DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Blick auf das Government's Communications Headquarters (GCHQ) in Cheltenham, Gloucestershire. Die britische Regierung legt einen riesigen Covid-19-Datenspeicher an.
Blick auf das Government's Communications Headquarters (GCHQ) in Cheltenham, Gloucestershire. Die britische Regierung legt einen riesigen Covid-19-Datenspeicher an.
Bild: EPA

Grossbritannien setzt auf Big Brother – Geheimdienst «hilft» bei Corona-Warn-App

Die britische Regierung will ein zentralisiertes Contact-Tracing-System installieren und setzt sich angeblich mithilfe von GCHQ-Spezialisten gegen Apple durch. Mit an Bord: die umstrittene Datenkrake Palantir.
28.04.2020, 09:22

Das Wichtigste in Kürze:

  • Grossbritannien will bei seiner Corona-Warn-App ein zentralisiertes Contact-Tracing-System einführen, um an «Infektions-Daten» der Bürger zu gelangen.
  • Da Apple und Google eine zentralisierte Software-Architektur wegen Datenschutz- und Sicherheitsbedenken nicht unterstützen, haben die Briten die App-Entwickler damit beauftragt, einen «Workaround» zu erarbeiten.
  • Experten des nationalen Cyber-Sicherheitszentrums des GCHQ haben die Bemühungen unterstützt.
  • Der staatliche Gesundheitsbetrieb, NHS England, ist daran, mit Unterstützung von Palantir und weiterer Firmen einen riesigen Datenspeicher einzurichten.
  • Neben Grossbritannien verfolgt Frankreich den zentralen Ansatz, wobei am Dienstag und Mittwoch politische Diskussionen über einen Kurswechsel stattfinden.
  • Deutschland ist bereits auf den dezentralen Ansatz umgeschwenkt, wie ihn das DP-3T-Konsortium vorantreibt und bei der Schweizer Corona-Warn-App umsetzt.

Was ist passiert?

Die britische Regierung gibt in der Corona-Krise ein schlechtes Bild ab, allen voran der unvorsichtige, an Covid-19 erkrankte Premier, Boris Johnson. Das staatliche Gesundheitswesen, der National Health Service (NHS), hat wegen der Epidemie eine Big-Data-Offensive gestartet und kooperiert nicht nur mit den US-Konzernen Amazon und Microsoft, sondern auch mit dem umstrittenen US-Unternehmen Palantir, das über enge Beziehungen zum Geheimdienst CIA verfügt.

Zur Erinnerung:

  • Palantir erhielt in der jüngeren Vergangenheit Aufträge zur Bearbeitung riesiger Datensätze über britische Staatsbürger für die britische Spionageagentur GCHQ.
  • Das Unternehmen half auch bei der Entwicklung eines Hilfsmittels für das Spionage-Programm XKEYSCORE, das dank Whistleblower Edward Snowden publik wurde.
  • Eine Präsentation über das gemeinsame NSA-GCHQ-Überwachungsprogramm «Mastering the Internet» empfahl 2010 den Einsatz der Palantir-Software auf Android-Handys (Smartphones und Tablets).
  • Palantir wurde auch im Rahmen eines GCHQ-Projekts eingesetzt, das die Fähigkeit der Behörde zur Sammlung von Tweets, Blog-Beiträgen und Nachrichtenartikeln verbessern sollte.

The Canary kommentierte:

«Angesichts der Tatsache, dass Palantir in der staatlichen Überwachungsarbeit tätig war, ist die Tatsache, dass es jetzt auch an NHS-Daten arbeitet, besorgniserregend. Weitere Zusicherungen und Überprüfungen in Bezug auf den Datenschutz und den Coronavirus-Datenspeicher werden eindeutig erforderlich sein.»

Fehlt noch eine App, um an die Infektionsdaten der Bürger zu kommen ...

Nun setzen die Briten einen oben drauf: Experten des Geheimdienstes GCHQ waren bei der Entwicklung der staatlichen Corona-Warn-App behilflich, wie BBC berichtet.

Der Grund: Die britische Regierung will ein zentralisiertes Contact-Tracing-System durchsetzen, um an die «Kontakt»- bzw. «Infektionsdaten» der Bürger zu kommen. Weil Apple dies wegen Sicherheits- und Datenschutz-Bedenken nicht unterstützt, mussten die App-Entwickler gewisse Schutzmechanismen des iPhone-Betriebssystems (iOS) «überlisten».

