NPP 225 zu Apps in der PandemiestrategieWer rettet uns vor der App?

Während Deutschland über den Einsatz der Luca-App diskutiert, haben Forscherinnen und Forscher längst ein Verfahren entwickelt, mit dem man in Bars oder Läden einchecken kann – ganz ohne Deanonymisierung beim Gesundheitsamt. Die Funktion wird gerade in die offizielle Corona-Warn-App eingebaut. Doch die Regeln der Länder verhindern bislang diese Lösung.

Person sitzt in einem leeren Restaurant und schaut auf Handy
Kann Luca in der Kontaktverfolgung ausgleichen, was Gesundheitsämter heute schon nicht schaffen? Gemeinfrei-ähnlich freigegeben durch unsplash.com Ant Rozetsky


Wer auf GitHub vorbeigeschaut hat, konnte in den vergangenen Tagen fast in Echtzeit verfolgen, wie die Corona-Warn-App ein neues Feature bekommt: Mit der kommenden Version 2.0, die in den nächsten Tagen veröffentlicht wird, kann man sich dann auch an Orten „einchecken“. Bei Eintritt mit dem Telefon einen QR-Code scannen und später anonym gewarnt werden, wenn zur gleichen Zeit eine infektiöse Person anwesend war. So einfach, dass man sich fragt: Warum ist das eigentlich erst jetzt möglich?

Diese Frage stellen sich derzeit so einige, die diese Funktion schon lange gefordert hatten. Schließlich hatten Forscherinnen und Forscher der Technischen Hochschule Lausanne bereits vergangenen Herbst ein Konzept vorgestellt, wie sich genau so eine Funktion umsetzen ließe, ohne die Anonymität der App-Nutzerinnen zu gefährden. Sogar der Code dafür steht schon öffentlich zur Verfügung, Entwickler:innen von SAP hätte das vermutlich ein paar Tage gekostet.

Digitale Gästeliste statt anonyme Warnung

Wieder andere fragen sich, warum sich Länder wie Berlin oder Mecklenburg-Vorpommern zwischenzeitlich noch eine weitere App für die Kontaktverfolgung zugelegt haben, statt die bereits 26 Millionen Mal heruntergeladene Corona-Warn-App zu nutzen? Noch dazu eine, die von einem Start-Up mit unklarem Geschäftsmodell entwickelt wurde, deren Quellcode bislang nicht mal offen zugänglich ist und vor der Fachleute jetzt schon warnen. Auch mit der Luca-App sollen Gäste demnächst (also in einer imaginären Zukunft, in der die dritte Welle nicht rollt) in Restaurants und Konzerte einchecken. Die Daten bleiben jedoch nicht auf dem Handy der Nutzenden, sondern werden zentral verschlüsselt gespeichert und gehen im Infektionsfall ans Gesundheitsamt.

Die Entwickler und ihre zahlreichen Fans – darunter Politiker:innen wie Armin Laschet – argumentieren, Corona-Warn-App und Luca-App erfüllten unterschiedliche Zwecke: Die eine warnt anonym über Infektionsrisiken. Die andere soll die verhassten Papierlisten ersetzen, mit der Betreiber von Gastronomie und Veranstaltungen bisher ihre Gäste namentlich registrieren. Tatsächlich schreiben die Coronaschutzverordnungen der Länder derzeit explizit letzteres vor – und verursachen damit eine Reihe von Datenschutzverletzungen.

England und Schweiz zeigen, wie es anders geht

Nur: Braucht es wirklich eine weitere App, um die Pandemie einzudämmen? Viele sehen im Hype um Luca vor allem eine Blendgranate der Politiker:innen, die derzeit lieber von „Öffnungsstrategie“ sprechen statt von „dritter Welle“.

Und müssen, wie derzeit in den Länderverordnungen vorgeschrieben, wirklich die überlasteten Gesundheitsämter jedem Fall persönlich hinterhersteigen? Schließlich zeigt England, dass sich Schutzmaßnahmen auch anders aufsetzen lassen. Dort müssen die Besitzer von Läden und Restaurants nicht mehr die persönlichen Daten der Besucher:innen horten, sondern wurden verpflichtet, einen QR-Code auszuhängen. Wer eintritt, scannt mit dem Smartphone den Code. Stellt sich später heraus, dass eine positiv auf Covid-19 getestete Person zur gleichen Zeit dort war, wird man gewarnt. Das alles passiert anonym in der offiziellen App NHS Covid-19 und ohne Zutun des Gesundheitsamtes.

