DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Eine Contact-Tracing-App im Test bei der Bundeswehr. Die deutsche Regierung sattelt überraschend auf den dezentralen Ansatz um, der bezüglich Datenschutz als vorbildlich gilt.
Eine Contact-Tracing-App im Test bei der Bundeswehr. Die deutsche Regierung sattelt überraschend auf den dezentralen Ansatz um, der bezüglich Datenschutz als vorbildlich gilt.
Bild: EPA
Analyse

Deutschland lenkt ein bei Streit um Corona-Warn-App – setzt auf «Schweizer Lösung»

Die deutsche Regierung macht eine Kehrtwende, hin zu «Privacy by Design»: Statt eines zentralisierten Contact-Tracing-Systems wird auf den dezentralen Ansatz gesetzt, wie ihn Apple und Google vorgeben.
26.04.2020, 12:3027.04.2020, 08:13

Die deutsche Bundesregierung hat sich bei der Entwicklung der staatlichen Corona-Warn-App für einen radikalen Richtungswechsel entschieden: Wie die «Welt am Sonntag» publik machte, wird neu der dezentrale Ansatz favorisiert.

Das ist auch der Ansatz der Schweizer Corona-Warn-App, die bis am 11. Mai fertig gestellt sein soll und eine der ersten mit dezentraler Funktionsweise werden könnte. Apple hat das von Schweizer Experten entworfene Contact-Tracing-Protokoll (DP-3T) explizit als Vorbild erwähnt. Und der Googler Dave Burke, Vice President, Android Engineering, sagt:

«Wenn wir etwas bauen, müssen wir eine Architektur wählen, die funktioniert. Und sie muss global funktionieren, für alle Länder der Welt. (...) Als wir die Analyse durchführten und uns verschiedene Ansätze ansahen, haben wir uns sehr stark von der DP-3T-Gruppe und ihrem Ansatz inspirieren lassen – und das ist es, was wir als Lösung gewählt haben.»

Die entsprechende Software-Architektur DP-3T (Decentralized Privacy-Preserving Proximity Tracing) wird unter der Führung der Eidgenössisch-Technischen Hochschulen in Lausanne (EFPL) und Zürich (ETH) entwickelt, beteiligt sind aber auch die Schweizer App-Entwicklerfirma Ubique (SBB-App) und diverse Forschungsinstitutionen im Ausland, darunter das Helmholtz-Zentrum für Informationssicherheit Cispa.

Das sagt der zuständige deutsche Minister

Der deutsche Gesundheitsminister Jens Spahn begründete in einem längeren Twitter-Thread die Entscheidung.

«Unser Ziel ist es, dass angesichts der bereits erfolgten Öffnungen nach den umfangreichen Kontaktbeschränkungen sehr bald die Tracing-App einsatzbereit ist und in der Bevölkerung sowie der Zivilgesellschaft eine breite Akzeptanz findet.

Die Nutzung der App durch möglichst grosse Teile der Bevölkerung ist die Grundlage ihres Erfolges.

Um dieses Ziel zu erreichen, setzen wir auf eine dezentrale Softwarearchitektur, die die in Kürze zur Verfügung stehenden Programmierschnittstellen der wesentlichen Anbieter von mobilen Betriebssystemen nutzt und gleichzeitig die epidemiologische Qualitätssicherung bestmöglich integriert.»
quelle: twitter

In die deutsche Corona-Warn-App soll laut Gesundheitsminister «auch die Möglichkeit integriert werden, dass Bürgerinnen und Bürger freiwillig in pseudonymisierter Form Daten zur epidemiologischen Forschung und Qualitätssicherung an das Robert-Koch-Institut übermitteln können».

Welche Rolle spielen Apple und Google?

Die US-Techkonzerne, die den Zugang zu den weltweit dominierenden Smartphone-Plattformen (iOS und Android) kontrollieren, kooperieren, um dem dezentralen Contact-Tracing-Ansatz zum Durchbruch zu verhelfen.

Die dezentrale Software-Architektur, bei der die sensitiven Daten auf den Smartphones der App-User verbleiben, wird von Apple und Google unterstützt, indem sie Programmierschnittstellen dafür anbieten. Eine Testversion soll bereits in der kommenden Woche veröffentlicht werden, und Entwicklern von Contact-Tracing-Apps zur Verfügung stehen. Allerdings nur für staatlich autorisierte Projekte. Laut diesem Medienbericht ist es am 28. April so weit.

