Deutschland lenkt ein bei Streit um Corona-Warn-App – setzt auf «Schweizer Lösung»
Die deutsche Bundesregierung hat sich bei der Entwicklung der staatlichen Corona-Warn-App für einen radikalen Richtungswechsel entschieden: Wie die «Welt am Sonntag» publik machte, wird neu der dezentrale Ansatz favorisiert.
Das ist auch der Ansatz der Schweizer Corona-Warn-App, die bis am 11. Mai fertig gestellt sein soll und eine der ersten mit dezentraler Funktionsweise werden könnte. Apple hat das von Schweizer Experten entworfene Contact-Tracing-Protokoll (DP-3T) explizit als Vorbild erwähnt. Und der Googler Dave Burke, Vice President, Android Engineering, sagt:
Die entsprechende Software-Architektur DP-3T (Decentralized Privacy-Preserving Proximity Tracing) wird unter der Führung der Eidgenössisch-Technischen Hochschulen in Lausanne (EFPL) und Zürich (ETH) entwickelt, beteiligt sind aber auch die Schweizer App-Entwicklerfirma Ubique (SBB-App) und diverse Forschungsinstitutionen im Ausland, darunter das Helmholtz-Zentrum für Informationssicherheit Cispa.
Das sagt der zuständige deutsche Minister
Der deutsche Gesundheitsminister Jens Spahn begründete in einem längeren Twitter-Thread die Entscheidung.
Die Nutzung der App durch möglichst grosse Teile der Bevölkerung ist die Grundlage ihres Erfolges.
Um dieses Ziel zu erreichen, setzen wir auf eine dezentrale Softwarearchitektur, die die in Kürze zur Verfügung stehenden Programmierschnittstellen der wesentlichen Anbieter von mobilen Betriebssystemen nutzt und gleichzeitig die epidemiologische Qualitätssicherung bestmöglich integriert.»
In die deutsche Corona-Warn-App soll laut Gesundheitsminister «auch die Möglichkeit integriert werden, dass Bürgerinnen und Bürger freiwillig in pseudonymisierter Form Daten zur epidemiologischen Forschung und Qualitätssicherung an das Robert-Koch-Institut übermitteln können».
Welche Rolle spielen Apple und Google?
Die US-Techkonzerne, die den Zugang zu den weltweit dominierenden Smartphone-Plattformen (iOS und Android) kontrollieren, kooperieren, um dem dezentralen Contact-Tracing-Ansatz zum Durchbruch zu verhelfen.
Die dezentrale Software-Architektur, bei der die sensitiven Daten auf den Smartphones der App-User verbleiben, wird von Apple und Google unterstützt, indem sie Programmierschnittstellen dafür anbieten. Eine Testversion soll bereits in der kommenden Woche veröffentlicht werden, und Entwicklern von Contact-Tracing-Apps zur Verfügung stehen. Allerdings nur für staatlich autorisierte Projekte. Laut diesem Medienbericht ist es am 28. April so weit.
In einem öffentlichen Webcast zu europäischen Contact-Tracing-Apps hatten am vergangenen Freitag Vertreter von Google und Apple teilgenommen und sich unnachlässig gezeigt. Der hochrangige Apple-Manager Gary Davis betonte, dass sein Unternehmen nicht gewillt sei, die eigenen Datenschutzprinzipien aufzuweichen. Dies war zuvor unter anderem von Frankreich und Deutschland (erfolglos) gefordert worden.
Apples Datenschutz-Vorgaben: Nur staatliche Corona-Warn-Apps, die sich daran halten, werden im App Store zugelassen
Die Reaktionen auf die deutsche Kehrtwende
Beim unabhängigen Forschungs- und Software-Konsortium DP-3T zeigte man sich in einer ersten Stellungnahme «sehr glücklich» über den Entscheid der Deutschen.
Linus Neumann vom Chaos Computer Club (CCC) Deutschland begrüsste laut einem aktuellen ARD-Bericht den Richtungswechsel: Er halte das für eine sehr gute Entscheidung. Das Signal, das die Bundesregierung an mögliche Nutzer und Nutzerinnen der App aussende, sei nun: «Du kannst uns vertrauen, weil du uns nicht vertrauen musst.»