Und genau hier kommen die Hacker vom National Cyber Security Centre des Geheimdienstes GCHQ ins Spiel. Sie haben offenbar programmiertechnische Workarounds zur Verfügung gestellt, damit die britische Corona-Warn-App trotz gewisser System-Einschränkungen funktioniert.

Skyline von London.
Skyline von London.
bild: unsplash

Die Contact-Tracing-App laufe auf dem iPhone «ausreichend gut», ohne dass die Benutzer sie aktiv und auf dem Bildschirm lassen müssten, behaupten NHS-Vertreter. Was diese Aussage wert ist, wird sich erst in der Praxis zeigen, denn noch ist die britische Corona-Warn-App nicht verfügbar. Sie soll in den nächsten Wochen lanciert werden, wie es heisst.

Eine Sprecherin von NHSX, der «digitalen Innovationseinheit» des staatlichen Gesundheitsbetriebes, sagte:

«Die Ingenieure haben mehrere zentrale Herausforderungen für die App gemeistert, um [...] das Erkennen von Kontakt-Ereignissen ausreichend gut zu gewährleisten, auch wenn die App im Hintergrund läuft, ohne die Batterielebensdauer übermässig zu beeinträchtigen.»

Dies bezieht sich auf den Bluetooth-Sicherheitsmechanismus bei iPhones, der vor Tracking schützen soll, und der schon die Entwickler von zentralen Corona-Warn-Apps in Frankreich und Deutschland vor grosse Probleme gestellt hat.

Das Erschwernis dürfte einer der Gründe dafür sein, dass Deutschland auf den dezentralen Ansatz umgeschwenkt ist. Und wegen der massiven Datenschutz-Bedenken, die von Vertretern der Zivilgesellschaft geäussert wurden.

watson berichtete:

«Apples mobiles Betriebssystem iOS hat eine Einschränkung, die verhindert, dass Apps Bluetooth im Hintergrund verwenden, wenn die gesammelten Daten vom Gerät abgegriffen werden sollen. Dies verhindert Tracking und dient dem Schutz der Privatsphäre der Benutzer. Allerdings können gewisse Contact-Tracing-Apps (unter anderem auch die TraceTogether-App in Singapur) wegen dieser Einschränkung nur dann auf Bluetooth zugreifen, wenn der Bildschirm entsperrt und die entsprechende App geöffnet ist.»

Apple und Google wollen noch diese Woche Software-Updates veröffentlichen, die es App-Entwicklern ermöglichen, testweise auf eine neue Programmierschnittstelle zuzugreifen. Dank dieser API sollen die staatlichen Contact-Tracing-Apps sicherer funktionieren und weniger Akku verbrauchen.

Hingegen können Corona-Warn-Apps, die sensitive Daten an einen zentralen Server übermitteln, diese API nicht verwenden. Die Nutzer müssen also mit höherem Stromverbrauch und einer schlechteren Performance rechnen.

Fragt sich, welche Auswirkungen das Umgehen des Bluetooth-Sicherheitsmechanismus bei Apples mobilem Betriebssystem iOS auf die Betriebssicherheit der iPhones hat.

Das US-Unternehmen stellt sich laut BBC-Bericht nicht gegen die Bemühungen des NHSX – und habe das britische Team unterstützt – Apple sei aber dennoch der Ansicht, dass seine eigene Lösung wesentlich energieeffizienter sei.

Sollte dies tatsächlich zutreffen und Apple hat die Briten «unterstützt», wirft dies unbequeme Fragen auf. Wie genau sah diese technische Unterstützung aus? Kommt diese Unterstützung auch den Franzosen zu, die ebenfalls ein zentralisiertes System umsetzen wollen? Warum sollte Apple den favorisierten dezentralen Ansatz dermassen schwächen?

Wie funktioniert der britische «Workaround»?

Das ist laut BBC nicht im Detail bekannt.