«Tim Cook sagte mir, dass eine erste Version der Technologie, die Apple in Zusammenarbeit mit Google vorbereitet, Entwicklern am 28. April zur Verfügung stehen wird.»
EU-Binnenkommissar Thierry Breton

In einem öffentlichen Webcast zu europäischen Contact-Tracing-Apps hatten am vergangenen Freitag Vertreter von Google und Apple teilgenommen und sich unnachlässig gezeigt. Der hochrangige Apple-Manager Gary Davis betonte, dass sein Unternehmen nicht gewillt sei, die eigenen Datenschutzprinzipien aufzuweichen. Dies war zuvor unter anderem von Frankreich und Deutschland (erfolglos) gefordert worden.

Apples Datenschutz-Vorgaben: Nur staatliche Corona-Warn-Apps, die sich daran halten, werden im App Store zugelassen

Laut Apple sind diese Bedingungen für staatliche Contact-Tracing-Apps nicht verhandelbar: Alles muss freiwillig sein, es dürfen keine Standortdaten (Location Data) gesammelt werden, Covid-19-Erkrankte werden gegenüber anderen App-Usern nicht identifiziert, und auch nicht gegenüber Apple oder Google. Die beiden Plattform-Betreiber behalten sich vor, ein Contact-Tracing-System für eine bestimmte Region zu deaktivieren, wenn es «nicht mehr gebraucht» wird.
Laut Apple sind diese Bedingungen für staatliche Contact-Tracing-Apps nicht verhandelbar: Alles muss freiwillig sein, es dürfen keine Standortdaten (Location Data) gesammelt werden, Covid-19-Erkrankte werden gegenüber anderen App-Usern nicht identifiziert, und auch nicht gegenüber Apple oder Google. Die beiden Plattform-Betreiber behalten sich vor, ein Contact-Tracing-System für eine bestimmte Region zu deaktivieren, wenn es «nicht mehr gebraucht» wird.
screenshot: re.livecasts.eu
«Those privacy principles are not going to change.»
Gary Davis, Global Director of Privacy & Law Enforcement Requests, Apple

Die Reaktionen auf die deutsche Kehrtwende

Beim unabhängigen Forschungs- und Software-Konsortium DP-3T zeigte man sich in einer ersten Stellungnahme «sehr glücklich» über den Entscheid der Deutschen.

Der Schweizer Epidemiologe Marcel Salathé twitterte:

screenshot: twitter

Linus Neumann vom Chaos Computer Club (CCC) Deutschland begrüsste laut einem aktuellen ARD-Bericht den Richtungswechsel: Er halte das für eine sehr gute Entscheidung. Das Signal, das die Bundesregierung an mögliche Nutzer und Nutzerinnen der App aussende, sei nun: «Du kannst uns vertrauen, weil du uns nicht vertrauen musst.»

Es sei der richtige Weg, dass die deutschen App-Nutzerinnen und Nutzer selbst entscheiden können, ob sie dem Staat zusätzliche Informationen zur Verfügung stellen wollen, etwa um dem Robert Koch-Institut zu helfen, die Pandemie besser zu verstehen oder um die App zu verbessern.

Die Digitalaktivistin Ann Cathrin Riedel erachtet es hingegen als schwierig, dass die freiwillige Bereitstellung von weiteren Daten über die Tracing-App laufen soll. «Wichtig sei in jedem Fall, dass der Programmcode Open Source, also öffentlich einsehbar, gemacht werde – und damit für Experten und Zivilgesellschaft transparent und nachvollziehbar.»

Wie reagiert PEPP-PT?

Der Entscheid der deutschen Regierung bedeutet eine klare Absage an das zentralisierte Contact-Tracing-System, das bislang in Deutschland und Frankreich als Favorit galt und in den vergangenen Wochen von Forscher des Robert-Koch-Instituts (RKI) und weiterer deutscher und französischer Forschungseinrichtungen gemeinsam entwickelt wurde.

Einem Mitglied von PEPP-PT, dem deutschen Forschungsinstitut des Fraunhofer Heinrich-Hertz-Institut HHI, sei am Samstag mitgeteilt worden, dass es aus dem Projekt herausgenommen werde. Der Nachrichtenagentur Reuters liegt gemäss einem Bericht vom Sonntag die entsprechende Korrespondenz vor.