In der Schweiz haben die Forscher:innen der Technischen Hochschule Lausanne nicht nur ein Protokoll, sondern auch gleich eine quelloffene App namens NotifyMe entwickelt. Sie wird bereits seit Januar an der Universität getestet.

Es kommt also einiges zusammen in dieser Debatte, weswegen wir diesmal auch besonders viele Personen zu Wort kommen lassen. Wir haben für diese Folge mit dem Informatiker Henning Tillmann gesprochen, der die Entwicklung der Corona-Warn-App von Beginn an kritisch begleitete und sich nun fragt: Warum wurde das Projekt vom Gesundheitsministerium nach dem Start so vernachlässigt? Wir sprechen mit den Machern von Luca und mit Ute Teichert, Vorsitzende der Amtsärzt:innen, die sich durch Luca eine Entlastung erhofft. Warum man der Luca-App bislang nicht vertrauen kann, erklärt die Sicherheitsforscherin Lilith Wittmann, und auch die Bundestagsabgeordneten Anke Domscheit-Berg (Linke) findet Luca nicht vertrauenswürdig. Sie glaubt, dass das Problem im Kern nur politisch gelöst werden kann: mit einer Änderung der Schutzverordnungen.

Zum Schluss erklärt uns Carmela Troncoso, Professorin an der Technischen Hochschule Lausanne und eine der Entwicklerinnen von CrowdNotifier, welche Vorteile ein dezentrale Warnsystem bietet und warum Luca für politische Versammlungen, Religionsgemeinschaften oder die eigene Geburtstagsparty vielleicht nicht die beste Lösung ist.

Hier klicken, um den Inhalt von Twitter anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von Twitter.

Hier ist die MP3 zum Download. Es gibt den Podcast wie immer auch im offenen ogg-Format.

Shownotes

Luca

Corona-Warn-App

CrowdNotifier

Checkin-Lösung in England


NPP ist der Podcast von netzpolitik.org. Abonniert unser Audio-Angebot, etwa bei iTunes, Spotify oder mit dem Podcatcher eures Vertrauens direkt von netzpolitik.org/podcast. Wie immer freuen wir uns über Kommentare, Wünsche und Verbesserungsvorschläge.

Quellen

  • https://www.tagesschau.de/inland/coronavirus-app-107.html
  • https://daserste.ndr.de/annewill/Die-grosse-Ratlosigkeit-gibt-es-einen-Weg-aus-dem-Dauer-Lockdown,annewill6902.html
  • https://www.youtube.com/watch?v=GDnaNMGbXnw
  • Musik von Blue Dot Sessions
  • Du möchtest mehr kritische Berichterstattung?

    Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

     

    Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

    11 Ergänzungen

    1. die fast voellige fehleinschaetzung der lage in der debatte um dezentral vs. zentral wiederholt sich hier als ob es keinerlei hoffnung auf interne lerneffekte gaebe, gerade auch in der „community“ der digitalen zivilgesellschaft. sie fusst darauf die PR traechtige nutzerzentriertheit ungesehen als paradigma zu uebernehmen, und dabei zu ubersehen dass aus vorgeschobenen bzw.. halb verstandenen datenschutzargumenten die designperspektive sich verengt und gegenueber dem „netzwerkeffekten“ der pandemieausbreitung in den bereich einer weitgehend unveranwortlichen ingnoranz uebergeht, und man stillschweigend hofft irgendwie unterm radar der technischen bildungsluecken und statistischen dunkelziffern durchzumogeln. die corona warn app produziert designbedingt weiterhin eine frappierende hohe zahl an falsch negativen, betreibt einen extrem hohen aufwand im backend, und vermeidet dabei jede genauere verfizierung der erfolgsquote (z.b. durch testgruppen, oder schlicht registrierung von positiven tests die durch risikowarnungen ausgeloest wurden). sie errichtet eine gesamte backend infrastruktur mit air gaps, teletans, qr codes schlicht weil eine straighte loesung nicht in betracht kam, bei der das hauptaugenmerk auf einem push verfahren liegen sollte, das auf der anonymen verifizierung bereits durch die meldepflicht gespeicherter infektionsmeldungen moeglich waere. (zero knowlede proof). dieser designfehler ist sozusagen ideologisch von beginn her eingebaut in der falschen dichotomie von zentral vs. dezentral welche die reorganisation des backends und der meldeketten missachtet. die gesamte debatte haette vom backend her diskutiert werden muessen, das ohnehin bereits dezentral organisiert ist (wie sich in der sormas infrastruktur laengst abbildet) kardinalfehler der debatte war das endorsment der close source umsetzung von DP-3T ohne quellfreie unabhaengige referenzimplementation des unterbaus weiterzuverfolgen, damit wird die gesamte open source strategie eher zu makulatur und PR massnahme und workarounds wie crowdnotifier erscheinen konsequent. weiterer schwerer denkfehler in der debatte die freiwilligkeit der meldung von positivergebnissen bei gleichzeitiger weiternutzung. widerspricht den einfachsten ethischen maximen. hauptsaechlich aber ein neoliberaler focus auf eigenverantwortung und endnutzer statt die infrastrukturelle gesamtperformance der kontaktverfolgung bei groesstmoeglichem datenschutz im auge zu behalten. das staatsferne designprinzip nutzt zwar den privaten IT unternehmen apple, google, sap und telekom beim internationalen roll out, das deutsche gesundheitsystem wird jedoch dabei vernachlaessigt. zusammengefasst was in der debatte voellig uebersehen und missachtet wurde findet sich in diesem beitrag:

