Google und Apple stärken Datenschutz bei Plattform für Contact Tracing (und loben DP-3T)
Google und Apple verstärken die Datenschutz-Vorkehrungen bei ihrer geplanten Infrastruktur für Corona-Warn-Apps. Die Nachbesserungen sollen es noch schwieriger machen, bzw. verunmöglichen, einzelne Nutzer zu überwachen.
Dazu gehöre, dass nun auch mit dem Bluetooth-Funk verbundene Zusatzdaten wie etwa die Signalstärke verschlüsselt werden, erklärten die Unternehmen am Freitag. Dadurch soll es unmöglich werden, einzelne Geräte-Modelle an solchen Merkmalen zu erkennen.
Genauere Bezeichnung
Apple und Google bezeichnen die Schnittstelle (API), die sie für das Contact Tracing anbieten, nun als «Exposure Notification», was nach Ansicht der Unternehmen die Funktionalität ihrer kommenden API besser beschreibt. Denn streng genommen wird das eigentliche Contact Tracing ja durch die staatlichen Corona-Warn-Apps durchgeführt.
Apple & Google haben Spezifikationen zur API angekündigt. Zugunsten von mehr Privacy.
— Adrienne Fichter (@adfichter) April 24, 2020
- Bluetooth-Metadata werden verschlüsselt
- Exposure (A und B) soll besser kalkuliert werden
- Schlüssel randomisiert generiert
- AES Verschlüsselung für bessere Performance (Batterienverbrauch) https://t.co/4D1pcsCtr5
Die Contact-Tracing-Apps sollen helfen, die Ansteckungen einzudämmen, wenn die Ausgehbeschränkungen gelockert werden. Sie sollen erfassen, welche Smartphones einander nahegekommen sind – und Nutzer warnen, wenn sich später herausstellt, dass sie sich neben infizierten Personen aufhielten.
- Die Entfernung soll beim Konzept von Apple und Google anhand der Bluetooth-Signalstärke gemessen werden.
- Apple und Google werden es den Entwicklern ermöglichen, die Signalstärke und die Schwellenwerte für die Dauer von Expositionsereignissen festzulegen.
- Die Smartphones sollen zudem per Bluetooth Krypto-Schlüssel austauschen, die sich alle 10 bis 20 Minuten ändern. Damit soll man Begegnungen nachvollziehen können, ohne dass ein Einzelner nachverfolgbar wäre.
- Diese Schlüssel sollen nun für mehr Sicherheit gänzlich zufällig erzeugt werden. Die maximale gemessene Begegnungszeit wird auf 30 Minuten beschränkt.
Von Google kommt das dominierende Smartphone-System Android, Apple entwickelt die iOS-Software seiner iPhones. Damit sind die US-Konzerne als einzige in der Position, die nötigen Schnittstellen direkt in die Betriebssysteme einzubauen.
Ab Android 6 und fürs iPhone 6S
Das Kontaktverfolgungs-Framework wird als Update für Google-Play-Dienste auf Android und als Update für die iOS-Software für Apple-Geräte verteilt.
Apple und Google streben für die Kalenderwoche 18 die Veröffentlichung von Updates für die Betriebssysteme iOS und Android an, die diese APIs unterstützen werden. Dies mit dem Ziel, Entwicklern von Gesundheitsbehörden Tests zu ermöglichen. Apples Software-Update wird iOS-Geräte unterstützen, die in den letzten vier Jahren veröffentlicht wurden und bis zum iPhone 6S und iPhone 6S Plus zurückgehen. Und gemäss Google soll es ab Android 6.0 funktionieren.
Dies würde in der Schweiz einer Abdeckung von ca. 95 Prozent der Android-Geräte entsprechen, hatte der Chef der Zürcher Softwarefirma Ubique in einem früheren Interview mit watson gesagt. Mathias Wellig entwickelt mit seinem Unternehmen die Schweizer Corona-Warn-App, die laut offizieller Ankündigung am 11. Mai fertig gestellt sein soll.
Apple und Google loben «Schweizer Lösung»
Ein Kernpunkt des Konzepts von Apple und Google ist, dass die Feststellung, ob man sich in der Nähe eines infizierten Nutzers aufhielt, ausschliesslich auf den Smartphones erfolgen soll. Dies entspricht dem dezentralen Ansatz, der vom unabhängigen Konsortium DP-3T verfolgt wird unter Federführung der Eigenössisch-Technischen Hochschulen EPFL und ETHZ.