Die ARD zitiert aus einem internen Schreiben, das an die HHI-Mitarbeiter ging. In der E-Mail heisse es, bei PEPP-PT seien «eine Reihe von gravierenden Fehlern hinsichtlich der Kommunikation begangen» worden, «was am Ende sehr geschadet und zu dieser Entscheidung geführt» habe.

Der dezentrale Ansatz war am Montag von über 300 Wissenschaftlerinnen und Wissenschaftler in einem offenen Brief unterstützt worden, mehr als 200 weitere Akademiker schlossen sich später an. Die Experten von vier Kontinenten sprachen sich gegen die zentrale Architektur aus, weil diese Tür und Tor öffne für Missbrauch und Überwachung.

In den vergangenen Tagen hatten sich in Deutschland die Proteste gehäuft, unter anderem forderte der Chaos Computer Club die Bundesregierung auf, von ihren ursprünglichen Plänen für eine zentralisierte App Abstand zu nehmen.

«Eine Corona-Tracing-App sollte, wenn überhaupt, nur auf Basis eines dezentralen Ansatzes – wie beispielsweise das Konzept DP-3T – aufgebaut und programmiert werden. Andernfalls steht zu befürchten, dass der geringe Datenschutz eines zentralen Ansatzes und das Fehlen technischer Beschränkungen gegen Zweckentfremdung dazu führen wird, das Vertrauen in die Verwendung einer solchen App auszuhöhlen und damit die Akzeptanz für spätere digitale Lösungen leichtfertig zu unterminieren.»
Offener Brief des CCC Deutschland
quelle: ccc.de

Was bedeutet das?

Der Entscheid der deutschen Regierung kommt einer mittleren Sensation gleich, angesichts des massiven Lobbyings in den vergangenen Wochen, und er könnte den Durchbruch bringen für das länderübergreifende Funktionieren der staatlichen europäischen Corona-Warn-Apps.

Österreich hat sich bereits für den Umstieg auf eine dezentrale Software-Architektur ausgesprochen, dies gilt für die vom Roten Kreuz lancierte «Stopp Corona»-App.

Auch in Italien ist es in der vergangenen Woche zu einem Richtungswechsel gekommen: Laut übereinstimmenden, noch unbestätigten Berichten setzt das Gesundheitsministerium auf das DP-3T-Protokoll, bzw. eine dezentrale Lösung.

Die italienische Online-Ausgabe des «Wired»-Magazins bezog sich auf den italienischen Professor und IT-Experten Stefano Zanero sowie zwei weitere Quellen. Dies wurde durch den italienischen IT-Experten Matteo G.P. Flora bestätigt.

In den vergangenen Tagen hatte es via Social Media heftige Proteste der italienischen Zivilgesellschaft gegeben gegen eine zentrale Server-Lösung, wie sie gewisse Mitglieder der privaten europäischen Vereinigung PEPP-PT anstrebten.

Die Niederlande konzentriert sich ebenfalls auf den dezentralen Ansatz. Dies nachdem die Regierung ihr ursprüngliches Vorhaben, eine Contact-Tracing-App zu lancieren, wegen Datenschutzbedenken stoppen musste.

Die niederländische Regierung hat sich laut dieser Schilderung nach «einem schmerzhaften Prozess» für eine App entschieden, die die Daten dezentral (auf dem Gerät) verarbeitet und quelloffen, also frei einsehbar ist.
Die niederländische Regierung hat sich laut dieser Schilderung nach «einem schmerzhaften Prozess» für eine App entschieden, die die Daten dezentral (auf dem Gerät) verarbeitet und quelloffen, also frei einsehbar ist.
screenshot: twitter

Auch Estland hat sich offiziell für eine nationale Corona-Warn-App mit dezentraler Funktionsweise entschieden.

Noch fraglich ist, wie die französische Regierung reagiert. In Frankreich ist das staatliche Forschungsinstitut Inria an der Entwicklung des Tracing-Protokolls «ROBERT», das auf einer zentralisierten Software-Architektur aufbaut. Das französische Parlament soll am 28./29. April entscheiden.

Gut möglich, dass es auch hier zu einem Richtungswechsel kommt, da ein Alleingang der Franzosen wenig Sinn machen würde. Erklärtes Ziel ist ja das länderübergreifende Funktionieren der nationalen Corona-Warn-Apps.

