximity Tracing (DP-3T) und haben dazu in einem Weißbuch ausführliche Vorschläge veröffentlicht, die sie nun zur Diskussion stellen.

Ihre Befürchtung: Eine zentralisierte Lösung lädt zu Missbrauch ein. Ein allwissender Server, auf dem alle Informationen zusammenlaufen, muss von irgendjemandem verwaltet werden. Es ist die große Schwachstelle in einem solchen System, der Punkt, an dem man jemandem Vertrauen schenken muss, der diesem Vertrauen entweder gerecht wird oder nicht. In einer Demokratie mit starken rechtsstaatlichen Kontrollen könnte man solch ein Risiko vertreten. Aber Pepp-PT, so das erklärte Ziel der Entwickler:innen, soll von möglichst viele Staaten genutzt werden. Erst dann wäre eine Verfolgung über Ländergrenzen hinweg möglich. Was ist mit Staaten wie Ungarn, deren autoritäre Ansprüche zuletzt kaum noch verschleiert wurden?

Denn auch wenn Pepp-PT alle möglichen Vorkehrungen trifft, um eine einzelne ID nicht mit einer Person oder einem Gerät zu verbinden, keine Telefonnummern, nicht mal die MAC-Adressen der Smartphones speichert: Mit entsprechendem Aufwand ließen sich auch in einem solchen System einzelne Erkrankte identifizieren. Man könnte etwa nachverfolgen, welche ID welche anderen IDs infizierte, darüber so genannte Social Graphs erstellen und diese mit anderen Informationen, etwa von Facebook oder Twitter, anreichern.

„So ließe sich im Zweifel rekonstruieren, wer wen angesteckt hat und woher er sich wiederum seine Infektion hat“, sagt Michael Veale, der sich am University College London mit IT-Recht befasst. Sicher vor Missbrauch, sagt Veale, sei daher nur ein System, in dem keine zentrale Instanz die geheimen IDs verwaltet, diese potentiell sensible Information nirgends zusammenläuft außer auf den Geräten der Nutzer:innen.

Dann also unbedingt dezentral? Der Chaos Computer Club hat gerade einen Kriterienkatalog mit 10 Punkten veröffentlicht, die Corona-Nachverfolgungs-Apps erfüllen müssen. Auch der Club fordert darin: „Keine zentrale Entität, der vertraut werden muss.“ Es sei „technisch nicht notwendig, alleine auf Vertrauenswürdigkeit und Kompetenz des Betreibers von zentraler Infrastruktur zu vertrauen, die Privatsphäre der Nutzer schon ausreichend zu schützen“. Darauf beruhende Konzepte lehne der Club von vornherein als fragwürdig ab.

Doch auch eine dezentrale Version hätte entscheidende Nachteile, sagen Beteiligte an PEPP-PT. Der IT-Unternehmer Chris Boos, der in Deutschland für die Initiative spricht und auch im Digitalrat der Bundesregierung sitzt, fasst im Gespräch mit TechCrunch zusammen: „In einem dezentralen System hat man das Problem, dass man die anonymen IDs der infizierten Personen an alle sendet […]. Das ist die einzige Möglichkeit, wie ein lokales Telefon erfahren kann: War ich in Kontakt oder nicht? […] Die Frage ist also: Will man eine Partei mit Zugang zu den anonymisierten IDs oder will man allen Zugang dazu gewähren?“

Update: Allerdings werden die IDs in so einem System nicht gesendet, sondern die Geräte selbst fragen diese Information regelmäßig auf einem Server ab. Auch gibt es bereits andere technische Lösungen, bei denen ein Server gar keinen Zugang zu anonymisierten IDs bräuchte.

