Immer eine Frage des Vertrauens

Von Oliver Stenzel (Interview)

Datum: 06.05.2020

Wie lässt sich die Privatsphäre bei Corona-Tracing-Apps schützen? 300 internationale IT-Wissenschaftler haben dazu einen offenen Brief veröffentlicht, in dem sie Mindeststandards fordern. Jörn Müller-Quade, Professor für Kryptographie und Sicherheit am Karlsruher Institut für Technologie, ist einer von ihnen.

Eine App aufs Smartphone und zack ist erkannt, wer wem nahe kam. Foto: Joachim E. Röttgers

Herr Müller-Quade, die Diskussion um sogenannte Corona-Apps ist verwirrend. Im März hatte sich Jens Spahn kurz für eine Tracking-App mittels GPS und Standortdatennutzung ausgesprochen, es gibt seit Anfang April eine App vom Robert-Koch-Institut (RKI), und die letzten Wochen ist viel die Rede von verschiedenen Ansätzen für Tracing-Apps via Bluetooth. Können Sie einen kurzen Überblick geben?

Das sind verschiedene Konzepte. Bei der RKI-App ist die Idee, dass Nutzer von Fitnessarmbändern Daten spenden, zum Beispiel zur Körpertemperatur, um damit Rückschlüsse auf mögliche Corona-Infektionen zu erlauben. Bei den Tracing-Apps geht es um etwas anderes: Sie haben als minimale Funktionalität, dass, wenn jemand als Corona-positiv diagnostiziert wurde, dann die Leute gewarnt werden, die diese Person nahe genug und lange genug getroffen haben. Im Moment ist es so, dass infizierte Personen befragt werden und sich mühsam zurückerinnern müssen, wen sie wo wann getroffen haben, wo sie überall waren. Die Idee ist nun, mit Hilfe von Handys diese "Traces", also Spuren, viel besser als aus der Erinnerung heraus rekonstruieren und damit Infektionsketten verfolgen zu können. Denn Handys haben bestimmte Funktionen, sie wissen beispielsweise durch GPS, wo Sie sind.

Jörn Müller-Quade, Professor für Kryptographie und Sicherheit am Karlsruher Institut für Technologie. Foto: KIT

Gerade das klingt für viele bedrohlich. "Überwachung grassiert", wurden etwa verschiedene Ansätze von Corona-Apps kritisiert.

So einfach erzählt, ist das auch ein Überwachungsalptraum. Und deshalb gibt es von IT-Sicherheitsexperten und Kryptographen Vorschläge, die die Privatsphäre schonen. Ein Vorschlag ist beispielsweise, dass ein Handy über die Funktechnik Bluetooth Low Energy, die nur eine sehr begrenzte Reichweite hat, ständig neue zufällig generierte Namen sendet, sogenannte pseudonyme Benutzer-IDs, die von anderen Nutzern dieser App, die sich in der Nähe befinden, empfangen werden. Im Falle einer Infektion eines App-Nutzers können dadurch die Nutzer, die einen ausreichend langen Kontakt hatten, informiert werden.

Hierzu gibt es gerade zwei Lösungen, die in der Diskussion sind: eine zentrale, mit einer zentralen Speicherung der pseudonymisierten IDs, wie sie die paneuropäische Plattform Pepp-PT verfolgt und die die Bundesregierung lange favorisiert hat. Und eine dezentrale, die das Europäische Parlament schon am 17. April empfohlen hat und auf die vergangene Woche auch die Bundesregierung eingeschwenkt ist. Was unterscheidet diese beiden Lösungen?

Bei einer zentralen Lösung gehen alle gesendeten zufälligen IDs auf eine zentrale Datenbank, auf einen Server – in Deutschland könnte der beispielsweise vom RKI betrieben werden. Dieser Server verwaltet die Daten und übernimmt das "Matching", also informiert im Falle einer diagnostizierten Infektion eines App-Nutzers mit Hilfe der aufgezeichneten IDs die Kontaktpersonen. Bei der dezentralen Lösung gibt es eine solche zentrale Speicherung nicht: Wenn jemand infiziert ist, dann werden einfach alle die zufälligen IDs, die sein Handy ausgesendet hat, an alle anderen Handys mit der App geschickt. Und bei diesen vergleicht dann die App diese Pseudonyme mit denen, die sie selber schon empfangen hat, kann also erkennen, ob es einen Kontakt mit einer infizierten Person gab, und ihren Nutzer informieren. Ein Server dient bei dieser Lösung nur zur Datenübertragung, nicht zur Speicherung.