Chris Boos, Projektverantwortlicher bei PEPP-PT, hatte mehrmals versprochen, dass die europäische Software-Initiative dezentrale und zentrale Ansätze vereinen wolle. Und er sagte, es werde bei PEPP-PT an einer Lösung für die länderübergreifende Funktionsweise gearbeitet. Eine Antwort auf eine aktuelle Medienanfrage von watson steht noch aus.

Bei Grossbritannien könnte eine Kehrtwende wie bei Deutschland erfolgen, vom zentralisierten Contact-Tracing-System zu einer dezentralen Anwendung.

Die jüngsten offiziellen Äusserungen in einem Blog-Beitrag von NHSX deuten darauf hin, dass die britische Corona-Warn-App dem dezentralen Ansatz folgen könnte, jedenfalls ist von einer Zusammenarbeit mit Apple und Google die Rede.

Davor hatte die britische Regierung laut «Guardian» Verhandlungen mit Apple und Google geführt und verlangt, die Bluetooth-Restriktionen zu lockern. Ohne Erfolg.

Der «Glaubenskrieg», der längst entschieden ist

* Wissenschaftler «glauben» nicht, sondern schaffen Wissen, darum entschuldige ich mich für die saloppe Formulierung.

Mittlerweile haben über 550 renommierte Wissenschaftlerinnen und Wissenschaftler aus Europa, Nordamerika, Asien und Australien einen öffentlichen Protestbrief unterzeichnet, in dem sie den dezentralen Ansatz unterstützen.

Sie warnen eindringlich vor den Risiken einer zentralen Contact-Tracing-Lösung: Wenn pseudonymisierte User-Daten auf einem staatlich kontrollierten Server generiert und gespeichert werden sollen, ermögliche dies eine Überwachung von nie dagewesenem Ausmass.

Unter den IT-Experten, die den Protestbrief unterschrieben haben, befinden sich auch mehr als fünfzig Professoren und Professorinnen deutscher Hochschulen.

Zu den 304 Erstunterzeichnenden sind mehr als 260 weitere Unterzeichnende hinzugekommen, darunter sehr viele Mitglieder von europäischen Forschungseinrichtungen.

Dezentrale oder zentrale Lösung, wo ist der Unterschied?

Der wissenschaftliche Streit dreht sich um die Frage, wie die über die Bluetooth-Verbindungen der Smartphones erfassten Kontakte möglichst sicher und datensparsam (Privacy by Design) verarbeitet werden können.

Beim dezentralen Ansatz generieren die Smartphones über die Corona-Warn-App ihre eigenen anonymen Identifikationsnummern (Codes). Sie tauschen einen neuen Code aus, wenn sie in Kontakt kommen (über Bluetooth). Jedes Handy enthält die Liste dieser anonymen Codes.

screenshot: pact.mit.edu

Beim zentralen Ansatz werden die Codes stattdessen auf einem (staatlich kontrollierten) Server und nicht von den Geräten generiert. Dies ist ein wichtiger Unterschied, da es bei dieser Vorgehensweise einen Ort gibt, an dem sowohl die Kontaktdaten als auch die Schlüssel vorhanden sind, mit denen sie potenziell identifizierbar sind. Dies stellt laut unabhängigen Experten ein beträchtliches Risiko dar.

Ein Google-Sprecher erklärte gegenüber Journalisten, dass die Bluetooth-Beschränkungen in Kraft seien, weil keines der beiden Unternehmen in seinen Betriebssystemen Funktionen zur Verfügung stellen wolle, «um Überwachungsbemühungen zu ermöglichen, die missbraucht werden könnten».

Das in Cupertino ansässige Apple hat erklärt, es wolle die Technologie möglichst vielen Menschen oder zumindest jedem aktiven Apple-Gerät mit kompatiblem Bluetooth zur Verfügung stellen. Betriebssystem-Updates werden daher zumindest für iOS 13 und iOS 12 veröffentlicht.

Was man über Corona-Warn-Apps wissen muss
Contact Tracing meint die persönliche Rückverfolgung von Infektionsketten. Ziel ist es, die (unbemerkte) Verbreitung von gefährlichen Infektionskrankheiten einzudämmen oder im besten Fall zu stoppen. Konkret sollen alle Leute gewarnt werden, die über eine gewisse Zeit in relativ engem körperlichen Kontakt standen mit einer infizierten Person und sich angesteckt haben könnten, ohne es zu wissen.