Es sei der richtige Weg, dass die deutschen App-Nutzerinnen und Nutzer selbst entscheiden können, ob sie dem Staat zusätzliche Informationen zur Verfügung stellen wollen, etwa um dem Robert Koch-Institut zu helfen, die Pandemie besser zu verstehen oder um die App zu verbessern.
Die Digitalaktivistin Ann Cathrin Riedel erachtet es hingegen als schwierig, dass die freiwillige Bereitstellung von weiteren Daten über die Tracing-App laufen soll. «Wichtig sei in jedem Fall, dass der Programmcode Open Source, also öffentlich einsehbar, gemacht werde – und damit für Experten und Zivilgesellschaft transparent und nachvollziehbar.»
Wie reagiert PEPP-PT?
Der Entscheid der deutschen Regierung bedeutet eine klare Absage an das zentralisierte Contact-Tracing-System, das bislang in Deutschland und Frankreich als Favorit galt und in den vergangenen Wochen von Forscher des Robert-Koch-Instituts (RKI) und weiterer deutscher und französischer Forschungseinrichtungen gemeinsam entwickelt wurde.
Einem Mitglied von PEPP-PT, dem deutschen Forschungsinstitut des Fraunhofer Heinrich-Hertz-Institut HHI, sei am Samstag mitgeteilt worden, dass es aus dem Projekt herausgenommen werde. Der Nachrichtenagentur Reuters liegt gemäss einem Bericht vom Sonntag die entsprechende Korrespondenz vor.
Die ARD zitiert aus einem internen Schreiben, das an die HHI-Mitarbeiter ging. In der E-Mail heisse es, bei PEPP-PT seien «eine Reihe von gravierenden Fehlern hinsichtlich der Kommunikation begangen» worden, «was am Ende sehr geschadet und zu dieser Entscheidung geführt» habe.
Der dezentrale Ansatz war am Montag von über 300 Wissenschaftlerinnen und Wissenschaftler in einem offenen Brief unterstützt worden, mehr als 200 weitere Akademiker schlossen sich später an. Die Experten von vier Kontinenten sprachen sich gegen die zentrale Architektur aus, weil diese Tür und Tor öffne für Missbrauch und Überwachung.
In den vergangenen Tagen hatten sich in Deutschland die Proteste gehäuft, unter anderem forderte der Chaos Computer Club die Bundesregierung auf, von ihren ursprünglichen Plänen für eine zentralisierte App Abstand zu nehmen.
Was bedeutet das?
Der Entscheid der deutschen Regierung kommt einer mittleren Sensation gleich, angesichts des massiven Lobbyings in den vergangenen Wochen, und er könnte den Durchbruch bringen für das länderübergreifende Funktionieren der staatlichen europäischen Corona-Warn-Apps.
Österreich hat sich bereits für den Umstieg auf eine dezentrale Software-Architektur ausgesprochen, dies gilt für die vom Roten Kreuz lancierte «Stopp Corona»-App.
Auch in Italien ist es in der vergangenen Woche zu einem Richtungswechsel gekommen: Laut übereinstimmenden, noch unbestätigten Berichten setzt das Gesundheitsministerium auf das DP-3T-Protokoll, bzw. eine dezentrale Lösung.
Die italienische Online-Ausgabe des «Wired»-Magazins bezog sich auf den italienischen Professor und IT-Experten Stefano Zanero sowie zwei weitere Quellen. Dies wurde durch den italienischen IT-Experten Matteo G.P. Flora bestätigt.
In den vergangenen Tagen hatte es via Social Media heftige Proteste der italienischen Zivilgesellschaft gegeben gegen eine zentrale Server-Lösung, wie sie gewisse Mitglieder der privaten europäischen Vereinigung PEPP-PT anstrebten.
Die Niederlande konzentriert sich ebenfalls auf den dezentralen Ansatz. Dies nachdem die Regierung ihr ursprüngliches Vorhaben, eine Contact-Tracing-App zu lancieren, wegen Datenschutzbedenken stoppen musste.
Auch Estland hat sich offiziell für eine nationale Corona-Warn-App mit dezentraler Funktionsweise entschieden.
Noch fraglich ist, wie die französische Regierung reagiert. In Frankreich ist das staatliche Forschungsinstitut Inria an der Entwicklung des Tracing-Protokolls «ROBERT», das auf einer zentralisierten Software-Architektur aufbaut. Das französische Parlament soll am 28./29. April entscheiden.