      https://bkastl.de/notes/die-corona-schnittstellenlage-survnet-demis-sormas gut

      survnet scheint eine art bastion renitenter RKI IT arbeiter gegen eine einheitliche meldeinfrastruktur, paralell dazu wirkt die investition und ausbau der dedizierten meldeinfastruktur der corona warn app (test lab server usw.) mit ziemlicher sicherheit kontraproduktiv.

      1. Sorry, aber einem so langen Text kann man nur schwer folgen, wenn Großbuchstaben nur für Abkürzungen wie RKI verwendet werden und Absätze zur Gliederung und besseren Lesbarkeit des Textes konsequent eingespart werden.

        Es lässt aber durchblicken, dass auch hier anscheinend der (Aber-)Glaube an eine „perfekte“ technische/digitale Lösung vorherrscht, die man nur mit genug Datenerhebung und (Nutzungs-)Zwängen gegen alle Widerstände hätte durchprügeln müssen.

        1. Vor allem ist das kein Datenschutzproblem.

          Sondern Datenglaube vs. Infektionsschutz. Im Datenglauben, dass mehr Daten mehr genützt hätten, lässt man die CWA als Stiefmütterchen Beispiel für das reale Versagen der Politik sein, obwohl die CWA damit nicht so viel zu tun hat, bis auf dass der Versuch, mit allen Daten und Zentral zu starten, wertvolle Zeit gekostet hat. Ähnlich mit der Ignoranz gegenüber der Fachszene und den Universitäten.

          Für Infektionsschutz ist der Datenstriptease schlicht nicht nötig. Man will das Gesetz nicht anfassen, und hat wohl auch einfach leckere Sekundärziele anderswo. Primär sind natürlich Geld und Macht, nicht Infektionsschutz.

      2. Das hat nichts mit Datenschutz zu tun, auch Testgruppen wären umsetzbar, alles kein Problem. Wäre die CWA Makulatur, aufgrund der Entwickler, nicht aufgrund der zugrundeliegenden Physik, dann wäre eine zentrale Push / Augensandvariante noch viel schlimmer dran, vermutlich mit Datenleck uind Ölschleier mehrfach inbegriffen.

        Dumm wäre, Zwangsverifizierung und kompletten Datengriff zu machen – denn dass hat sogar ein Teil der Wissenschaft auf Seiten der Virologie verstanden: es ist für Infektionsschutz schlicht nicht nötig. Ziel muss nicht sein, überkommene Gesetze zu befriedigen, um Sekundärziele wie Überwachung und Zensur umzusetzen – man kann Gesetze auch ändern.

        Abgesehen von üblichen und unüblichen Verdächtigen aus der Politikk, wie man sieht, gibt es auch Technikaffine, und sogar Professionals, die in den Chor einstimmen – offensichtlich aber nicht aus Kenntnis der Algorithmik, Technik, Situation, Prozesse usw. Die CWA wurde gekleckert, und jetzt ist es sehr konvenient nach Klötzen anderswo zu rufen.

