Das Wichtigste in Kürze:
Die britische Regierung gibt in der Corona-Krise ein schlechtes Bild ab, allen voran der unvorsichtige, an Covid-19 erkrankte Premier, Boris Johnson. Das staatliche Gesundheitswesen, der National Health Service (NHS), hat wegen der Epidemie eine Big-Data-Offensive gestartet und kooperiert nicht nur mit den US-Konzernen Amazon und Microsoft, sondern auch mit dem umstrittenen US-Unternehmen Palantir, das über enge Beziehungen zum Geheimdienst CIA verfügt.
Zur Erinnerung:
The Canary kommentierte:
Nun setzen die Briten einen oben drauf: Experten des Geheimdienstes GCHQ waren bei der Entwicklung der staatlichen Corona-Warn-App behilflich, wie BBC berichtet.
Der Grund: Die britische Regierung will ein zentralisiertes Contact-Tracing-System durchsetzen, um an die «Kontakt»- bzw. «Infektionsdaten» der Bürger zu kommen. Weil Apple dies wegen Sicherheits- und Datenschutz-Bedenken nicht unterstützt, mussten die App-Entwickler gewisse Schutzmechanismen des iPhone-Betriebssystems (iOS) «überlisten».
Und genau hier kommen die Hacker vom National Cyber Security Centre des Geheimdienstes GCHQ ins Spiel. Sie haben offenbar programmiertechnische Workarounds zur Verfügung gestellt, damit die britische Corona-Warn-App trotz gewisser System-Einschränkungen funktioniert.
Die Contact-Tracing-App laufe auf dem iPhone «ausreichend gut», ohne dass die Benutzer sie aktiv und auf dem Bildschirm lassen müssten, behaupten NHS-Vertreter. Was diese Aussage wert ist, wird sich erst in der Praxis zeigen, denn noch ist die britische Corona-Warn-App nicht verfügbar. Sie soll in den nächsten Wochen lanciert werden, wie es heisst.
Eine Sprecherin von NHSX, der «digitalen Innovationseinheit» des staatlichen Gesundheitsbetriebes, sagte:
Dies bezieht sich auf den Bluetooth-Sicherheitsmechanismus bei iPhones, der vor Tracking schützen soll, und der schon die Entwickler von zentralen Corona-Warn-Apps in Frankreich und Deutschland vor grosse Probleme gestellt hat.
Das Erschwernis dürfte einer der Gründe dafür sein, dass Deutschland auf den dezentralen Ansatz umgeschwenkt ist. Und wegen der massiven Datenschutz-Bedenken, die von Vertretern der Zivilgesellschaft geäussert wurden.
Apple und Google wollen noch diese Woche Software-Updates veröffentlichen, die es App-Entwicklern ermöglichen, testweise auf eine neue Programmierschnittstelle zuzugreifen. Dank dieser API sollen die staatlichen Contact-Tracing-Apps sicherer funktionieren und weniger Akku verbrauchen.
Hingegen können Corona-Warn-Apps, die sensitive Daten an einen zentralen Server übermitteln, diese API nicht verwenden. Die Nutzer müssen also mit höherem Stromverbrauch und einer schlechteren Performance rechnen.
Fragt sich, welche Auswirkungen das Umgehen des Bluetooth-Sicherheitsmechanismus bei Apples mobilem Betriebssystem iOS auf die Betriebssicherheit der iPhones hat.
Das US-Unternehmen stellt sich laut BBC-Bericht nicht gegen die Bemühungen des NHSX – und habe das britische Team unterstützt – Apple sei aber dennoch der Ansicht, dass seine eigene Lösung wesentlich energieeffizienter sei.
Sollte dies tatsächlich zutreffen und Apple hat die Briten «unterstützt», wirft dies unbequeme Fragen auf. Wie genau sah diese technische Unterstützung aus? Kommt diese Unterstützung auch den Franzosen zu, die ebenfalls ein zentralisiertes System umsetzen wollen? Warum sollte Apple den favorisierten dezentralen Ansatz dermassen schwächen?
Das ist laut BBC nicht im Detail bekannt.
Am Sonntag hat Australien eine Contact-Tracing-App veröffentlicht, die auf dem zentralen Ansatz basiert. Auch dort gaben Regierungsvertreter an, einen Weg gefunden zu haben, um Apples Einschränkungen zu umgehen. Doch inzwischen musste man Probleme mit dem Stromverbrauch einräumen und es treten «Störungen» mit anderen Apps auf.
Im Gegensatz dazu ermöglicht Apples eigene Lösung den Bluetooth-Datenaustausch über einen «Handshake», ohne dass die App überhaupt aufwachen muss.
Und da der Austausch der verschlüsselten Codes noch weniger Zeit zur Ausführung benötige, dürfte der Akku viel weniger belastet werden, schreibt die BBC.
Der NHSX vertritt die Ansicht, dass ein zentralisiertes System dank der auswertbaren «Kontaktdaten» mehr Einblick in die Verbreitung von Covid-19 ermögliche und damit allenfalls nötige Anpassungen der App erleichtert werden.
Das Contact-Tracing-System sei einfacher zu überprüfen und man könne es schneller anpassen, wenn dies wegen neuer wissenschaftlicher Erkenntnisse angebracht sei, sagte Professor Christophe Fraser, einer der Epidemiologen, die den NHSX beraten, gegenüber der BBC.
Weiter sagte der medizinische Experte:
Abgesehen von diesen ins Feld geführten Argumenten, denen Wissenschaftler vom DP-3T-Team widersprechen, gilt es, an fragwürdige Geschäftsbeziehungen zu erinnern, die Grossbritannien bei der Covid-19-Bekämpfung einging.