Sie gehören, neben 300 anderen internationalen Wissenschaftlern, zu den Unterzeichnern eines offenen Briefes, des "Joint Statement on Contact Tracing", das für dezentrale Lösungen plädiert. Warum?

Vier Kriterien als Grundlage

"Auch wenn die Wirksamkeit von Contact Tracing Apps bislang kontrovers bewertet wird, müssen wir sicherstellen, dass diejenigen App-Lösungen, die umgesetzt werden, die Privatsphäre ihrer Nutzer bewahren" – das ist einer der zentralen Sätze des "Joint Statement on Contact Tracing", eines offenen Briefs, der am 19. April veröffentlicht und von rund 300 internationalen Wissenschaftlern aus dem Bereich der IT-Sicherheit unterzeichnet wurde. Vier Kriterien müssen nach ihrer Ansicht Tracing Apps dringend erfüllen: Zweckgebundenheit, also eine Verwendung nur zur Eindämmung von Covid-19. Transparenz, also eine vollständige Offenlegung und damit Prüfbarkeit des Quelltexts der App. Privatsphärenschutz – wenn es mehrere Umsetzungsmöglichkeiten gibt, ist immer die zu wählen, die dies am besten gewährleistet. Freiwilligkeit – die Nutzung muss grundsätzlich freiwillig sein, und der Nutzer muss die Möglichkeit haben, die App zu deaktivieren. Interessant dabei: Diese Kriterien entsprechen nahezu exakt denen, die der Chaos Computer Club (CCC) in seinen am 6. April veröffentlichten "Prüfsteinen für Contact-Tracing-Apps" als "gesellschaftliche Anforderungen" auch genannt hatte – neben weiteren, technischen Anforderungen. (os)

Zumindest in der IT-Sicherheit sind sich alle einig, dass man nicht gerne eine zentrale Lösung hätte. Zentrale Lösungen haben ein höheres Missbrauchspotenzial, weil die erhobenen Daten Einblicke in die Privatsphäre erlauben könnten. Auch könnte eine zentrale Lösung ein interessantes Ziel von Hacker-Angriffen sein. Die dezentrale Lösung ist insofern im Vorteil, als keine zentrale Instanz etwas lernt, sie ist also datenschutzfreundlicher, privatsphärenfreundlicher. Aber man muss auch sagen: So eine naive Lösung, bei der Daten und Ort im Klartext verwaltet werden, wurde zumindest in Europa auch gar nicht vorgeschlagen. Denn auch die Pepp-PT-Lösung, von der jetzt die Bundesregierung Abstand nimmt, benutzt zufällige IDs, die sich ständig ändern, bloß dass dieses "Matching", ob ich jetzt einem Infizierten begegnet bin oder nicht, tatsächlich zentral gemacht wird.

Weswegen wird die Pepp-PT-Lösung von IT-Sicherheitsexperten trotzdem eher abgelehnt?

Die Befürchtung ist, dass man diesen zentral gesammelten Daten trotz Pseudonymisierung immer noch einiges ansieht. Auch ohne Klarnamen kann man gewisse Rückschlüsse ziehen wie: Jemand trifft viele andere, oder jemand trifft nicht viele andere. Und es ist zumindest denkbar, dass jemand einige der Personen hinter den Pseudonymen doch kennt, weil er die irgendwo beobachtet hat – die Person, die den Server verwaltet, läuft ja vielleicht selber mit dem Handy herum, oder mit mehreren, und könnte dann mit Hilfe der aufgeschnappten und der zentral verwalteten und pseudonymisierten Daten doch sehr viel rekonstruieren. Ein Ansatz dazwischen wäre, die Verarbeitung der Daten auf mehrere Server zu verteilen. Die müssten erst alle zusammenarbeiten, um die Privatsphäre zu verletzen.

Sind dezentrale Lösungen grundsätzlich besser, was den Schutz der Privatsphäre angeht?

Nicht immer. Ein Beispiel: Insbesondere, wenn die App quelloffen ist – was ja auch IT-Experten verlangen –, könnten Sie theoretisch bei sich eine Variante installieren, die Sie anders programmiert haben und die alle Pseudonyme mit Ort und Zeit mitloggt, also aufzeichnet. Wenn Sie dann wegen Kontakt zu einem Infizierten gewarnt werden und sehen dessen Pseudonym, könnten Sie dadurch sofort wissen, wer das ist. Dass dezentrale Lösungen privatsphärenfreundlicher sind, stimmt also auch nicht immer, weil bei ihnen ein korrumpierter Teilnehmer im Prinzip eher erfahren kann, wer von den Personen, denen er begegnet ist, infiziert war.

Keine Lösung ist also rundum perfekt?

