So sei die COVID-19-App der Deutschen Telekom offenbar mit der "heißen Nadel" gestrickt worden.
"Getestete auf das Coronavirus sollten damit ja schneller an ihr Testergebnis kommen. Sie erhalten nach dem Test einen QR-Code. Den scannen sie mit ihrem Smartphone ein und können so das Testergebnis abfragen. Ein Zertifikate-Fehler hat da allerdings zu einer Datenpanne geführt."
Mit der heißen Nadel gestrickt hatte auch Bundesgesundheitsminister Jens Spahn, als er ein weitgehendes Mobilfunktracking der Bevölkerung forderte, um Kontakte von Corona-Infizierten schneller nachverfolgen und die Menschen in Quarantäne bringen zu können, so Welchering weiter.
Die Forderung nach digitalen Werkzeugen für die schnellere Nachverfolgung von Kontakten Infizierter gibt es nach wie vor.
"Und deshalb wurde das Konzept einer Plattform von mehr als 130 Mitgliedern aus Wissenschaft und Unternehmen, die sich etwas umständlich Pan European Privacy Preserving Proximity Tracing (pepp-pt) nennt, auch als eine Art Heilsbringer in Pandemie-Zeiten gefeiert."
Dabei seien die Vor- und Nachteile, die Wirksamkeit und die Risiken dieser Technologie nicht ausreichend diskutiert worden.
Konzepte für eine schnellere Erfassung von COVID-19-Infizierten
Solche Konzepte zur Nachverfolgung von Kontakten von infizierten Menschen werden gerade von verschiedenen Gruppen entwickelt. Doch die Arbeit der Pepp-Pt-Plattform ist dabei am breitesten in den Medien dargestellt worden, nicht zuletzt, weil auch die Bundeswehr sich hier an entsprechenden Feldtests beteiligt hat.
"Es geht darum, dass man eine App herunterlädt, freiwillig herunterlädt und dass diese App dann ermöglicht, über eine Bluetooth-Applikation, also über bestimmte Strahlen und Wellen, zu merken, ob ein anderes Handy über eine längere Zeit in der Nähe seines eigenen Handys gewesen ist. Voraussetzung ist natürlich, dass diese Handys beide dann diese Applikationen runtergeladen haben. Und das ermöglicht den Gesundheitsämtern später natürlich ein viel, viel schnelleres Erkennen von möglichen Kontaktpersonen."
So beschrieb Lothar Wieler, der Präsident des Robert-Koch-Institutes, am 3. April in der Pressekonferenz zur Pandemie-Lage jenes Tracing-Werkzeug, auf das die Politik so große Hoffnungen setzt. Denn zurzeit verfolgen die Gesundheitsämter die Kontakte eines Menschen, der positiv auf das Coronavirus getestet wurde, mit Bleistift, Papier und dem Telefon. Sie wollen die Kontaktpersonen ja in Quarantäne bringen, um so die Infektionsketten zu unterbrechen. Doch die Gesundheitsämter sind mit dieser Aufgabe bisher ziemlich überfordert. Lothar Wieler:
"Solange wir keinen Impfstoff haben, werden wir die Krankheit haben, und solange wird eine große Last auf den Gesundheitsämtern ruhen. Die Gesundheitsämter müssen immer wieder Ausbrüche erkennen und niederschlagen, und dafür ist jede Hilfe wichtig. Und wir brauchen Menschen. Sie brauchen digitale Tools, und Sie brauchen natürlich auch dann Testsysteme, um zu testen, ob Kontakt-Nachverfolgungen positiv oder negativ sind.
"Es geht darum, dass man eine App herunterlädt, freiwillig herunterlädt und dass diese App dann ermöglicht, über eine Bluetooth-Applikation, also über bestimmte Strahlen und Wellen, zu merken, ob ein anderes Handy über eine längere Zeit in der Nähe seines eigenen Handys gewesen ist. Voraussetzung ist natürlich, dass diese Handys beide dann diese Applikationen runtergeladen haben. Und das ermöglicht den Gesundheitsämtern später natürlich ein viel, viel schnelleres Erkennen von möglichen Kontaktpersonen."