NHS England ist daran, mit Unterstützung von Palantir und weiterer Firmen einen riesigen Datenspeicher einzurichten. Ziel ist es, zwecks Covid-19-Bekämpfung Informationen aus verschiedensten Quellen zwecks weiterer Auswertung auf einem «sicheren» Server zusammenzuführen. Dazu gehören Daten aus dem gesamten Gesundheitssystem und der Sozialfürsorge sowie von Partnerorganisationen, wie etwa Daten der Notrufzentralen und Covid-19-Testergebnisse.
Weiter enthüllte der «Guardian»:
Am Freitag enthüllte der «Guardian» Hintergründe zum geheimen Experten-Gremium «Sage», das die britische Regierung in wissenschaftlichen Belangen berät. Ein Teilnehmer sei Ben Warner, ein Datenspezialist von Vote Leave, der von Boris Johnson geleiteten Pro-Brexit-Gruppe.
Und hier schliesst sich der Kreis: Laut «Wired» war Warner der kommerzielle Leiter von Faculty, einem auf künstliche Intelligenz spezialisierten Unternehmen, das jetzt mit NHSX, der auf digitale Innovation spezialisierten Abteilung des NHS, zusammenarbeitet. Dem «Guardian» ist bekannt, dass Faculty von Warners Bruder Marc geleitet wird und dass das Unternehmen ein Partner von Palantir ist. Laut «Business Insider» wird die Plattform, die Palantir und seine Partner (Google und Microsoft) zur Erfassung der NHS-Daten nutzen werden, Palantirs Big-Data-Software Foundry sein.
Big Brother in Great Britain: Mit dem zentralisierten Contact-Tracing-Ansatz befindet sich Grossbritannien im Konflikt mit mehreren europäischen Staaten, die sich für ein dezentralisiertes System entschieden haben: Dazu gehören die Schweiz, Österreich, die Niederlande, Tschechien und Estland.
Deutschland war längere Zeit im Einklang mit dem NHSX, aber die Regierung gab am Sonntag bekannt, dass man zu einem «stark dezentralisierten Ansatz» wechselt.
Damit bleibe Frankreich als einer der lautstärkeren Befürworter eines zentralisierten Modells übrig, konstatiert die BBC. Mit der Entwicklung der nationalen Corona-Warn-App ist das staatliche Forschungsinstitut Inria beauftragt, das Mitglied ist im europäischen Software-Konsortium PEPP-PT.
Allerdings wurde am Montag publik, dass Hunderte französische Kryptographie- und IT-Sicherheitsexperten einen offenen Brief unterzeichnet haben. Darin wird die französische Regierung aufgefordert, ihre Software-Pläne zu überdenken.
Pikant: Dutzende Petitions-Unterzeichner arbeiten für Inria, das mit der Entwicklung des französischen Tracing-Protokolls befasst ist. Es trägt den Namen Robert («ROBust and privacy-presERving proximity Tracing protocol»).
Der offene Brief erwähnt eine gründliche Analyse der zentralisierten und dezentralisierten Implementierungen von Contact-Tracing-Protokollen, wie Techcrunch schreibt. Sie umfasse mehrere Angriffsszenarien und stelle sowohl das DP-3T-Protokoll als auch das ROBERT-Protokoll infrage.
Der ETH-Professor Kenneth Paterson bezeichnete das ROBERT-Protokoll laut republik.ch als einen Albtraum hinsichtlich Privatsphäre und Sicherheit. Zitat: «Es ist ein hoch zentralisiertes System, bei dem man sich allein auf den Server verlassen muss.» Und weiter: «Vor Machtmissbrauch ist man nicht gewappnet. Der Server kann sehr einfach jedes Pseudonym mit den realen Identitäten verknüpfen.»
Länder, die eine dezentrale #ContactTracing-App (nach Schweizer Vorbild #DP3T🇨🇭) anstreben:
— Daniel Schurter (@schurt3r) April 28, 2020
Deutschland ✅
Estland ✅
Italien ✅ (unbestätigt)
Nordmazedonien ✅
Niederlande ✅
Österreich ✅
Portugal ✅
Schweiz ✅
Spanien ✅
Tschechien ✅
via @watson_news
cc @EPFL @ETH
Schliesslich ist anzumerken, dass die EU-Kommission in Sachen digitalen Contact Tracings per Smartphone-App beide Modelle als akzeptabel bezeichnet hat. Hingegen hat sich das EU-Parlament in einem Beschluss vom 17. April klar für eine dezentrale Speicherung und transparente Festlegungen für Corona-Warn-Apps ausgesprochen.
Ob «dezentral oder zentral», wird weiter intensiv diskutiert. Und für die Bürgerinnen und Bürger stellt sich die Frage, ob sie ihre nationale Warn-App länderübergreifend nutzen können, oder diese vielleicht gar nicht installieren.
Die Briten hatten laut «Guardian» noch vor Frankreich Verhandlungen mit Apple und Google aufgenommen und verlangt, die Bluetooth-Restriktionen zu lockern. Dies lehnten die beiden Techkonzerne entschieden ab. Inzwischen hat Apple die Datenschutz-Mechanismen sogar weiter erhöht.
Sieht heute nicht mehr danach aus, aber was kann man schon von dieser Regierung erwarten?
https://www.nzz.ch/feuilleton/coronavirus-yuval-noah-harari-ueber-die-welt-nach-der-pandemie-ld.1547988