  • Die britische Lösung bestehe darin, die App im Hintergrund jedes Mal aufzuwecken, wenn das Handy ein anderes Gerät erkenne, auf dem die gleiche Software läuft.
  • Das Handy führe dann «irgendeinen Code» aus, bevor es in den Ruhezustand zurückkehre.
  • Dies alles geschehe mit hoher Geschwindigkeit, aber es gebe immer noch einen Energieeffekt.
  • Im Gegensatz dazu ermögliche Apples eigene Lösung den Abgleich, ohne dass die App aufwachen muss.

Am Sonntag hat Australien eine Contact-Tracing-App veröffentlicht, die auf dem zentralen Ansatz basiert. Auch dort gaben Regierungsvertreter an, einen Weg gefunden zu haben, um Apples Einschränkungen zu umgehen. Doch inzwischen musste man Probleme mit dem Stromverbrauch einräumen und es treten «Störungen» mit anderen Apps auf.

Im Gegensatz dazu ermöglicht Apples eigene Lösung den Bluetooth-Datenaustausch über einen «Handshake», ohne dass die App überhaupt aufwachen muss.

Und da der Austausch der verschlüsselten Codes noch weniger Zeit zur Ausführung benötige, dürfte der Akku viel weniger belastet werden, schreibt die BBC.

Warum halten die Briten am zentralen Ansatz fest?

Der NHSX vertritt die Ansicht, dass ein zentralisiertes System dank der auswertbaren «Kontaktdaten» mehr Einblick in die Verbreitung von Covid-19 ermögliche und damit allenfalls nötige Anpassungen der App erleichtert werden.

Das Contact-Tracing-System sei einfacher zu überprüfen und man könne es schneller anpassen, wenn dies wegen neuer wissenschaftlicher Erkenntnisse angebracht sei, sagte Professor Christophe Fraser, einer der Epidemiologen, die den NHSX beraten, gegenüber der BBC.

Weiter sagte der medizinische Experte:

«Das Hauptziel ist es, die Menschen zu benachrichtigen, die am meisten gefährdet sind, sich zu infizieren, und nicht die Menschen, die ein viel geringeres Risiko haben. Mit einem zentralisierten System ist das wahrscheinlich einfacher zu bewerkstelligen.»

Abgesehen von diesen ins Feld geführten Argumenten, denen Wissenschaftler vom DP-3T-Team widersprechen, gilt es, an fragwürdige Geschäftsbeziehungen zu erinnern, die Grossbritannien bei der Covid-19-Bekämpfung einging.

NHS England ist daran, mit Unterstützung von Palantir und weiterer Firmen einen riesigen Datenspeicher einzurichten. Ziel ist es, zwecks Covid-19-Bekämpfung Informationen aus verschiedensten Quellen zwecks weiterer Auswertung auf einem «sicheren» Server zusammenzuführen. Dazu gehören Daten aus dem gesamten Gesundheitssystem und der Sozialfürsorge sowie von Partnerorganisationen, wie etwa Daten der Notrufzentralen und Covid-19-Testergebnisse.

Weiter enthüllte der «Guardian»:

«Zu den anonymisierten, vertraulichen Informationen im Covid-19-Datenspeicher können Geschlecht, Postleitzahl, Symptome, der Mechanismus, über den ein Rezept an den Patienten versandt wurde, und der genaue Zeitpunkt der Beendigung des Anrufs gehören.»

Am Freitag enthüllte der «Guardian» Hintergründe zum geheimen Experten-Gremium «Sage», das die britische Regierung in wissenschaftlichen Belangen berät. Ein Teilnehmer sei Ben Warner, ein Datenspezialist von Vote Leave, der von Boris Johnson geleiteten Pro-Brexit-Gruppe.

Und hier schliesst sich der Kreis: Laut «Wired» war Warner der kommerzielle Leiter von Faculty, einem auf künstliche Intelligenz spezialisierten Unternehmen, das jetzt mit NHSX, der auf digitale Innovation spezialisierten Abteilung des NHS, zusammenarbeitet. Dem «Guardian» ist bekannt, dass Faculty von Warners Bruder Marc geleitet wird und dass das Unternehmen ein Partner von Palantir ist. Laut «Business Insider» wird die Plattform, die Palantir und seine Partner (Google und Microsoft) zur Erfassung der NHS-Daten nutzen werden, Palantirs Big-Data-Software Foundry sein.

Wie entscheidet sich Frankreich?