Was aber stimmt: Auch im Falle eines dezentralen Protokolls hätte das System also Schwachstellen. Auf einige weisen die Autor:innen des Whitepapers zu DP-3T bereits selbst hin: Wer sich etwa mit einem Bluetooth-Scanner vor eine Bahnhofshalle oder an einen anderen belebten Platz stellt, könnte so binnen kürzester Zeit Tausende von temporären IDs sammeln. Diese Gefahr sieht etwa Ulf Buermeyer, Vorsitzender der Gesellschaft für Freiheitsrechte und als Datenschutz-Experte selbst in die Debatte involviert. Fügt man noch eine Videokamera hinzu, ließen sich die IDs mit konkreten Personen verbinden. Es ist nicht schwer, sich als nächstes einen Covid-19-Onlinepranger für die eigene Stadt auszumalen, inklusive privater Initiativen, die überwachen, ob sich Einzelne an die Quarantäneauflagen halten.

Update: Mittlerweile haben die Entwickler:innen von D3-TP allerdings eine technische Lösung vorgeschlagen, die es sehr schwierig machen würde, die IDs von Infizierten auf diese Weise abzufangen. Die IDs würden dabei über einen längeren Zeitraum in einzelnen Paketen ausgesendet werden, so dass die vollständige Information nur erhält, wer längere Zeit in der Nähe eines Gerätes war.

Technische Grundlage eindeutig, politische Konsequenzen nicht

Die zentrale Informationsübermittlung über einen Server oder die dezentrale über viele einzelne Geräte im Netzwerk: Beides bietet Vorteile und hat Schwachstellen. Deswegen wird die Entscheidung für das eine oder andere System nicht technisch zu treffen sein, sondern nur politisch, sagt Ulf Buermeyer. „Am Ende“, so Buermeyer, „läuft es auf die Frage hinaus: Welches Risiko finden wir gravierender?“ Dass womöglich ein autoritärer Staat die Daten auf einem zentralen Server für Zwecke missbrauchen könnte, denen Nutzer:innen der App nie zugestimmt haben? Oder dass die zunächst geheimen IDs von Infizierten de facto öffentlich zirkulieren und somit Angriffsfläche für Deanonymisierungsattacken bieten?

Das Konsortium hinter Pepp-PT hat nun angekündigt, beide Verfahren zu unterstützen, das zentrale und das dezentrale. „Beide Lösungen bieten einen guten Datenschutz“, sagt Boos. Man lasse derzeit beide Varianten von Hacker:innen und Informatiker:innen auf mögliche Sicherheitsrisiken prüfen. Allerdings heißt das auch: Einzelne Staaten können sich in einem solchen Szenario diejenige Lösung für ihre nationale App aussuchen, die ihnen am ehesten zusagt.

In Deutschland, sagt Boos, sei klar, dass nur eine zentralisierte Version umgesetzt werden kann. Die Gesetzgebung zum Datenschutz erlaube es gar nicht, dass Medizindaten wie eine Infektion öffentlich geteilt werden – selbst wenn diese pseudonymisiert seien, wie im Fall des dezentralen Systems. Der Jurist Michael Veale, der das dezentrale Protokoll mitentwickelt hat, argumentiert dagegen, die öffentlichen Daten seien juristisch betrachtet gar keine persönlichen Daten, da sie nur unter Einsatz von illegalen Methoden deanonymisiert werden könnten.

Offen ist noch die Frage, wie die beiden Systeme überhaupt miteinander kompatibel wären. Könnten etwa Kontaktketten zwischen Deutschland und Frankreich noch nachverfolgt werden, wenn das eine Land ein zentrales, das andere ein dezentrales System nutzt? Boos sagt, das sei möglich, das Team arbeite derzeit an einer solchen Lösung.

Wie die Technologie im Baukasten-Set von Pepp-PT genau funktioniert, das werden externe Fachleute erst überprüfen können, wenn die Allianz den Code ihrer App-Bausteine und das zugrundeliegende Protokoll wie angekündigt veröffentlicht. Das soll erst passieren, wenn die einzelnen Teile durch ein Peer Review von Expert:innen gegangen sind. Der Chaos Computer Club hat solch eine Transparenz bereits als Voraussetzung für eine vertrauenswürdige App genannt: „Der vollständige Quelltext für App und Infrastruktur muss frei und ohne Zugangsbeschränkungen verfügbar sein, um Audits durch alle Interessierten zu ermöglichen“, schreibt der Verein.

