Einige Länder haben sich schon am digitalen Contact Tracing versucht. Doch alle sind mit ihren Apps gescheitert oder zumindest hinter den Erwartungen geblieben.
Dafür gibt es verschiedene Gründe, wie wir gleich sehen. Technischer Natur. Aber auch organisatorisches Versagen sowie krasse strategische Fehlleistungen.
Die gute Nachricht aus Schweizer Sicht: Wir sind in einer hervorragenden, ja einzigartigen Ausgangslage. Und wir können aus Irrtümern unserer Nachbarn und weit entfernter Länder lernen und es besser machen.
Der Bundesrat muss diese Woche entscheiden, wie es mit der geplanten Schweizer Corona-Warn-App losgeht. Konkret gilt es, die Kommunikationsstrategie festzulegen und die Schritte rund um die Lancierungs-Phase zu planen.
Das eidgenössische Parlament will in der laufenden Sondersession die gesetzliche Grundlage diskutieren.
Eine erste App-Version könnte am 11. Mai für iPhone- und Android-Nutzer verfügbar sein, wie der Epidemiologe Marcel Salathé letzte Woche gegenüber den Medien bestätigte. Und bis «Mitte Mai» soll die finale Software vorliegen. Wobei auch gleich die Schnittstellen (APIs) genutzt werden sollen, die Apple und Google derzeit vorbereiten.
Die Ausgangslage ist weltweit einzigartig. Das europäische DP-3T-Konsortium hat unter Leitung der Eidgenössisch-Technischen Hochschulen Lausanne (EPFL) und Zürich (ETHZ) die Proximity-Tracing-Software entwickelt und die organisatorischen und rechtlichen Grundlagen erarbeitet. Diese braucht es für einen sicheren und datenschutzkonformen Betrieb. Wobei die Verantwortung letztlich beim Staat liegt.
In wissenschaftlich-technischer Hinsicht kommt dem DP-3T-Protokoll, das Open Source ist, international Pioniercharakter und eine Führungsrolle zu. Mehrere Länder haben angekündigt, eine darauf basierende App zu lancieren. Auch Apple liess sich von der «Schweizer Lösung» inspirieren, die eine dezentralisierte Datenspeicherung vorsieht.
Die Ingenieure in Cupertino waren schon früh vom Westschweizer IT-Experten Edouard Bugnion (DP-3T) kontaktiert worden. Der VMware-Mitgründer bat sie, eine Lösung zu finden für ein Problem, das die Entwicklung und Lancierung von Bluetooth-basierten Proximity-Tracing-Apps erschwerte.
Am Dienstag informierte das DP-3T-Team via Twitter, dass es mit Entwicklern und Designern aus Deutschland, Estland, Finnland, Italien, Österreich und Portugal zusammenarbeitet. Ziel ist eine länderübergreifende Funktionsweise (Interoperabilität) der nationalen Corona-Warn-Apps.
Damit sind wir bei den Anforderungen, die die Schweizer Corona-Warn-App aus Sicht unabhängiger Experten erfüllen muss. Es ist ein ganzer Anforderungskatalog.
Der Chaos Computer Club, kurz CCC, kämpft gegen digitale Überwachung und hat in einer Stellungnahme erklärt, dass digitales Contact Tracing möglich sei, «ohne eine Privatsphäre-Katastrophe» zu schaffen.
Der CCC Deutschland formuliert zehn «Prüfsteine», um Corona-Warn-Apps aus technischer und gesellschaftlicher Perspektive zu beurteilen:
Das DP-3T-Protokoll erfüllt alle vom CCC formulierten Kriterien, die die Software an sich betreffen. Und die App selbst, inklusive Benutzeroberfläche (GUI), stammt aus einer erfahrenen Software-Schmiede: von der Zürcher Entwicklerfirma Ubique (Macherin der SBB-App, MeteoSwiss-App etc.). Eine Demo-Version hinterliess bezüglich Design und Usability (Bedienbarkeit) einen starken Eindruck.
Auch die ACLU, die American Civil Liberties Union, eine renommierte, nicht-staatliche Menschenrechts-Organisation, hat grundlegende Prinzipien formuliert für die Beurteilung von Proximity-Tracing-Apps. Auch bei diesem Anforderungskatalog schneidet DP-3T hervorragend ab:
Bei den drei letzten Punkten fehlt das Häkchen, weil eine Beurteilung erst nach der App-Lancierung Sinn macht.