Im Prinzip läuft es auf ein Vertrauensmodell hinaus: Einmal misstrauen Sie den Behörden und allem Zentralen, aber vertrauen darauf, dass sich die Nutzer in weitesten Teilen wohlverhalten. Und im anderen Fall haben Sie weniger Vertrauen in die Nutzer. Denn wenn die Warnung zentral erfolgt, dann weiß die gewarnte Person nicht, wem sie begegnet ist, dann erfährt sie nur: Ich bin jemandem begegnet, der infiziert war. Punkt. Dann kann man einen Test machen lassen oder in Quarantäne gehen. Das ist vielleicht auch eine kulturelle Frage. Ich könnte mir vorstellen, dass man in Deutschland eher geneigt wäre, zentralen Gesundheitsbehörden zu vertrauen als in anderen Ländern.

Richtige Entscheidung aus falschen Gründen?

Anfang April noch hatten sich über 130 Wissenschaftler aus ganz Europa zur Plattform Pepp-PT (Pan European Privacy-Protecting Proximity Tracing) zusammengeschlossen, um mit ihrer Hilfe schneller App-Lösungen zu entwickeln, die Kontaktpersonen von Corona-Infizierten warnen und Infektionsketten nachvollziehen lassen. Nur drei Wochen später haben sich mehrere renommierte Wissenschaftler und Forschungsinstitutionen von Pepp-PT losgesagt. Sie kritisierten die Initiative unter anderem für mangelnde Transparenz und die Verfolgung eines Ansatzes, der auf eine zentrale Datenbank zur Verwaltung der Daten der App-Nutzer setzt, und sie beteiligen sich nun an einem neuen Projekt: an DP-3T (Decentralized Privacy-Preserving Proximity Tracing), das auf einen dezentralen Ansatz setzt, der privatsphärenfreundlicher ist. Auch der offene Brief "Joint Statement on Contact Tracing" der 300 internationalen Wissenschaftler kann, obwohl Pepp-PT nicht erwähnt wird, als Kritik an der Initiative gesehen werden.

Verwirrend auch die Politik: Am 17. April sprach sich das EU-Parlament klar für eine dezentrale, transparente Lösung aus, die Bundesregierung aber favorisierte lange einen zentralen Ansatz. Dabei wurde über die Rolle von Pepp-PT-Initiator Chris Boos gemutmaßt, der im Digitalrat der Bundesregierung sitzt und gute Beziehungen zu Kanzleramtsminister Helge Braun haben soll. Am 26. April schwenkte die Bundesregierung dann aber doch auf die dezentrale Lösung um, also die von Datenschützern und IT-Sicherheitsexperten favorisierte. "Positiv überrascht" zeigte sich etwa Anke Domscheit-Berg, die netzpolitische Sprecherin der Linken-Bundestagsfraktion.

Aber womöglich tat die Regierung dabei, zumindest aus Sicht mancher Kritiker, das Richtige aus den falschen Gründen: Eine entscheidende Rolle spielte offenbar der Druck von Google und Apple, die sich beide für einen dezentralen Ansatz ausgesprochen haben. Und weil sie auf ihren Handy-Betriebssystemen Android und IOS Schnittstellen ermöglichen müssen, damit die Apps überhaupt in der angestrebten Art und Weise laufen können, ist die Verhandlungsposition der beiden Tech-Giganten schwer kleinzureden. Die Bundesregierung habe sich "dem Diktat der Digitalkonzerne gebeugt", kritisiert etwa Detlef Schmuck, Geschäftsführer des Datendienstes Team Drive. Das sei eine Zäsur und lasse wenig Gutes für die Zukunft hoffen. (os)

Nun könnte man ja auch sagen: Vertrauen ist gut, die Vermeidung jeglichen staatlichen Zugriffs ist besser.

Aus Sicht des Schutzes vor Massenüberwachung ist die dezentrale Lösung auf jeden Fall vorzuziehen. Hat man aber Angst vor Stigmatisierung der Infizierten, dann ist eine eher zentralisierte Lösung besser. Es gibt also Unterschiede, aber die sind subtil.

Was würden Sie nun vorschlagen?

Wenn man mich jetzt ganz pragmatisch fragt: Ich würde möglichst schnell eine App bringen, und würde dann aber sagen, dass es einen Stichtag geben muss, an dem diese App entweder komplett abgeschaltet und die Daten gelöscht sein müssen oder sie abgelöst wird durch eine noch besser entwickelte App. Es ist schon jetzt ziemlich gut, was vorgeschlagen wird, und ich fände es schade, wenn diese Diskussion jetzt diesen App-Ansatz verhindert. Denn ich glaube, dass ein besseres Tracing – bessere Warnmöglichkeiten, eine bessere Rückverfolgung der Infektionsketten – weitere Lockerungen der Corona-Maßnahmen ermöglichen könnte. Diese Maßnahmen sind ja Einschränkungen unserer Grundrechte, und wenn nun eine App helfen kann, diese zurückzunehmen, dann wäre ich im Moment ein bisschen pragmatisch. Sofern bestimmte Kriterien eingehalten werden.