Zu Beginn der Corona-Krise in der Schweiz wurde Contact Tracing übers Telefon gemacht, das heisst, Infizierte (in Quarantäne) wurden zu ihrem Umfeld befragt, das sie vielleicht angesteckt hatten. Wegen der exponentiellen Zunahme der Covid-19-Infektionen war dieses System allerdings bald einmal überlastet, es wird aber in der Phase nach der Lockerung der staatlichen Zwangsmassnahmen («Lockdown»), wenn es wenige Covid-19-Fälle gibt, flächendeckend betrieben von den kantonsärztlichen Diensten.

Digitales Contact Tracing funktioniert per Smartphone-App. Die Mobilgeräte registrieren über ihre Bluetooth-Verbindung automatisch und anonym, wenn sie sich über eine gewisse Zeit in unmittelbarer Nähe zueinander befunden haben. Dieses Verfahren wird auch als Proximity Tracing bezeichnet. Erst später, bzw. nur wenn eine Infektion durch einen medizinischen Test bestätigt worden ist, kann die erkrankte Person andere App-User, die sie vielleicht angesteckt hat, schnell und diskret warnen.

Singapur hat im März 2020 als einer der ersten Staaten eine auf der Messung von Bluetooth-Low-Energy-Signalen basierende App namens TraceTogether lanciert, wobei die Funktionalität eingeschränkt ist, weil der Datenaustausch zwischen iPhones und Android-Geräten nicht gut funktionierte. In Europa und weltweit werden nun Proximity-Tracing-Apps lanciert, die dieses Problem nicht haben, weil Apple und Google bei iOS und Android auf Betriebssystem-Ebene eine Schnittstelle zur Verfügung stellen.

Beim dezentralen Ansatz gilt der Grundsatz Privacy by Design: Die Datenverarbeitung (zur Berechnung des Infektionsrisikos) erfolgt auf den Mobilgeräten. Nur bei einer offiziell bestätigten Infektion und der Einwilligung des Users werden dessen anonymisierte Proximity-Daten (Schlüssel) an einen Server überragen, die es ermöglichen, Dritte zu warnen, und den Datenschutz zu gewährleisten.

Beim zentralen Ansatz werden die Proximity-Daten an einen staatlich kontrollierten Server übermittelt, wo das Infektionsrisiko berechnet wird. Diese System-Architektur ist von über 500 Wissenschaftlerinnen und Wissenschaftlern rund um den Globus als problematisch bezeichnet worden, weil der System-Betreiber nachträglich und heimlich Funktionen ändern («Function Creep») oder zusätzliche Funktionen einführen könnte («Mission Creep»).

Apple und Google unterstützen dezentrale Proximity-Tracing-Apps durch eine technische Kooperation. Sie stellen autorisierten App-Entwicklern eine Programmierschnittstelle (API) zur Verfügung, die Corona-Warn-Apps zuverlässige Bluetooth-Distanzschätzungen und Datenaustausch zwischen Android- und iOS-Geräten ermöglicht. Zudem haben die US-Techkonzerne das Proximity Tracing direkt in die weltweit dominierenden mobilen Betriebssysteme integriert.

Freiwillige Nutzung ist laut Apple und Google Bedingung und wird auch von der Schweizer Corona-Warn-App «SwissCovid» umgesetzt. Das heisst, digitales Contact Tracing kann nicht vom Staat erzwungen werden, sondern erfolgt nur mit Zustimmung der User (Opt-in).

Mehr über Corona-Warn-Apps

Alle Storys anzeigen
DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Sicheres Contact-Tracing, Made in Switzerland

1 / 23
Sicheres Contact-Tracing, Made in Switzerland
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Zu viel am Handy? Dr. Watson weiss, woran du leidest

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Analyse

Threema ist das neue WhatsApp – und schlägt die Konkurrenz um Längen

Wer hätte gedacht, dass die weltbeste Messenger-App nicht aus dem Silicon Valley kommen würde, sondern vom Zürichsee. Eine persönliche Analyse.

Seit acht Jahren befasse ich mich mit dem sicheren Schweizer Messenger Threema. Den ersten Artikel dazu publizierte ich im Dezember 2012. Titel: «Die Schweizer Antwort auf WhatsApp». Die damalige erste App gab's nur fürs iPhone, und sie war zum Start gratis. Im Interview versprach der Entwickler, Manuel Kasper, die baldige Veröffentlichung einer von vielen Usern geforderten Android-Version. Und:

Er hielt Wort. Im Gegensatz zu WhatsApp.

Einige dürften sich erinnern, dass es ein gleiches …

Artikel lesen
Link zum Artikel