So beschrieb Lothar Wieler, der Präsident des Robert-Koch-Institutes, am 3. April in der Pressekonferenz zur Pandemie-Lage jenes Tracing-Werkzeug, auf das die Politik so große Hoffnungen setzt. Denn zurzeit verfolgen die Gesundheitsämter die Kontakte eines Menschen, der positiv auf das Coronavirus getestet wurde, mit Bleistift, Papier und dem Telefon. Sie wollen die Kontaktpersonen ja in Quarantäne bringen, um so die Infektionsketten zu unterbrechen. Doch die Gesundheitsämter sind mit dieser Aufgabe bisher ziemlich überfordert. Lothar Wieler:
"Solange wir keinen Impfstoff haben, werden wir die Krankheit haben, und solange wird eine große Last auf den Gesundheitsämtern ruhen. Die Gesundheitsämter müssen immer wieder Ausbrüche erkennen und niederschlagen, und dafür ist jede Hilfe wichtig. Und wir brauchen Menschen. Sie brauchen digitale Tools, und Sie brauchen natürlich auch dann Testsysteme, um zu testen, ob Kontakt-Nachverfolgungen positiv oder negativ sind.
Und das alles, was diese Arbeit beschleunigt, das alles rettet in Deutschland Menschenleben. Und das ist eines von vielen Werkzeugen. Und wir bauen immer mehr Werkzeuge auf, um die Gesundheitsämter zu unterstützen."
Diese digitalen Werkzeuge müssen aber ausreichend sicher konstruiert sein. Und sie sollen möglichst umfassend die Privatsphäre der Menschen schützen. Deshalb müssen die Codes, die die Smartphones austauschen, wenn Menschen in einer Entfernung von einem bis drei Meter zusammenkommen, gut verschlüsselt sein.
Diese digitalen Werkzeuge müssen aber ausreichend sicher konstruiert sein. Und sie sollen möglichst umfassend die Privatsphäre der Menschen schützen. Deshalb müssen die Codes, die die Smartphones austauschen, wenn Menschen in einer Entfernung von einem bis drei Meter zusammenkommen, gut verschlüsselt sein.
Damit solch sensibler Code nicht so einfach einem bestimmten Handy zugeordnet werden kann, muss er in regelmäßigen Abständen gewechselt werden. Jedes Smartphone speichert also zwei Listen oder Tabellen mit Codes. Linus Neumann vom Chaos Computer Club erläutert die Methode in der Talk-Sendung "Markus Lanz" so:
"Ich hätte also jetzt in meinem Handy nachher quasi zwei Tabellen. in der einen steht drin: Diese Codes habe ich gesendet. In der anderen steht drin: Diese Codes habe ich empfangen. Bis dahin ist alles anonym, anonym und auch nur das ist sehr schön auf den Geräten gespeichert."
In Singapur oder Südkorea werden diese Kontakt-Code-Listen zusammen mit der Handy-Telefonnummer auf Servern der Gesundheitsbehörden gespeichert. Das allerdings soll in Deutschland nicht passieren. Denn die Identität der Smartphone-Besitzer soll gerade nicht aufgedeckt werden. Linus Neumann:
"Ich werde jetzt diagnostiziert als infizierte Person und hegen den Wunsch, meine Kontakte der letzten Zeit zu alarmieren und sie zu warnen. Und jetzt ist der entscheidende Punkt: Wie viel der bisher gesammelten Anonymität gebe ich jetzt preis, um andere zu warnen?"