Im offenen Brief der 300 Wissenschaftler sind vier zentrale Anforderungen genannt: Neben dem Schutz der Privatsphäre sind dies noch Zweckbindung, Transparenz und Freiwilligkeit.

Zentral ist, dass alle Leute, die mit den Daten in Berührung kommen, sich verpflichten müssten – und dafür haften müssten –, dass die Grundregeln der Datenschutzgrundverordnung eingehalten werden. Und da ist der wichtigste Punkt die Zweckbindung. Das heißt, auf keinen Fall dürfen diese Daten für irgendetwas anderes – etwa Marketing – verwendet werden, sondern wirklich nur für diese Medizinanwendung.

Zur Forderung nach Transparenz, dass der Quellcode einsichtig ist. Was ist daran so wichtig?

Wenn der Quellcode nicht einsichtig ist, dann ist die Anwendung für Sie wie eine Black Box. Das heißt, Sie wissen im schlimmsten Fall gar nicht, ob diese Pseudonyme, die beispielsweise ausgesendet werden, nicht doch irgendwie heimlich Ihren Namen enthalten. Und wenn man jetzt die Gelegenheit hätte, auf ganz viele Handys unter dem Deckmantel der guten Tat eine Überwachungs-App aufzuspielen, dann kann man so etwas nur durch Transparenz verhindern.

Transparenz betrifft ja zum einen die App als solche, zum anderen aber auch die Schnittstellen, die das Betriebssystem des Handys enthalten muss, damit die App überhaupt läuft. Und die Betriebssysteme sind meistens von Apple und Google, die sich im Falle der Tracing-Apps zwar sehr entgegenkommend zeigen, aber deren Rolle angesichts ihrer Datensammelwut auch sehr kritisch gesehen wird.

Zu allererst finde ich es gut, dass Google und Apple sagen, wir wollen es bestimmten Apps ermöglichen, selbst wenn die App nicht im Vordergrund läuft, im Hintergrund Bluetooth verwenden zu dürfen. Das ist zu Recht den meisten Apps verboten, weil die sonst wer weiß was für Schindluder treiben würden. Einerseits also erst einmal positiv. Andererseits ist es natürlich so, dass wir zu Recht ein tiefes Misstrauen haben, wenn Unternehmen, die mit Daten Geld verdienen, diese Daten auch irgendwie mitverwalten. Und das ist leider ein gewisses Problem, bei dem ich im Moment auch noch nicht weiß, wie eine Lösung aussehen könnte. Zumal Apple und Google gar nicht unter europäischer Gerichtsbarkeit stehen. Und zumal sie, falls sie irgendeine Zusatzfunktion einbauen würden, es wahrscheinlich so raffiniert machen würden, dass es letztlich doch irgendwie gesetzeskonform wäre. Oder Sie in den AGBs doch wieder zustimmen würden.

Für wie wahrscheinlich halten Sie das?

Im Moment denke ich tatsächlich: Wenn die jetzt mit Daten Schindluder treiben würden, wo es um Gesundheit geht, und bei einer App, bei der alle Leute Angst vor Missbrauch der Daten haben, wäre es für diese Firmen echt geschäftsschädigend, wenn es herauskäme. Ich würde mir trotzdem prinzipiell Gedanken machen, ob es auch irgendwie anders geht, aber ich glaube, andere Lösungen sind momentan sehr, sehr schwierig – man bräuchte vielleicht spezielle kleine Bluetooth-Geräte, die wir alle noch nicht haben.

Für Unruhe im Netz sorgte kürzlich das Gerücht, dass so eine App automatisch bei System-Updates aufgespielt werden soll. Wie beurteilen Sie das?

Das ist meines Erachtens sehr schwer zu beurteilen, denn ich glaube – aber ich bin kein Jurist –, ein automatisches Aufspielen ist noch kein Zwang, sofern die App noch nicht angeschaltet ist. Analog zu anderen Apps, die Ihnen vorgeschlagen werden, wenn Sie ein neues Smartphone gekauft haben, und die auch nicht automatisch an sind. Natürlich wäre für mich ein Problem da, wenn es beispielsweise eine europäische Lösung und eine amerikanische Lösung gäbe, und die amerikanische wäre vorab aufgespielt und würde sich nur insoweit an die Datenschutzgrundverordnung halten, dass man den AGBs zugestimmt hat, aber danach würden die Daten von Apple oder Google anders verwendet. Das fände ich tatsächlich schlimm. Aber wenn es die gleiche App wäre, bei der ich glücklich wäre, wenn wirklich ein substanzieller Teil der Bevölkerung sie bei sich hätte, dann fände ich es gut, wenn sie vorab aufgespielt wäre.