Update, 17.4.2020: Wir haben den Beitrag um einen klärenden Hinweis zum Zitat von Chris Boos ergänzt und einen Absatz zu neuen Vorschlägen der Entwickler:innen von DP-3T hinzugefügt.

21.4.2020: Wir haben den Zusatz zum CCC, er würde das Team hinter Pepp-PT in Sicherheitsfragen beraten, entfernt. Unter anderem in den Kommentaren kam der Hinweis: „Der CCC berät Pepp-PT nicht und ist auch nicht direkt oder indirekt an dem Projekt beteiligt. Es gibt informelle Gesprächskontakte mit einzelnen Projektbeteiligten, jedoch keine Beratung oder gar Absegnung oder Gutheißung von Konzepten oder Implementierungen.“

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

23 Ergänzungen
  1. Ich bin immer wieder fasziniert, wie man ignorieren kann, dass annähernd 100% der Mobiltelefone von Google und Apple kontrolliert werden.
    Ob es die Appstores, die Pushserver, die Location-Dienste, die Application-SDKs, die Updates oder die Basebands sind. Alles steht unter zentraler Kontrolle und macht es unmöglich diese Geräte zum Bestandteil eines Kommunikationskonzepts zu machen, das so hohe Vertraulichkeitsanforderungen wie das Corona-Tracing hat.
    Es ist reichlich bitter, dass es erst einer Corona-Epedemie bedarf, damit vielleicht ein paar mehr Leute begreifen, was sie da in den letzten Jahren angerichtet haben, indem sie die Mobilfunkgeräte gezielt zur mächtigsten Überwachungsplattform entwickelt haben.

  2. Es wird derzeit (auch aus CCC-nahen Kreisen) viel von transparenter Entwicklung geprochen. Nur einsehbar sind die Projekte nicht. Kann jemand diesen Widerspruch auflösen?

  3. 1. Datenschutz: Die Daten dürfen für nichts außer für die Erforschung der jetzigen Lage benutzt werden. Danach muss gelöscht werden. Andere Daten dürfen in diesem Zusammenhang nicht gsammelt werden.
    2. Sicherheit: Die Daten dürfen nicht abhanden kommen, und die Sammlung darf keine Scheunentore aufreißen (Bluetooth).
    3. Datensparsamkeit: Das behandelt der Artikel :p.

    Also, wie ich es sehe, kommt nur eine neues Device in Frage, dass selbst den Bluetoothscheiß macht, sicher ist, und sich im Zweifel mit dem Smartphone auch noch verbindet für schnelleres Senden an die Zentrale.

  4. Es fehlt bisher ein realistischer Ansatz der von den vorhandenen Datenfluessen ausgeht. Die Daten laufen derzeit zusammen beim lokalen zuständigen Gesundheitsamt, bzw. teilweise beim Arzt. Das Testlab hat nur pseudonymisierte Hashs auf den Röhrchen. Diese Datenarchitektur wird sich durch die Apps nicht ändern. Es bietet sich darum als dritte Lösung zwischen dezentral und zentral, praktisch gesehen eine „federated architecture“ an, bei der die zuständigen Gesundheitsämter die Datenhoheit behalten, denn das ist längst so gesetzlich festgelegt. Personenbezogene Daten zum Infektionsstatus sollten weder in dezentrale meshs gelangen, noch in die Hand von Polizei, zentralen Registern oder bei privaten Cloudanbietern (fitnesstracker incl. ) landen. Die lokale Bezirksebene ist wahrscheinlich die effektivste für die individualisierte Bewertung Infektionsrisikos, Nachbarschaftshilfen, wie auch bei feinjustierten Eindämmungsmassnahmen und Tracing-Usecases. Roaming und Mobilität ist dabei nicht Standard sondern Ausnahme muss aber mitgedacht werden (ischl!). Hypothese: Nur auf der Bezirks und Landkreisebene wird ein bestimmter epidemischer Level of Detail gebraucht.

    Wenn Wissenschaftler detaillierten Zugang für Studien benötigen sind features moeglich bei denen auf Anfrage hin Nutzer diesen freischalten koennen. Um aber Diskriminierung vorzubeugen, ganz besonders in Bezug auf die begehrte Arbeitskraft der Genesenden sollte eine proaktive Systemanalyse stattfinden welche bereits die im Analogen implementierte dezentralisierte administrative Macht entsprechend berücksichtigt.