Apple und Google haben sich bei der dezentralen Software-Architektur von DP-3T inspirieren lassen. Der Googler Dave Burke, Vice President, Android Engineering, sagte an einer Videokonferenz am Freitag:
Die Schweizer Corona-Warn-App (mit DP-3T-Protokoll) wird bereits intensiv getestet:
Today, we helped @gannimo run a second set of experiments at @EPFL_en. The goal was to fine-tune a #DP3T app to fight #COVID19 by having Swiss soldiers act out several scenarios. Our role was to provide ground tracks that will serve as ground truth. pic.twitter.com/P1X7aQqA8F
— Pascal Fua (@FuaPv) April 24, 2020
[De] bei unserem #DP3T Experiment war auch ein Team vom 10vor10 dabei und wir durften unsere Experimente und die Vorteile von dezentralisiertem Contact Tracing erklären https://t.co/1x1L0aJtEJ
— Mathias Payer (@gannimo) April 25, 2020
Was man über Corona-Warn-Apps wissen muss
Contact Tracing meint die persönliche Rückverfolgung von Infektionsketten. Ziel ist es, die (unbemerkte) Verbreitung von gefährlichen Infektionskrankheiten einzudämmen oder im besten Fall zu stoppen. Konkret sollen alle Leute gewarnt werden, die über eine gewisse Zeit in relativ engem körperlichen Kontakt standen mit einer infizierten Person und sich angesteckt haben könnten, ohne es zu wissen.
Zu Beginn der Corona-Krise in der Schweiz wurde Contact Tracing übers Telefon gemacht, das heisst, Infizierte (in Quarantäne) wurden zu ihrem Umfeld befragt, das sie vielleicht angesteckt hatten. Wegen der exponentiellen Zunahme der Covid-19-Infektionen war dieses System allerdings bald einmal überlastet, es wird aber in der Phase nach der Lockerung der staatlichen Zwangsmassnahmen («Lockdown»), wenn es wenige Covid-19-Fälle gibt, flächendeckend betrieben von den kantonsärztlichen Diensten.
Digitales Contact Tracing funktioniert per Smartphone-App. Die Mobilgeräte registrieren über ihre Bluetooth-Verbindung automatisch und anonym, wenn sie sich über eine gewisse Zeit in unmittelbarer Nähe zueinander befunden haben. Dieses Verfahren wird auch als Proximity Tracing bezeichnet. Erst später, bzw. nur wenn eine Infektion durch einen medizinischen Test bestätigt worden ist, kann die erkrankte Person andere App-User, die sie vielleicht angesteckt hat, schnell und diskret warnen.
Singapur hat im März 2020 als einer der ersten Staaten eine auf der Messung von Bluetooth-Low-Energy-Signalen basierende App namens TraceTogether lanciert, wobei die Funktionalität eingeschränkt ist, weil der Datenaustausch zwischen iPhones und Android-Geräten nicht gut funktionierte. In Europa und weltweit werden nun Proximity-Tracing-Apps lanciert, die dieses Problem nicht haben, weil Apple und Google bei iOS und Android auf Betriebssystem-Ebene eine Schnittstelle zur Verfügung stellen.
Beim dezentralen Ansatz gilt der Grundsatz Privacy by Design: Die Datenverarbeitung (zur Berechnung des Infektionsrisikos) erfolgt auf den Mobilgeräten. Nur bei einer offiziell bestätigten Infektion und der Einwilligung des Users werden dessen anonymisierte Proximity-Daten (Schlüssel) an einen Server überragen, die es ermöglichen, Dritte zu warnen, und den Datenschutz zu gewährleisten.
Beim zentralen Ansatz werden die Proximity-Daten an einen staatlich kontrollierten Server übermittelt, wo das Infektionsrisiko berechnet wird. Diese System-Architektur ist von über 500 Wissenschaftlerinnen und Wissenschaftlern rund um den Globus als problematisch bezeichnet worden, weil der System-Betreiber nachträglich und heimlich Funktionen ändern («Function Creep») oder zusätzliche Funktionen einführen könnte («Mission Creep»).
Apple und Google unterstützen dezentrale Proximity-Tracing-Apps durch eine technische Kooperation. Sie stellen autorisierten App-Entwicklern eine Programmierschnittstelle (API) zur Verfügung, die Corona-Warn-Apps zuverlässige Bluetooth-Distanzschätzungen und Datenaustausch zwischen Android- und iOS-Geräten ermöglicht. Zudem haben die US-Techkonzerne das Proximity Tracing direkt in die weltweit dominierenden mobilen Betriebssysteme integriert.
Freiwillige Nutzung ist laut Apple und Google Bedingung und wird auch von der Schweizer Corona-Warn-App «SwissCovid» umgesetzt. Das heisst, digitales Contact Tracing kann nicht vom Staat erzwungen werden, sondern erfolgt nur mit Zustimmung der User (Opt-in).
(dsc/sda/dpa)