Gut möglich, dass es auch hier zu einem Richtungswechsel kommt, da ein Alleingang der Franzosen wenig Sinn machen würde. Erklärtes Ziel ist ja das länderübergreifende Funktionieren der nationalen Corona-Warn-Apps.
Chris Boos, Projektverantwortlicher bei PEPP-PT, hatte mehrmals versprochen, dass die europäische Software-Initiative dezentrale und zentrale Ansätze vereinen wolle. Und er sagte, es werde bei PEPP-PT an einer Lösung für die länderübergreifende Funktionsweise gearbeitet. Eine Antwort auf eine aktuelle Medienanfrage von watson steht noch aus.
Bei Grossbritannien könnte eine Kehrtwende wie bei Deutschland erfolgen, vom zentralisierten Contact-Tracing-System zu einer dezentralen Anwendung.
Die jüngsten offiziellen Äusserungen in einem Blog-Beitrag von NHSX deuten darauf hin, dass die britische Corona-Warn-App dem dezentralen Ansatz folgen könnte, jedenfalls ist von einer Zusammenarbeit mit Apple und Google die Rede.
Davor hatte die britische Regierung laut «Guardian» Verhandlungen mit Apple und Google geführt und verlangt, die Bluetooth-Restriktionen zu lockern. Ohne Erfolg.
Der «Glaubenskrieg», der längst entschieden ist
* Wissenschaftler «glauben» nicht, sondern schaffen Wissen, darum entschuldige ich mich für die saloppe Formulierung.
Mittlerweile haben über 550 renommierte Wissenschaftlerinnen und Wissenschaftler aus Europa, Nordamerika, Asien und Australien einen öffentlichen Protestbrief unterzeichnet, in dem sie den dezentralen Ansatz unterstützen.
Sie warnen eindringlich vor den Risiken einer zentralen Contact-Tracing-Lösung: Wenn pseudonymisierte User-Daten auf einem staatlich kontrollierten Server generiert und gespeichert werden sollen, ermögliche dies eine Überwachung von nie dagewesenem Ausmass.
Unter den IT-Experten, die den Protestbrief unterschrieben haben, befinden sich auch mehr als fünfzig Professoren und Professorinnen deutscher Hochschulen.
Zu den 304 Erstunterzeichnenden sind mehr als 260 weitere Unterzeichnende hinzugekommen, darunter sehr viele Mitglieder von europäischen Forschungseinrichtungen.
Dezentrale oder zentrale Lösung, wo ist der Unterschied?
Der wissenschaftliche Streit dreht sich um die Frage, wie die über die Bluetooth-Verbindungen der Smartphones erfassten Kontakte möglichst sicher und datensparsam (Privacy by Design) verarbeitet werden können.
Beim dezentralen Ansatz generieren die Smartphones über die Corona-Warn-App ihre eigenen anonymen Identifikationsnummern (Codes). Sie tauschen einen neuen Code aus, wenn sie in Kontakt kommen (über Bluetooth). Jedes Handy enthält die Liste dieser anonymen Codes.
Beim zentralen Ansatz werden die Codes stattdessen auf einem (staatlich kontrollierten) Server und nicht von den Geräten generiert. Dies ist ein wichtiger Unterschied, da es bei dieser Vorgehensweise einen Ort gibt, an dem sowohl die Kontaktdaten als auch die Schlüssel vorhanden sind, mit denen sie potenziell identifizierbar sind. Dies stellt laut unabhängigen Experten ein beträchtliches Risiko dar.
Ein Google-Sprecher erklärte gegenüber Journalisten, dass die Bluetooth-Beschränkungen in Kraft seien, weil keines der beiden Unternehmen in seinen Betriebssystemen Funktionen zur Verfügung stellen wolle, «um Überwachungsbemühungen zu ermöglichen, die missbraucht werden könnten».
Das in Cupertino ansässige Apple hat erklärt, es wolle die Technologie möglichst vielen Menschen oder zumindest jedem aktiven Apple-Gerät mit kompatiblem Bluetooth zur Verfügung stellen. Betriebssystem-Updates werden daher zumindest für iOS 13 und iOS 12 veröffentlicht.