  5. Was den Gebrauch meiner Smartphones angeht betreibe ich, schon seit einiger Zeit, Digital Detox. Ich habe mein Smartphone nur noch dabei wenn ich vorher weiß oder glaube das ich es brauchen werde z.b. wenn ich eine Navigationsapp nutze um eine Straße zu finden wo ich vorher noch nicht war.
    Facebook, Twitter, WhatsApp und Co. habe ich noch nie genutzt oder nutze ich nicht mehr. Bonus Programme wie z.b. Cashback, Payback und Co. sowie Kontaktloses bezahlen verweigere ich völlig.
    An meinen Rechnern, egal ob Smartphone, PC, Tablet, arbeiten ich mit Fake Accounts, VPN, Hardware Firewall, Linux Betriebssystem, verschiedenste Schutzsoftware, usw.
    Ich habe drei Smartphones für verschiedene Personenkreise und verschiedene Gelegenheiten.
    Bluetooth, NFC und Co. sind generell deaktiviert und um sicher zu gehen wenn ich mal ein Smartphone unterwegs dabei habe kommt es in eine abgeschirmte Tasche.
    Das alles liegt nicht daran das ich alt bin und nicht mit der Technik groß geworden bin oder daran das ich ein Technik Muffel bin, nein, ganz im Gegenteil sogar. Ich weiß leider wie schnell man Geräte kompromittieren kann, wie oft Sicherheitsversprechen nicht gehalten wurden, wie oft Daten missbraucht wurden, usw.
    Was ich also Grundsätzlich von der Idee halte das Corona Problem auf diese Art anzugehen und ob ich mir die App freiwillig downloade dürfte klar sein. Nicht weil ich Corona auf die leichte Schulter nehme sondern weil ich dem System dahinter (besonders den Politikern und Betreibern) absolut nicht vertraue.

  6. Man könnte beide Konzepte vereinen, indem die IDs der Personen, mit der man Kontakt hatte auf dem Smartphone bleiben und die Benachrichtigung anonymisiert über eine Zentrale Stelle erfolgt.
    Die App sendet nicht die ID der infizierten Person, sondern die IDs die Benachrichtigt werden sollen – natürlich anonymisiert – an das zentralisierte System das für die Benachrichtigung wie ein Proxy (eine Maschine, die die Vermittlung der Daten übernimmt und dabei es so aussehen lässt als würde sie die Daten versendet haben) fungiert.

  7. @Kirzz: was spricht dagegen, die Liste der zu benachrichtigenden IDs zu veröffentlichen? Und für den Fall, dass tatsächlich die „infizierten“ IDs veröffentlicht werden muss: wenn meine IDs nicht en bloc veröffentlicht werden, sondern alle paar Minuten eine, dann werden die IDs verschiedener Infizierter gemischt und somit eine Zuordnung erschwert.

  8. Kasper: Bravo – das bringt die Dinge auf den Punkt. Und dieselben Parteien, die gerne von (wirtschaftlicher) „Vielfalt“ reden, erlauben sowohl durch Ignoranz der von dir genannten Argumente ebenjenen Konzernen, steuerfrei dieses System der Gleichschaltung von Meinungen und Interessen zu forcieren und damit durch Zensur- und Normierungsprozesse der Demokratie bzw. der Ausbildung kritischer Diskursfähigkeit als Voraussetzung für demokratische Denkstrukturen massiv zu schaden!
    Alexander: Mache ich genauso. Man kann es nicht oft genug fordern: Einen IT-Unterricht in den Schulen, der genau dieses Bewusstsein auf der Basis von ECHTEM IT-Wissen schafft. Und darunter versteht man NICHT die Fähigkeit, das xte Mal sein Mittagessen auf Facebook zu posten, sondern das, was du beschrieben hast. Übrigens: bin auch alles andere als „alt“…