Big Brother in Great Britain: Mit dem zentralisierten Contact-Tracing-Ansatz befindet sich Grossbritannien im Konflikt mit mehreren europäischen Staaten, die sich für ein dezentralisiertes System entschieden haben: Dazu gehören die Schweiz, Österreich, die Niederlande, Tschechien und Estland.

Deutschland war längere Zeit im Einklang mit dem NHSX, aber die Regierung gab am Sonntag bekannt, dass man zu einem «stark dezentralisierten Ansatz» wechselt.

Damit bleibe Frankreich als einer der lautstärkeren Befürworter eines zentralisierten Modells übrig, konstatiert die BBC. Mit der Entwicklung der nationalen Corona-Warn-App ist das staatliche Forschungsinstitut Inria beauftragt, das Mitglied ist im europäischen Software-Konsortium PEPP-PT.

Allerdings wurde am Montag publik, dass Hunderte französische Kryptographie- und IT-Sicherheitsexperten einen offenen Brief unterzeichnet haben. Darin wird die französische Regierung aufgefordert, ihre Software-Pläne zu überdenken.

Pikant: Dutzende Petitions-Unterzeichner arbeiten für Inria, das mit der Entwicklung des französischen Tracing-Protokolls befasst ist. Es trägt den Namen Robert («ROBust and privacy-presERving proximity Tracing protocol»).

Der offene Brief erwähnt eine gründliche Analyse der zentralisierten und dezentralisierten Implementierungen von Contact-Tracing-Protokollen, wie Techcrunch schreibt. Sie umfasse mehrere Angriffsszenarien und stelle sowohl das DP-3T-Protokoll als auch das ROBERT-Protokoll infrage.

Der ETH-Professor Kenneth Paterson bezeichnete das ROBERT-Protokoll laut republik.ch als einen Albtraum hinsichtlich Privatsphäre und Sicherheit. Zitat: «Es ist ein hoch zentralisiertes System, bei dem man sich allein auf den Server verlassen muss.» Und weiter: «Vor Machtmissbrauch ist man nicht gewappnet. Der Server kann sehr einfach jedes Pseudonym mit den realen Identitäten verknüpfen.»

Und die EU?

Schliesslich ist anzumerken, dass die EU-Kommission in Sachen digitalen Contact Tracings per Smartphone-App beide Modelle als akzeptabel bezeichnet hat. Hingegen hat sich das EU-Parlament in einem Beschluss vom 17. April klar für eine dezentrale Speicherung und transparente Festlegungen für Corona-Warn-Apps ausge­spro­chen.

Ob «dezentral oder zentral», wird weiter intensiv diskutiert. Und für die Bürgerinnen und Bürger stellt sich die Frage, ob sie ihre nationale Warn-App länderübergreifend nutzen können, oder diese vielleicht gar nicht installieren.

screenshot: twitter

Die Briten hatten laut «Guardian» noch vor Frankreich Verhandlungen mit Apple und Google aufgenommen und verlangt, die Bluetooth-Restriktionen zu lockern. Dies lehnten die beiden Techkonzerne entschieden ab. Inzwischen hat Apple die Datenschutz-Mechanismen sogar weiter erhöht.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Smartphone-Tracking in Pandemie-Zeiten

1 / 11
Smartphone-Tracking in Pandemie-Zeiten
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Corona-Auswirkungen auf Europas Flugverkehr

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Nach Facebook-Hetze gegen Merkel: 40-jähriger Corona-Schwurbler verurteilt

Der gelernte Gärtner war Mitglied einer geschlossenen, etwa 5000 Mitglieder umfassenden Facebook-Gruppe, in der auch zu Gewalt gegen «Asylanten und Migranten» aufgerufen wurde.

Ein Berliner Facebook-Nutzer ist nach Hetze gegen die deutsche Kanzlerin Angela Merkel zu acht Monaten Haft auf Bewährung verurteilt worden.

Der 40-Jährige habe sich der öffentlichen Aufforderung zu Straftaten, der Störung des öffentlichen Friedens durch Androhung von Straftaten sowie der Volksverhetzung schuldig gemacht, begründete das Amtsgericht Berlin-Tiergarten am Donnerstag. Der Angeklagte hatte zuvor gestanden und erklärt, er habe sich «übelst über die Corona-Massnahmen …

Artikel lesen
Link zum Artikel