In Lausanne wurde am Freitag die Schweizer Corona-Warn-App (DP-3T) getestet. Sie erfüllt alle Datenschutz-Kriterien, die von der Wissenschaft und von unabhängigen IT-Experten formuliert worden sind, und von Apple und Google durchgesetzt werden:
Today, the #DP3T team at EPFL assessed the accuracy of the Bluetooth protocol for measuring #SocialDistancing in the anti-#COVID19 proximity tracing app. 10 Swiss army soldiers took part in various makeshift daily life situations @gannimo @ICepfl https://t.co/lIxTGAjVGT pic.twitter.com/ZBo28YFIrt
— EPFL (@EPFL_en) April 24, 2020
Was man über Corona-Warn-Apps wissen muss
Contact Tracing meint die persönliche Rückverfolgung von Infektionsketten. Ziel ist es, die (unbemerkte) Verbreitung von gefährlichen Infektionskrankheiten einzudämmen oder im besten Fall zu stoppen. Konkret sollen alle Leute gewarnt werden, die über eine gewisse Zeit in relativ engem körperlichen Kontakt standen mit einer infizierten Person und sich angesteckt haben könnten, ohne es zu wissen.
Zu Beginn der Corona-Krise in der Schweiz wurde Contact Tracing übers Telefon gemacht, das heisst, Infizierte (in Quarantäne) wurden zu ihrem Umfeld befragt, das sie vielleicht angesteckt hatten. Wegen der exponentiellen Zunahme der Covid-19-Infektionen war dieses System allerdings bald einmal überlastet, es wird aber in der Phase nach der Lockerung der staatlichen Zwangsmassnahmen («Lockdown»), wenn es wenige Covid-19-Fälle gibt, flächendeckend betrieben von den kantonsärztlichen Diensten.
Digitales Contact Tracing funktioniert per Smartphone-App. Die Mobilgeräte registrieren über ihre Bluetooth-Verbindung automatisch und anonym, wenn sie sich über eine gewisse Zeit in unmittelbarer Nähe zueinander befunden haben. Dieses Verfahren wird auch als Proximity Tracing bezeichnet. Erst später, bzw. nur wenn eine Infektion durch einen medizinischen Test bestätigt worden ist, kann die erkrankte Person andere App-User, die sie vielleicht angesteckt hat, schnell und diskret warnen.
Singapur hat im März 2020 als einer der ersten Staaten eine auf der Messung von Bluetooth-Low-Energy-Signalen basierende App namens TraceTogether lanciert, wobei die Funktionalität eingeschränkt ist, weil der Datenaustausch zwischen iPhones und Android-Geräten nicht gut funktionierte. In Europa und weltweit werden nun Proximity-Tracing-Apps lanciert, die dieses Problem nicht haben, weil Apple und Google bei iOS und Android auf Betriebssystem-Ebene eine Schnittstelle zur Verfügung stellen.
Beim dezentralen Ansatz gilt der Grundsatz Privacy by Design: Die Datenverarbeitung (zur Berechnung des Infektionsrisikos) erfolgt auf den Mobilgeräten. Nur bei einer offiziell bestätigten Infektion und der Einwilligung des Users werden dessen anonymisierte Proximity-Daten (Schlüssel) an einen Server überragen, die es ermöglichen, Dritte zu warnen, und den Datenschutz zu gewährleisten.
Beim zentralen Ansatz werden die Proximity-Daten an einen staatlich kontrollierten Server übermittelt, wo das Infektionsrisiko berechnet wird. Diese System-Architektur ist von über 500 Wissenschaftlerinnen und Wissenschaftlern rund um den Globus als problematisch bezeichnet worden, weil der System-Betreiber nachträglich und heimlich Funktionen ändern («Function Creep») oder zusätzliche Funktionen einführen könnte («Mission Creep»).
Apple und Google unterstützen dezentrale Proximity-Tracing-Apps durch eine technische Kooperation. Sie stellen autorisierten App-Entwicklern eine Programmierschnittstelle (API) zur Verfügung, die Corona-Warn-Apps zuverlässige Bluetooth-Distanzschätzungen und Datenaustausch zwischen Android- und iOS-Geräten ermöglicht. Zudem haben die US-Techkonzerne das Proximity Tracing direkt in die weltweit dominierenden mobilen Betriebssysteme integriert.
Freiwillige Nutzung ist laut Apple und Google Bedingung und wird auch von der Schweizer Corona-Warn-App «SwissCovid» umgesetzt. Das heisst, digitales Contact Tracing kann nicht vom Staat erzwungen werden, sondern erfolgt nur mit Zustimmung der User (Opt-in).