  9. Auch auf die Gefahr hin mich zu wiederholen, es gibt viele die ganz bewusst kein Smartphone benutzen. Die Gründe, die für einen solchen Verzicht sprechen, sind auf Netzpolitik.org ausführlich behandelt worden. Auch die Smartphonenutzer sind nicht umfänglich Datenschleudern. Viele bemühen sich im Rahmen ihrer Möglichkeiten Datenabflüsse zu begrenzen. Es gibt viele welche keine zusätzlichen Apps installieren welche das Tracking ausweiten würden oder verzichten bewusst auf die Verwendung von Facebookdiensten usw.
    Andere gehen noch weiter und rooten ihrere Geräte, was fälschlicherweise als Sicherheitsrisiko beschrieben wird, um das System zu bereinigen und Firewalls zu installieren oder spielen gleich ein Googlefreies Android auf.
    Diese zugegebenermaßen nicht die Mehrheit stellende Gruppe nutzt FDroid und Co, versucht also nicht nur die staatliche sondern auch die private Überwachung auf ein Minimum zu reduzieren.
    Das Argument ihr gebt ja sonst auch allen eure Daten ist bei einem durchaus nennenswerten Anteil der Bevölkerung nicht griffig. Zumal der Anteil der Trackingverweigerer, jeweils im Rahmen der Möglichkeiten, in kritischen Milieus und Berufsgruppen signifikant ansteigt.
    Interessant ist das Personen die, wie ich, im Kommunikationsbereich arbeiten, Informatiker, Behördenmitarbeiter, Anwälte, Ärzte, Polizisten usw privat und teilweise auch dienstlich ausgesprochene Verweigerer des Datenexibionismus sind.
    Ich kann das jetzt aus meinem Bereich nur mal so ganz allgemein sagen, es gibt berechtigte Gründe sich zurückzuhalten.
    Leider ist es nicht möglich die Modemssoftware der Mobiltelefone zu sichten und eventuell zu bearbeiten, da das das erlöschen der Betriebserlaubnis nach sich ziehen würde. Aus Datenschutzsicht wäre es nachgewiesenermaßen sinnvoll.
    Das als Vorbemerkung.
    Was jetzt die Koronaapps betrifft, hier soll wieder in einer Situation der Angst der Bürger darauf konditioniert werden Überwachung positiv zu bewerten und am Besten selber die nötigen Schritte dazu einzuleiten, damit man später auch keine Probleme hat, das eventuell rechtliche und polizeiliche Maßnahmen vor Gericht ins Leere laufen weil unverhältnismäßig.
    Erste Anzeichen für einen übergriffigen Staat zeigen sich bei ersten eher zaghaften Demoversuchen unter Einhaltung der Abstandsregelungen und eher unverhältnismäßigen Strafen für in der Sonne für sich alleine liegen und Buch lesen.
    Auch das die Daten Infizierter, wobei ich durchaus verstehe das die Polizisten aus Gründen des Eigenschutzes daran interessiert sind, spricht gegen eine Beteiligung an diesen Datensammelaktionen. Auch die teilweise Nichtquelloffenheit und die Beteiligung privater Firmen ist eher ein Alarmsignal.
    Objektiv gesehen ist es auch zweifelhaft wo der Nutzen für den Einzelnen und die Gesellschaft liegen soll. Es wird in absehbarer Zeit fast unmöglich sein, wenn man nicht den ganzen Tag im Bett verbringen will, nicht auf Personen zu treffen die mit Corona infiziert waren oder sind oder vor kurzen Kontakt mit Infizierten hatten. Es ist nun mal ein Fakt oder zumindest Konsens unter den Wissenschaftlern, das bei ca achtzig Prozent keine oder nur sehr leichte Symptome auftreten. Die Leute wissen also einfach nicht das sie infiziert sind oder waren.
