Digital
Schweiz

Google und Apple stärken Datenschutz bei Plattform für Contact Tracing

Google und Apple stärken Datenschutz bei Plattform für Contact Tracing (und loben DP-3T)

Die Programmierschnittstellen (APIs) für Android und iOS werden vor der ersten Veröffentlichung angepasst. Eine Beta-Version soll demnächst verfügbar sein.
25.04.2020, 10:3027.04.2020, 08:35
Mehr «Digital»

Google und Apple verstärken die Datenschutz-Vorkehrungen bei ihrer geplanten Infrastruktur für Corona-Warn-Apps. Die Nachbesserungen sollen es noch schwieriger machen, bzw. verunmöglichen, einzelne Nutzer zu überwachen.

Dazu gehöre, dass nun auch mit dem Bluetooth-Funk verbundene Zusatzdaten wie etwa die Signalstärke verschlüsselt werden, erklärten die Unternehmen am Freitag. Dadurch soll es unmöglich werden, einzelne Geräte-Modelle an solchen Merkmalen zu erkennen.

Genauere Bezeichnung

Apple und Google bezeichnen die Schnittstelle (API), die sie für das Contact Tracing anbieten, nun als «Exposure Notification», was nach Ansicht der Unternehmen die Funktionalität ihrer kommenden API besser beschreibt. Denn streng genommen wird das eigentliche Contact Tracing ja durch die staatlichen Corona-Warn-Apps durchgeführt.

Die Contact-Tracing-Apps sollen helfen, die Ansteckungen einzudämmen, wenn die Ausgehbeschränkungen gelockert werden. Sie sollen erfassen, welche Smartphones einander nahegekommen sind – und Nutzer warnen, wenn sich später herausstellt, dass sie sich neben infizierten Personen aufhielten.

  • Die Entfernung soll beim Konzept von Apple und Google anhand der Bluetooth-Signalstärke gemessen werden.
  • Apple und Google werden es den Entwicklern ermöglichen, die Signalstärke und die Schwellenwerte für die Dauer von Expositionsereignissen festzulegen.
  • Die Smartphones sollen zudem per Bluetooth Krypto-Schlüssel austauschen, die sich alle 10 bis 20 Minuten ändern. Damit soll man Begegnungen nachvollziehen können, ohne dass ein Einzelner nachverfolgbar wäre.
  • Diese Schlüssel sollen nun für mehr Sicherheit gänzlich zufällig erzeugt werden. Die maximale gemessene Begegnungszeit wird auf 30 Minuten beschränkt.

Von Google kommt das dominierende Smartphone-System Android, Apple entwickelt die iOS-Software seiner iPhones. Damit sind die US-Konzerne als einzige in der Position, die nötigen Schnittstellen direkt in die Betriebssysteme einzubauen.

Ab Android 6 und fürs iPhone 6S

Das Kontaktverfolgungs-Framework wird als Update für Google-Play-Dienste auf Android und als Update für die iOS-Software für Apple-Geräte verteilt.

Apple und Google streben für die Kalenderwoche 18 die Veröffentlichung von Updates für die Betriebssysteme iOS und Android an, die diese APIs unterstützen werden. Dies mit dem Ziel, Entwicklern von Gesundheitsbehörden Tests zu ermöglichen. Apples Software-Update wird iOS-Geräte unterstützen, die in den letzten vier Jahren veröffentlicht wurden und bis zum iPhone 6S und iPhone 6S Plus zurückgehen. Und gemäss Google soll es ab Android 6.0 funktionieren.

Dies würde in der Schweiz einer Abdeckung von ca. 95 Prozent der Android-Geräte entsprechen, hatte der Chef der Zürcher Softwarefirma Ubique in einem früheren Interview mit watson gesagt. Mathias Wellig entwickelt mit seinem Unternehmen die Schweizer Corona-Warn-App, die laut offizieller Ankündigung am 11. Mai fertig gestellt sein soll.

Apple und Google loben «Schweizer Lösung»

Ein Kernpunkt des Konzepts von Apple und Google ist, dass die Feststellung, ob man sich in der Nähe eines infizierten Nutzers aufhielt, ausschliesslich auf den Smartphones erfolgen soll. Dies entspricht dem dezentralen Ansatz, der vom unabhängigen Konsortium DP-3T verfolgt wird unter Federführung der Eigenössisch-Technischen Hochschulen EPFL und ETHZ.

Apple und Google haben sich bei der dezentralen Software-Architektur von DP-3T inspirieren lassen. Der Googler Dave Burke, Vice President, Android Engineering, sagte an einer Videokonferenz am Freitag:

«Wenn wir etwas bauen, müssen wir eine Architektur wählen, die funktioniert. Und sie muss global funktionieren, für alle Länder der Welt. (...) Als wir die Analyse durchführten und uns verschiedene Ansätze ansahen, haben wir uns sehr stark von der DP-3T-Gruppe und ihrem Ansatz inspirieren lassen – und das ist es, was wir als Lösung gewählt haben.»
Was man über Corona-Warn-Apps wissen muss
Contact Tracing meint die persönliche Rückverfolgung von Infektionsketten. Ziel ist es, die (unbemerkte) Verbreitung von gefährlichen Infektionskrankheiten einzudämmen oder im besten Fall zu stoppen. Konkret sollen alle Leute gewarnt werden, die über eine gewisse Zeit in relativ engem körperlichen Kontakt standen mit einer infizierten Person und sich angesteckt haben könnten, ohne es zu wissen.