Tracking-Apps gibt's unzählige, hier eine aus China. Foto: Joachim E. Röttgers

Aber kollidiert das nicht mit dem geforderten Prinzip der Freiwilligkeit?

Nein, wenn die App zwar vorinstalliert, aber abgeschaltet ist. Ich stelle mir das so vor: Wenn Sie sie das erste Mal anklicken, wird beispielsweise gesagt: Herzlich willkommen zur Corona-Tracing-App, klicken Sie bitte hier. Und natürlich wäre es kritisch mit der Freiwilligkeit, wenn es vorab aufgespielt und angeschaltet ist. Das Stichwort heißt: Privacy by Default – Datenschutz durch datenschutzfreundliche Voreinstellungen. Das Vorabinstallieren ist meines Erachtens dafür da, dass selbst der dem Digitalen Abholdeste diese App sehr leicht zum Laufen kriegt. Und nicht auf den Playstore gehen muss und sich die App heraussuchen muss. Das wäre auch wieder ein potenzielles Sicherheitsrisiko, denn ich glaube, es wird Betrüger geben, die Apps herausbringen, die ähnlich heißen. Insofern glaube ich tatsächlich: Je einfacher es einem gemacht wird, die App zu nutzen, umso besser. Aber bitte nicht mit Zwang, und bitte auch nicht so, dass sie vorinstalliert und bereits eingeschaltet ist.

Das müssten für Sie die Grundvoraussetzungen sein?

Privacy by default, ja. Aber es gibt ja eine ähnliche Diskussion bei der Organspende, ob wir ein sogenanntes Opt-in oder Opt-out haben wollen, also ob man sozusagen etwas aktiv tun muss, um mitzumachen, oder ob man etwas aktiv tun muss, wenn man nicht mitmachen will. Und wenn man jetzt bei der Corona-App merken würde, dass sie von zu wenigen Leuten genutzt wird, um Infektionsketten zurückverfolgen zu können, dann halte ich es für theoretisch denkbar, dass am Ende eine Opt-out-Freiwilligkeit steht, der Handybenutzer die App also aktiv abschalten muss. Aber so wie die Stimmung aktuell ist, glaube ich eher, dass es zur Opt-in-Lösung kommt, dass man die App aktiv anschalten muss. Das werden die Entwicklungen zeigen. Im Moment habe ich den Eindruck, dass es bei Corona unheimlich viel Learning by Doing gibt. Es gibt ja auch schon Leute, die meckern, dass Tracing-Apps gar nichts nützen würden, bevor es sie hier überhaupt gibt.

Spielen Sie auf die Kritik an Bluetooth an, das zur Kontaktverfolgung zu unpräzise sei, weil es nicht zwischen Nutzern unterscheiden kann, die nebeneinander stehen, und solchen, die durch eine Wand oder eine Scheibe voneinander getrennt sind?

Ja, das ist eine spezielle Ausprägung der Kritik: Dass man sagt, Bluetooth ist ja gar nicht genau genug, denn es geht durch eine dünne Wand, das Virus aber nicht, und das führe zu "False Positives", falschen Alarmen. Das sind aber auch Dinge, die muss man ausprobieren. Wenn wir jetzt merken, wir haben genug Testkapazitäten, um mit ein paar "False Positives" zurechtzukommen, dann könnte so eine App enorm nützlich sein. Wenn die App aber dazu führt, dass wir unsere Testkapazität verpulvern, weil die App so irrsinnig ungenau ist, dann eher nicht. Aber das sind Sachen, die findet man raus.

Gefällt Ihnen dieser Artikel?

Unterstützen Sie KONTEXT!

Verbreiten Sie unseren Artikel

Artikel drucken

4 Kommentare verfügbar

Michael Schenk
am 11.05.2020
Antworten

Mich verwundert an dieser (sehr notwendigen) Diskussion nur, dass keiner auf die Idee kommt und ansagt, dass wir uns jetzt doch bitte jeden Abend drei Minuten Zeit nehmen und aufschreiben, mit wem wir an dem gerade vergangenen Tag bewusst Kontakt gehabt haben.

Diese Vorgehensweise ist lang nicht…

Kommentare anzeigen