    Für die Einzelperson bedeutet das das die Angaben der App ob man nun einem wie auch immer gearteten Risiko ausgesetzt ist/war vollkommen nutzlos sind und eher eventuell vorhandene Ängste verstärken.
    Für tatsächlich Infizierte welche wieder gesund sind kann das eine Stigmatisierung nach sich ziehen auch bei gegebener Pseudonymisierung. Einfach durch Ausschlussprinzip wenn sich wenige Personen an einem Ort aufgehalten haben.
    Rein technisch ergeben sich für den Nutzer (eine gutwillige Nutzung der App durch die Behörden vorausgesetzt, bei nicht gutwilliger Nutzung ergeben sich noch ganz andere Probleme) noch das Problem eines chronisch leeren Akkus und die massive Gefahr das Kriminelle die dann vom Nutzer aktiv für die Kommunikation mit Fremdgeräten freigegebene Bluetoothschnittstelle nutzen werden um möglichst viele Geräte zu infizieren.
    Das ist vor allem mit dem Hintergrund das die Banken seit Jahren massiv dafür werben das man seine Bankgeschäfte per Smartphone erledigen soll sehr bedenklich.
    Aus Sicht der Behörden, vorausgesetzt die kommunizierte Nutzung ist wirklich die welche angedacht ist, ergeben sich eher überschaubare Erkenntnisgewinne. Diese wiederum wären technisch bedingt (teilweise wurden die Gründe in anderen Beiträgen schon angeführt, es gibt noch mehr welche aber wirklich sehr sehr technisch sind) mit erheblichen Unsicherheiten behaftet und eigentlich kaum für fundierte Voraussagen zu verwenden.
    Noch eine Bemerkung ob und wie gefährlich Corona nun ist oder nicht ist und ob nun Grundrechte zumindest temporär weichen müssen um zu verhindern das wir alle sterben.
    Ich denke, das eine gewisse Vorsicht bei neuen Krankheiten immer angebracht ist. So bin ich deshalb auch mit gewissen Einschränkungen durchaus einverstanden solange diese Sinnvoll sind. Es sollte aber immer alles kritisch hinterfragt werden. Nicht weil man aus Prinzip gegen etwas sein sollte, einfach weil es von Personen kommt die sich nicht konform zum eigenen Weltbild verhalten, sondern weil es immer die Möglichkeit eines Irrtums oder sogar einer Täuschung (inklusive Selbsttäuschung/Betriebsblindheit) gibt. Auch sollte bei allem was getan wird immer eine Abwägung stattfinden was sich für Folgen aus einer Massnahme ergeben. Für meinen Bereich kann ich sagen, das die Massnahmen aktuell zur Folge haben, das sich die Ersatzteillage massiv verschlechtert hat, was sollte es zu verstärkten Ausfällen bei der Technik kommen erhebliche Auswirkungen auf die Bereitstellung von Kommunikationsdienstleistungen aller Art hätte. Was das für Folgen haben kann sollte jedem klar sein. Auch hier haben wir das Problem das zuwenig relevante Produkte im eigenen Einflussbereich hergestellt werden. Teilweise sind die Komponenten verfügbar aber es gibt Probleme in der Lieferkette. Eine strategische Lagerhaltung existiert nicht.
    Es ist einfach keine Resilienz vorhanden weil es, zumindest bisher, immer um Kostensenkungen ging. Grundsätzlich gab es auch vor Corona schon Probleme.
    Etwas runtergebrochen, es muss immer geschaut werden ob die Medizin eventuell schlimmer als die Krankheit ist.