Beweisen, dass es um die eigene digitale Kompetenz besser steht, als nach gewissen Corona-Patzern zu befürchten ist, muss das Bundesamt für Gesundheit (BAG). Die Eidgenossenschaft wird als Herausgeberin der Schweizer Proximity-Tracing-App amten und staatliche Stellen zeichnen auch für die Server-Infrastruktur verantwortlich, die es braucht.
Auch Apple und Google überlassen diese zentrale Aufgabe bewusst den Gesundheitsbehörden und halten sich bei der Authentifizierung von Covid-19-Tests raus.
Der Bund muss in Kooperation mit den Kantonen die Rahmenbedingungen gewährleisten, damit die Schweizer Proximity-Tracing-App die erhoffte Wirkung erzielen kann.
Damit sind wir bei den Fehlern, die es rund um die geplante App-Lancierung unbedingt zu vermeiden gilt:
Bekanntlich stellen Apple und Google Programmierschnittstellen (APIs) zur Verfügung, die das Bluetooth-basierte Proximity-Tracing verbessern und sicherer machen. Möglicherweise entscheidend verbessern, ist anzufügen. Weil damit zum Beispiel der Geräte-Akku geschont werden kann, was gerade bei älteren Smartphone-Modellen äusserst wichtig ist, um die Akzeptanz der Corona-Warn-App zu gewährleisten.
Gewisse Länder sind mit Proximity-Tracing-Apps vorgeprescht, die schlecht oder gar nicht funktionieren, insbesondere was den Datenaustausch zwischen iPhones und Android betrifft. Prominentestes Beispiel ist Singapur mit TraceTogether, wobei das entsprechende Protokoll (OpenTrace) als Open Source zur Verfügung steht und bereits von weiteren Ländern implementiert wurde.
Ein abschreckendes Beispiel bietet auch Australien. Die am 3. Mai lancierte, auf dem OpenTrace-Protokoll basierende australische Corona-Warn-App steht massiv in der Kritik wegen diverser technischer Schwächen.
Die australische Regierung liess bereits verlauten, dass die Software neu programmiert werden solle, um die Apple-Google-Schnittstellen zu implementieren. Fraglich bleibt, ob unzufriedene User einen weiteren Versuch wagen werden, wenn die neue Version in die App Stores kommt.
Aus Schweizer Sicht gilt: Bei einer neuartigen Software wird es Updates brauchen, bis alles rund läuft. Wenn aber der erste Versuch wegen technischer Unzulänglichkeiten in die Hose gehen sollte, wird es schwierig. Lieber keine App als eine, die zum Start nur schlecht oder gar nicht funktioniert. Oder anders ausgedrückt: Natürlich wäre es zu begrüssen, wenn die App ab dem 11. Mai zur Verfügung stünde, weil dann ja die Zwangsmassnahmen massiv gelockert werden sollen. Eine «Hauruck»-Strategie wäre aber sehr riskant.
Die deutsche Regierung hat mit widersprüchlichen Äusserungen das Vertrauen der Bürger in eine staatliche Corona-Warn-App massiv beeinträchtigt, noch bevor eine entsprechende Software verfügbar ist.
Laut Bundesregierung sollen der Software-Konzern SAP und die Deutsche Telekom eine Bluetooth-basierte Proximity-Tracing-App entwickeln. Vom ursprünglich geplanten zentralen Ansatz, den das Konsortium PEPP-PT verfolgt hat, ist die Politik nach massiven Protesten der Zivilgesellschaft weggekommen. Nun soll es ein dezentrales System nach Vorbild DP-3T werden.
Allerdings hält man am umstrittenen Vorhaben fest, dass App-Nutzer freiwillig zusätzliche Informationen mit dem Staat teilen können. Es würden nur pseudonymisierte Daten auf einem Forschungsserver gespeichert, heisst es. Dieses Versprechen wird verunsicherten Bürgern nicht genügen.