In Singapur oder Südkorea werden diese Kontakt-Code-Listen zusammen mit der Handy-Telefonnummer auf Servern der Gesundheitsbehörden gespeichert. Das allerdings soll in Deutschland nicht passieren. Denn die Identität der Smartphone-Besitzer soll gerade nicht aufgedeckt werden. Linus Neumann:
"Ich werde jetzt diagnostiziert als infizierte Person und hegen den Wunsch, meine Kontakte der letzten Zeit zu alarmieren und sie zu warnen. Und jetzt ist der entscheidende Punkt: Wie viel der bisher gesammelten Anonymität gebe ich jetzt preis, um andere zu warnen?"
Kritiker befürchten "Demaskierung der Smartphone-Nutzer
Das Standardmodel sieht nun vor, die Listen mit den gesendeten und empfangenen Codes auf einen zentralen Server hochzuladen. Der soll dann an die Smartphones, die von einem infizierten Smartphone-Besitzer Codes empfangen haben, seine gesendeten Codes der vergangenen zwei oder drei Wochen zusammen mit einer Warnmeldung verschicken. Dafür muss der Serverbetreiber allerdings die Adressen der Smartphones wissen, an die die Warnmeldung verschickt werden soll. Das darf auf keinen Fall die Telefonnummer sein. Hier soll mit einer verschlüsselten digitalen Adresse gearbeitet werden. Linus Neumann.
"Das ist am Ende eine Hoch-Risiko-Technologie, in der natürlich mein Handy Kontakte speichert, wen ich wann gesehen habe. Je nachdem, welche Daten noch mit dazu genommen werden, kann natürlich sofort eine Demaskierung dieser anonymen Daten stattfinden."
"Das ist am Ende eine Hoch-Risiko-Technologie, in der natürlich mein Handy Kontakte speichert, wen ich wann gesehen habe. Je nachdem, welche Daten noch mit dazu genommen werden, kann natürlich sofort eine Demaskierung dieser anonymen Daten stattfinden."
Deshalb sieht ein anderer Ansatz vor, dass die Liste mit den gesendeten Codes im Falle positiver Testergebnisse auf den Server hochgeladen wird. Alle Smartphones fragen diese Codes in regelmäßigen Intervallen ab und vergleichen sie mit den bei ihnen gespeicherten Codes. Kommt es zu einer Übereinstimmung, wissen die Smartphone-Besitzer, dass sie Kontakt hatten mit einem positiv Getesteten.
Manche der vorgestellten Konzepte seien bereits im Einsatz, erklärte Dlf-IT-Experte Peter Welchering:
"Wo es um das reine Mobilfunk-Tracking geht, das betreiben schon sehr viele Länder, von China über Südkorea und Singapur bis hin zu Israel, die ja bekanntlich ihren Inlandsgeheimdienst mit dem Kontakt-Tracking und der Überwachung von Quarantäne-Maßnahmen beauftragt haben."
"Wo es um das reine Mobilfunk-Tracking geht, das betreiben schon sehr viele Länder, von China über Südkorea und Singapur bis hin zu Israel, die ja bekanntlich ihren Inlandsgeheimdienst mit dem Kontakt-Tracking und der Überwachung von Quarantäne-Maßnahmen beauftragt haben."
Im Rahmen von Quarantäne-Maßnahmen setzten auch osteuropäische Länder bereits Apps fürs Tracking ein, teilweise in Kombination mit Selfie-Apps.
"Und die klassischen Hersteller von Tracking- und Spionagesoftware haben sich natürlich auch schon bei einigen Regierungen in Stellung und ins Geschäft gebracht."
In Deutschland sei ein solches Vorgehen aufgrund der sehr hohen Datenschutzstandards vorerst nicht zu erwarten, erklärte Peter Welchering im Dlf - auch wenn eine solche App nach Einschätzung der "pepp-pt-Plattform" bereits ab Mitte April technisch möglich wäre.
Handy-IDs sind rückrecherchierbar
Risiken gebe es zum Beispiel bei der Generierung der Handy-IDs.