    1. Mir ist nicht ganz klar für was ich meine Grundrechte aufgeben soll!? Wird die App dann deinstalliert, wenn es einen Impfstoff gibt? Wie ist der Meldeweg für Infizierte/Genesene. Die Zahlen hinken doch Tage hinterher. Am Wochenende und/oder Feiertagen wird gar nichts offiziell gemeldet. Genesungszahlen sind nicht mal Meldepflichtig!
      Und auch wenn es aus der Mode kommt, mein Gesungheitszustand geht nur mich, meinem Arzt und bei Meldepflichtigen Krankheiten dem Gesundheitsamt was an.
      Aus den Gründen die oben schon angeführt wurden, werde ich diese App nicht freiwillig installieren.

      Those who would give up essential Liberty, to purchase a little temporary Safety, deserve neither Liberty nor Safety.(Benamin Franklin)

      In diesem Sinne bleibt Gesund!

  10. Bitte : Es geht doch nicht nur um den Datenschutz.
    Es geht auch darum, wie das gehandhabt wird, wie praktikabel die „Anwendung“ sein wird und ob das Ziel erreicht werden kann, die Pandemie damit einzudämmen.
    Und zwar mit belastbaren Zahlen.
    Nichts von alledem habe ich gesehen .
    Nur, dass jeder macht, was er will …. vom CCC über Google/Apple bis zu den Behörden / Geheimdiensten.
    Das ist doch alles nicht mehr normal.

  11. Ich warne vor der Euphorie, dass die Technik uns vor irgendeinem Virus retten kann. Auch in diesem Artikel wird das zu wenig beleuchtet. @Netzpolitik kann es ja anders bzw. dieser Gastbeitrag zeigt es ja, dass Kritik wichtig bleibt: https://netzpolitik.org/2020/warum-freiwilliges-handy-tracking-nicht-funktioniert/
    Im übrigen funktioniert Handy-Tracing doch nur effektiv, wenn „Überwachungstechnologien“ kombiniert werden, sprich Kamera-Überwachung im öffentlichen Raum+ Tracing usw.
    In den Datenschutzentwicklungsländer wie Singapur, Hongkong war diese Kombinationen nämlich der Standard.

  12. Ich habe ehrlich gesagt den dezentralen Ansatz nicht verstanden. Nehmen wir an ich war in München und bin jetzt wieder in Berlin. In München hat jetzt eine meiner Kontaktpersonen einen positiven Test. Zentral würde er dem Server sagen, ich von positiv, und der Server es dann meinem Smartphone. Wie erreicht mich im dezentralen System diese Nachricht, wenn der Kontakt in München das dort nur den Smartphones in seiner Nähe mitteilt? Ich stehe da wirklich auf dem Schlauch.

    1. Der Punkt ist, was dezentral ist.

      Die Datenhaltung, die noch passiert, also Infizierte mit Kontakt-IDs, ist wohl-natürlich ziemlich zentral. Es wird also kein Mesh zur Datenhaltung mit Konsistenzprotokollen gefahren, sondern eine klare Client-Server Architektur.

      ABER, es wird nicht zentzral alles getrackt. Zentral werden bei dem Ansatz nur die Zuordnung einzelner Geräte (Personen?) zu ihren eigenen temorärem IDs, sowie die Infizierten IDs und die von denen übertragenen IDs von „Kontakten“ gespeichert. Die App fragt also „ich bin X, bin ich jemandem nahegekommen“, und der Server guckt nach und antwortet entsprechend.

      Der Ansatz ist also „mehr dezentral“. Als Hacker würde man halt alle auf Infiziert setzen und dann innerhalb kurzer Zeit alle Kontakte abfischen. Als Troll würde man Geräte infizieren, deren temporäre IDs von Kontakten auf anderen Geräten irgendwo bzw. überall zum Einsatz bringen. Bin mal gespannt, wie die Sicherheitsarchitektur da dann so aussieht, ob die Sicherheitslösungen gerne alles mit extra notiert, ob „Kryptographie“ sinngemäß zum Einsatz kommt, und ob die von der Bundesregierung persönlich abgesegnete Elftanbieterapp nicht zufällig alle Daten vom Handy für eigene Zwecke parallel mit absaugt, inklusive Position usw.

    2. Beim zentralen Ansatz informiert der zentrale Server per Push-Notification Deine App über den Kontakt zu einer positiv getesteten Person. Beim dezentralen Ansatz wird die ID der positiv getesteten Person veröffentlicht und Deine App muss in regelmäßigen Abständen prüfen, ob Du Kontakt mit dieser ID hattest. In beiden Fällen informiert Dich Deine App darüber, dass Du potentiell infiziert sein könntest, egal wo Du Dich befindest.

    3. Hier gibt es wohl Verwirrung und Überschneidung von Ansätzen.

      Eine andere Kolportation ist: Zentral heißt ‚gesamteuropäische Server‘, dezentral heißt ‚jedes Land hat eigene Server‘.