Aus Schweizer Sicht gilt: Mit DP-3T hat das Bundesamt für Gesundheit (BAG) auf das richtige Pferd gesetzt. Statt Industrie-Interessen und Lobbying konnte sich so die wissenschaftliche Expertise der technischen Hochschulen durchsetzen. Doch nun gilt es ernst: Der Bundesrat muss wichtige Entscheide zur App-Lancierung treffen und verständlich kommunizieren, um die Bevölkerung nicht zu verunsichern.
Die Schweizer Corona-Warn-App muss sich in unabhängigen Tests als zuverlässig und genügend sicher erweisen, und den erwarteten Zweck erfüllen; das ist das frühzeitige Warnen von Personen, die sich möglicherweise infiziert haben. Ist dies infrage gestellt, muss es die Bevölkerung wissen.
Zudem sollten die Verantwortlichen transparent informieren, wie es mit der Apple-Google-Kooperation weitergeht. In einem Medienbericht aus Deutschland hiess es am Montag:
Eine Proximity-Tracing-App ist ein freiwilliges Hilfsmittel zur Covid-19-Bekämpfung, das auf dem Vertrauen der Bürgerinnen und Bürger aufbaut. Wenn dieses Vertrauen untergraben wird, ist das für das Vorhaben verheerend.
Kurz bevor am 4. Mai die Einkaufszentren in Polen wieder öffnen durften, wurde ein fragwürdiger Plan der Regierung publik. Offenbar sollte das Betreten von Geschäften ab einer bestimmten Besucherzahl an die Nutzung der an sich freiwilligen staatlichen Corona-Warn-App geknüpft werden. Nach massiven Protesten krebste das zuständige Ministerium zurück. Doch das Misstrauen der Bürger ist nun gross.
Die indische Regierung kündigte am Freitag an, dass alle Arbeitnehmer im öffentlichen und privaten Sektor verpflichtet seien, eine offizielle App zu installieren. Der staatliche App-Zwang erfolgt in Zusammenhang mit der geplanten Lockerung der Ausgangsbeschränkungen (Lockdown).
Die indische Regierung hat im April die Contact-Tracing-App Aarogya Setu lanciert, die Android-Version ist über 50 Millionen Mal heruntergeladen worden. Zuvor hatten schon mehrere Bundesstaaten eigene Apps veröffentlicht.
Aus Schweizer Sicht gilt: Ein App-Zwang war hierzulande glücklicherweise nie vorgesehen. Die Freiwilligkeit wird von DP-3T, aber auch Apple und Google verlangt.
Sollte die Schweizer Warn-App in den ersten Tagen und Wochen nicht die erhofften Aktivierungen erreichen, dürften aber entsprechende Forderungen aus der Politik laut werden. Die Verantwortlichen tun gut daran, kühlen Kopf zu bewahren, und die unverhandelbare Freiwilligkeit zu erklären.
Dies gilt auch für einen indirekten App-Zwang, wie er in Polen für Aufregung gesorgt hat. Wie der CCC formulierte, muss vielmehr ein Diskriminierungs-Verbot durchgesetzt werden. Niemand darf einen Nachteil erfahren, weil die App nicht genutzt wird oder kein Smartphone vorhanden ist.
Definieren wir «Flop». Dazu gilt es, zunächst Szenarien anzuschauen, die nach der Lancierung möglich sind:
Zunächst ist in Erinnerung zu rufen, dass es auch beim traditionellen Contact Tracing sehr viele «False Positives» gibt. Also Leute, die zwar in Kontakt mit infizierten Personen waren, sich aber nicht angesteckt haben. Trotzdem werden sie von Mitarbeitern der Gesundheitsbehörden gewarnt und zu Selbstquarantäne und Tests aufgefordert.
Ist das für die im Einzelnen betroffenen User ärgerlich? Ja. Vielleicht. Ist deswegen das gesamte Vorgehen beim Contact Tracing infrage gestellt? Nein.
Was ist mit «False Negatives», also mit unbemerkten Ansteckungen, die nicht durch die App erfasst werden?
Auch hier gilt in Erinnerung zu rufen, dass das herkömmliche Contact Tracing ebenfalls keinerlei Gewähr bietet, alle Infektionen zu entdecken. Das würde auch niemand behaupten. Und es läuft deswegen niemand Sturm dagegen. Denn es bringt nachweislich etwas, um die Infektionszahlen zu senken.