        1. DB-3T umgeht schon im ansatz die kommunikatio mit dem backend das neoliberal-staatsfern tendentiell als bad actor dargestellt wird, kein wunder dass das dann mit dem endorsement der digitalen zivilgesellschaft mit kusshand von google und apple entgegengenommen wird um es weiterer entwicklung zu entziehen.

          darum die work arrounds von crowdnotifier statt recursive contact tracing, cluster erkennung und orts und eventbasierte kontext sensitiviaet auf unterer protokollebene einzubauen, dort wo es eben hingehoert, statt PR wirksam durch eine eigene app verschlimmbesserung.

          mitverantwortlich sind diejenigen welche das backend design der CWA durchgewunken haben, die entscheidung ohne vertraglich bindende FOSS referenzimplementation. die CWA erlaubt keinerlei erfolgskontrolle erfolgreicher risikowarnungen, und hat sogar die freien PCR tests als incentivierung abgeschafft.

          die bluethooth technik koennte ca. 40% der stattfindenden kontakte hinreichend gefiltert bereit stellen, statistisch viel wirksamer ist die fehlerrate falsch negativer die durch das freiwillige opt in, und eine viel zahl an air gap verlusten, sowie eine eigens fuer die CWA errichtete lab test infrastruktur entsteht, die voellig an DEMIS und SORMAS vorbeidesigned wurden.

          selbstverstaendlich gibt es anonyme authentifzierungs und zertifizierungsmoeglichkeiten die erprobt und gut dokumentiert sind (zero knowledge proof usw. – ganz ohne blockchains) bei der schlicht ein bereits stattgefundende meldepflichtiger positivergebnis der app infrastrastruktur per push verfahren zur verfuegung gestellt wird, sodass keine fehlertraechtige verifizierung von diagnoseschluesseln notwendig wird. das verfahren positive infektionsmeldungen datenschutzkonform kryptographisch sicher zu machen ohne einen riesen haufen falsch negative zu produzieren, ist eben genau der teil des protokolls der von DP-3T vernachlaessigt wurde (weil potentieller bad actor, health authority usw.) und wurde durch crownotifier und luca bloss verschlimmbesssert, da das kind dank closed source ENF bereits in den brunnen gefallen war.

          dumm gelaufen. manche sagen der fisch stinkt vom kopf her.
          denke die deutsche digitale zivilgesellschaft so wie sie sich lernresistent in dieser debatte darstellt, ist ein ganzer fischmarkt mit abgelaufenem haltbarkeitsdatum.

    2. eine sehr gute Sendung mit toller Betrachtung der vielen Aspekte.

      Technisch wäre es gut, wenn die Gäste in Zukunft alle ein gutes Mikro oder Headset nutzen würden.
      Frau Carmela Troncoso war schlecht zu verstehen. Gerade beim Hören unterwegs mit Ohrstöpsel kam gefiel das höhenlastige Segment meinen Ohren nicht. Vermutlich hat sie einfach das Mikro ihres Laptops verwendet.

      Meine Schlussfolgerung:
      * diese ollen Verodnungen müssen angepasst werden
      * „Crowd Notifier“ wäre für mich ein Grund mal diese CWA zu nutzen. Von dem Bluetooth-Hokuspokus war ich nie überzeugt. Aber wenn wir das bei kleine Treffen draußen, z.B. Arbeitseinsätzen im Verein, nutzen könnten, wäre viel geholfen.

      Danke für diesen Beitrag!

    3. Moin,
      entschuldigt bitte die Pedanterie, Warnsystem ist jedoch immernoch ein Wort und wird demnach zusammengeschrieben. MfG Christian

    4. Hallo,
      ich fand es einen guten vielseitigen Beitrag.
      Eine Bitte hätte ich jedoch.
      Nicht jede/r (potentielle) Adressat/in, dem/der ich den Podcast gern empfehlen würde, kann Englisch oder beherrscht die englische Sprache ausreichend, um dem letzten Beitrag folgen zu können. Damit gehen wichtige Informationen verloren. Den zusammenfassende Satz in der Abmoderation finde ich zu wenig.
      Ansonsten: Danke für den Podcast und die Arbeit insgesamt.

    5. Vielen Dank für euer aller Arbeit und die immer wieder wertvollen Informationen.

      Mir hat diese Ausgabe in ihrer Machart gar nicht gefallen. Ich mag lieber Wald, Bach und Wiese als eine Parkanlage mit Buchsbaumhecken und Kanal, in der ich von einer Lautsprecheranlage mit Musik berieselt werde.

    Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.