Zu Beginn der Corona-Krise in der Schweiz wurde Contact Tracing übers Telefon gemacht, das heisst, Infizierte (in Quarantäne) wurden zu ihrem Umfeld befragt, das sie vielleicht angesteckt hatten. Wegen der exponentiellen Zunahme der Covid-19-Infektionen war dieses System allerdings bald einmal überlastet, es wird aber in der Phase nach der Lockerung der staatlichen Zwangsmassnahmen («Lockdown»), wenn es wenige Covid-19-Fälle gibt, flächendeckend betrieben von den kantonsärztlichen Diensten.

Digitales Contact Tracing funktioniert per Smartphone-App. Die Mobilgeräte registrieren über ihre Bluetooth-Verbindung automatisch und anonym, wenn sie sich über eine gewisse Zeit in unmittelbarer Nähe zueinander befunden haben. Dieses Verfahren wird auch als Proximity Tracing bezeichnet. Erst später, bzw. nur wenn eine Infektion durch einen medizinischen Test bestätigt worden ist, kann die erkrankte Person andere App-User, die sie vielleicht angesteckt hat, schnell und diskret warnen.

Singapur hat im März 2020 als einer der ersten Staaten eine auf der Messung von Bluetooth-Low-Energy-Signalen basierende App namens TraceTogether lanciert, wobei die Funktionalität eingeschränkt ist, weil der Datenaustausch zwischen iPhones und Android-Geräten nicht gut funktionierte. In Europa und weltweit werden nun Proximity-Tracing-Apps lanciert, die dieses Problem nicht haben, weil Apple und Google bei iOS und Android auf Betriebssystem-Ebene eine Schnittstelle zur Verfügung stellen.

Beim dezentralen Ansatz gilt der Grundsatz Privacy by Design: Die Datenverarbeitung (zur Berechnung des Infektionsrisikos) erfolgt auf den Mobilgeräten. Nur bei einer offiziell bestätigten Infektion und der Einwilligung des Users werden dessen anonymisierte Proximity-Daten (Schlüssel) an einen Server überragen, die es ermöglichen, Dritte zu warnen, und den Datenschutz zu gewährleisten.

Beim zentralen Ansatz werden die Proximity-Daten an einen staatlich kontrollierten Server übermittelt, wo das Infektionsrisiko berechnet wird. Diese System-Architektur ist von über 500 Wissenschaftlerinnen und Wissenschaftlern rund um den Globus als problematisch bezeichnet worden, weil der System-Betreiber nachträglich und heimlich Funktionen ändern («Function Creep») oder zusätzliche Funktionen einführen könnte («Mission Creep»).

Apple und Google unterstützen dezentrale Proximity-Tracing-Apps durch eine technische Kooperation. Sie stellen autorisierten App-Entwicklern eine Programmierschnittstelle (API) zur Verfügung, die Corona-Warn-Apps zuverlässige Bluetooth-Distanzschätzungen und Datenaustausch zwischen Android- und iOS-Geräten ermöglicht. Zudem haben die US-Techkonzerne das Proximity Tracing direkt in die weltweit dominierenden mobilen Betriebssysteme integriert.

Freiwillige Nutzung ist laut Apple und Google Bedingung und wird auch von der Schweizer Corona-Warn-App «SwissCovid» umgesetzt. Das heisst, digitales Contact Tracing kann nicht vom Staat erzwungen werden, sondern erfolgt nur mit Zustimmung der User (Opt-in).

(dsc/sda/dpa)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Sicheres Contact-Tracing, Made in Switzerland
1 / 23
Sicheres Contact-Tracing, Made in Switzerland
Auf Facebook teilenAuf X teilen
Zuviel am Handy? Dr. Watson weiss, woran du leidest
Video: watson
Das könnte dich auch noch interessieren:
0 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Russische Elitehacker greifen deutsche Parteien an – aus Gründen
Die Hackergruppe «Cozy Bear» mit Verbindungen zum russischen Auslandsgeheimdienst hat es offenbar auf die deutsche Politik abgesehen. Sie verschickten eine Schadsoftware per Mail.

Mehrere Parteien in Deutschland sind einem Medienbericht zufolge Ziel einer grossangelegten russischen Cyberattacke geworden. Laut einer am Freitag dem «Spiegel» vorliegenden Analyse der US-Sicherheitsfirma Mandiant versuchte die vom Kreml gesteuerte Hacker-Gruppierung «Cozy Bear», mehrere deutsche Parteien mit Schadsoftware anzugreifen.

Zur Story