      Das ist zwar auch eine Entscheidung, die man treffen muss, hat aber mit Datenschutz weniger zu tun, als mit dessen Entfernung. Europaweite eindeutige IDs sind ohne zentrale Struktur machbar.

  13. Kommen wir doch einmal auf den eigentlichen Punkt zurück um was es bei diesen Apps unabhängig vom Konzept geht:

    Ein Patient mit COVID-19 wird wohl im Schnitt 2-3 Tage vor seinen eigenen Symptomen ansteckend für Kontakte. Aus diesem Grund müssen sich zur Eindämmung der Krankheit Patienten bereits vor Auftreten ihrer Symptome in Quarantäne begeben. Das Auftreten der Symptome tritt wohl im Schnitt nach 5,2 Tagen auf, was bedeutet, die Zeitspanne zur Nachverfolgung und Information von Kontakten schrumpft im Schnitt auf 2,2-3,2 Tage.
    (Infos aus dem deutschen Wikipedia-Artikel zu COVID-19)

    Durch Verzögerungen bei der Diagnostik (Patient geht nach Auftreten der Symptome zum Arzt, Arzt schickt Abstrich an das Labor, Labor bestätigt COVID-19 Infektion, Nachverfolgung der potentiell infizierten Kontakte) ist die Möglichkeit der Quarantäne vor Auftreten der Ansteckbarkeit der nächsten Infektionsgruppe vermutlich zeitlich nicht mehr schnell genug realisierbar.

    Nun stellt sich die Frage, wie wir uns als Gesellschaft die durch COVID-19 gestellte Aufgabe „Wie schaffen wir es schnell genug potentiell Infizierte in Quarantäne zu schicken, bevor diese selbst ansteckend werden?“ lösen können, um COVID-19 einzudämmen?

    Bei aller berechtigter Kritik an Smartphones, deren Kommunikationsschnittstellen, dem permanenten Versuch unser Verhalten zu verfolgen, usw. sollte man sich die Fragen stellen, welche alternativen Lösung einem selbst einfallen würden um die Eindämmung von COVID-19 zu erreichen?

    1. Naja, Irrelevantes durchaus weglassen (App), Resourcen bündeln (Tests, Masken, Impfstoffe, Forschung, Vorsorge), vernünftig verhalten (Abstand, vor allem zu Fremden, etc.).

      Die Idee ist ja, Lockerungen umzusetzen.
      – Bei der Wirtschaft kann der Arbeitgeber sagen, wer wem nahe gekommen ist. Da braucht es keine App.
      – Wollen Sie sich neben Ihnen unbekannte Infizierte stellen, weil die App Ihnen „erlaubt“, das zu tun? Das wäre doch irgendwo verrückt, während im Falle von Bekannten sich das doch recht gut klären lässt. Ein App Konzept, bei dem der Benutzer entscheidet, mit wem die Kreise geteilt werden, wurde gar nicht erst diskutiert.
      – Zufallsbeispiel: Mannschaftssport fällt gefälligst aus.

      Jener Datenunternehmer hat bereits angedeutet, dass ein zentraler Ansatz noch lustigere Daten für das RKI zur Auswertung liefert. Da „wollen“ „wir“ also lang.

      1. Ha! Jetzt nicht mehr. Jetzt wird es dezentral mit Lob vom CCC. Gut beobachten, wie es weitergeht (z.B. Konzept ja, aber Implementierung Mäh!)…

      2. „Die App“ (*) stellt systemseitig eindeutig eine Unmündigkeitsoffensive dar, bis dahin jedenfalls. Vom Pferde, im Nebel.

        (*) Oder was danach aussieht.

  14. Der Halbsatz „Der Chaos Computer Club, der das Team hinter Pepp-PT in Sicherheitsfragen berät…“ ist inhaltlich nicht korrekt.

    Der CCC berät Pepp-PT nicht und ist auch nicht direkt oder indirekt an dem Projekt beteiligt. Es gibt informelle Gesprächskontakte mit einzelnen Projektbeteiligten, jedoch keine Beratung oder gar Absegnung oder Gutheißung von Konzepten oder Implementierungen.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.