Bei der App werden wir herausfinden, wie gut und zuverlässig die Alarmierung klappt. Im Vornherein die Flinte ins Korn zu werfen, wäre unverantwortlich. Und dumm, angesichts des Erfolges, der winkt.
Zur Erinnerung: Mit jeder Ansteckung, die wir dank Selbstquarantäne und/oder Tests vermeiden, tragen wir zur schnelleren Überwindung der Coronakrise bei. Und im besten Fall retten wir Leben. Viele Leben!
Dank Privacy by Design ist gewährleistet, dass keine sensitiven Daten auf dem staatlich kontrollierten Server anfallen. Das heisst, Massenüberwachung ist ausgeschlossen.
Aber was ist mit der Bluetooth-Verbindung, die aktiviert sein muss, damit die Proximity-Tracing-App funktioniert?
Wenn Bluetooth-Sicherheitslücken publik werden, die iPhones und Android-Smartphones im grossen Stil angreifbar machen, müssen sie Apple und Google umgehend mit einem Notfall-Update schliessen. Dieses Vorgehen war bislang üblich und erhält in der Coronakrise zusätzliches Gewicht.
Es gilt aber auch, festzuhalten, dass Hackerangriffe über die Bluetooth-Verbindung physische Nähe zum Gerät erfordern, was die Zahl möglicher Opfer einschränkt.
Allen vorsichtigen Zeitgenossen steht es selbstverständlich frei, Bluetooth jederzeit zu deaktivieren. Und man kann die Proximity-Tracing-App jederzeit deinstallieren.
Allen Skeptikern ist in Erinnerung zu rufen, dass die Corona-Warn-App ein freiwilliges Hilfsmittel ist und dies von den Verantwortlichen bei DP-3T immer so dargestellt wurde. Die eigentliche «Wunderwaffe» sind die User selbst, die mit vernünftigem Verhalten am meisten beitragen können.
Am 26. März kommentierte ich:
Und weiter:
Meine Hoffnung hat sich erfüllt.
Der damalige Beitrag trägt einen zugespitzten Titel, das räume ich selbstkritisch ein («Wie eine App die Schweiz vor Covid-19 retten kann»), und er traf inhaltlich nicht ins Schwarze. Zum Glück nicht, wie wir heute wissen.
Das Österreichische Rote Kreuz hatte sich bei seiner Corona-Warn-App zunächst für die Schweizer p2pkit-Technologie (Uepaa) entschieden, was ich als vielversprechend bezeichnete. Das ermöglichte es in unserem östlichen Nachbarland, vergleichsweise schnell eine entsprechende Smartphone-App zu lancieren. Doch inzwischen haben die Österreicher angekündigt, aufs dezentrale Protokoll von DP-3T zu wechseln.
Der Schweiz bietet sich eine historische Gelegenheit. Als erstes Land kann sie eine Corona-Warn-App lancieren, die auf dem DP-3T-Protokoll basiert.
Dank der Innovationskraft und dem unermüdlichen Engagement hiesiger Experten kann die «Schweizer Lösung» zum Gold-Standard werden. Jedoch gilt es bei aller Begeisterung, die Sicherheitsbedenken und Ängste ernst zu nehmen und ihnen mit transparenter Kommunikation zu begegnen.
Fazit: Letztlich entscheiden wir, wie es mit dem Coronavirus weitergeht. Wir haben es in der Hand.
Ziel ist eine angeregte Diskussion. Der Autor reagiert auf sachliche, begründete Kritik. Hingegen werden polemische Kommentare, Beleidigungen und haltlose Behauptungen («das funktioniert sowieso nicht») gelöscht.
Wer über technische Finessen rund ums Bluetooth-Proximity-Sensing diskutieren will oder eine konkrete technische Frage hat, wendet sich am besten direkt an die verantwortlichen Wissenschaftler und Software-Entwickler. Dies ist über die Projekt-Website bei github.com möglich.
Die US-Journalistin Christina Farr (CNBC) hat die spannenden Hintergründe recherchiert, wie es zu der einzigartigen Kooperation von Apple und Google kam, und welch wichtige Rolle die Schweizer Experten von DP-3T spielten.