"Die müssen wirklich komplett zufällig erzeugt werden, damit sie als Pseudonyme nicht allzu leicht rückrechenbar sind. Nun wollen aber einige Entwickler hier Ländercodes in die IDs einarbeiten, damit auch grenzüberschreitend, aber dennoch zielgerichtet pro Land gearbeitet werden kann. Werden solche Ländercodes eingefügt, ist so eine ID leichter rückrechenbar, der Smartphone-Besitzer also identifizierbar."
Zum anderen dürften die Liste mit den eigenen gesendeten Codes und die Liste mit den empfangenen Codes nicht zusammengeführt werden, so Peter Welchering weiter.
"Dadurch sind solche IDs auch rückrechenbar. Wenn die im Fall einer Warnmeldung auf einen zentralen Server gespielt werden, müssen die nach erfolgter Warnmeldung dort sofort gelöscht werden. Denn das ist eine hochriskante Datensammlung, aus der zu Beispiel Identitäten der positiv Getesteten dann wunderbar rückgerechnet werden können.
Auswertung von Smartphone-Daten - Mit digitalen Mitteln gegen das Coronavirus
Können digitale Mittel dabei helfen, die Ausbreitung des Coronavirus zu bremsen? Eine Überwachung einzelner Personen per Smartphone wie in China und Südkorea hält der Dlf-IT-Experte Peter Welchering für unwahrscheinlich.
Können digitale Mittel dabei helfen, die Ausbreitung des Coronavirus zu bremsen? Eine Überwachung einzelner Personen per Smartphone wie in China und Südkorea hält der Dlf-IT-Experte Peter Welchering für unwahrscheinlich.
Risikofaktor zentraler Server
Allerdings sei die zentrale Datenverarbeitung immer ein Risiko.
"Hier kommt hinzu, dass einige Modelle ja einen Push-Token für die Benachrichtigung vorsehen. Also zusammen mit der Liste meiner gesendeten IDs lade ich auch eine Liste der empfangenen IDs hoch, damit die dahinter steckenden Smartphones benachrichtigt werden können. Der Push-Token muss also mit irgendeiner Art digitaler Adresse der zu benachrichtigenden Smartphones arbeiten. Je nachdem, wie diese Adresse strukturell aussieht und ob der Push-Token mit den IDs zusammengebracht werden kann, lässt sich dadurch auch auf Identitäten zurückrechnen."
Das Problem mit den Standortdaten
Ähnlich sähe es aus, wenn die Smartphones von sich aus die auf dem Server hinterlegten IDs abfragen und mit den auf ihrem Smartphone gespeicherten vergleichen würden, so Peter Welchering:
"Auch in diesem Fall müssen die Verbindungen vom Smartphone zum Server geschützt sein. Die Speicherdauer der IDs wäre in einem solchen Fall etwas länger als bei der Push-Lösung, weil ja sichergestellt werden muss, dass die Smartphones mit ihren jeweiligen Abfrage-Intervallen auch alle an die IDs kommen müssen. Und da wären wir bei einem weiteren Punkt: Es muss auch sichergestellt sein, dass Standortdaten, wie sie von Mobilfunk-Providern oder sozialen Netzwerken via Smartphone erhoben werden, nicht mit den IDs zusammengebracht werden. Wenn eine Behörde das will, dann macht sie das. Ich sehe nicht, wie das aus rein technischer Sicht zu verhindern wäre."
"Auch in diesem Fall müssen die Verbindungen vom Smartphone zum Server geschützt sein. Die Speicherdauer der IDs wäre in einem solchen Fall etwas länger als bei der Push-Lösung, weil ja sichergestellt werden muss, dass die Smartphones mit ihren jeweiligen Abfrage-Intervallen auch alle an die IDs kommen müssen. Und da wären wir bei einem weiteren Punkt: Es muss auch sichergestellt sein, dass Standortdaten, wie sie von Mobilfunk-Providern oder sozialen Netzwerken via Smartphone erhoben werden, nicht mit den IDs zusammengebracht werden. Wenn eine Behörde das will, dann macht sie das. Ich sehe nicht, wie das aus rein technischer Sicht zu verhindern wäre."
