Wie im letzten Beitrag angekündigt, möchte ich euch aktuelle Informationen über die am 16.06.20 in Deutschland erschienene und von der Deutschen Telekom und SAP entwickelte Corona Warn App geben.
Peter, soll ich sie herunterladen oder nicht?
Vorab, ich werde keine Empfehlungen rausgeben. Wie im letzten Beitrag erwähnt, muss sich jeder selbst damit beschäftigen und sich eine Meinung bilden. Ich versuche euch jedoch die wichtigsten Punkte so zu beschreiben, dass es jeder verstehen kann.
Lasst uns die App als Erstes mit den 10 Prüfsteinen für die Beurteilung von „Contact Tracing“-Apps vom Chaos Computer Club vergleichen.
Grundvoraussetzung ist, dass „Contact Tracing“ tatsächlich realistisch dabei helfen kann, die Infektionszahlen signifikant und nachweisbar zu senken. Diese Beurteilung obliegt der Epidemiologie. Sollte sich herausstellen, dass „Contact Tracing“ per App nicht sinnvoll und zielführend ist, muss das Experiment beendet werden.
Die App selbst und jegliche gesammelten Daten dürfen ausschließlich zur Bekämpfung von SARS-CoV-2-Infektionsketten genutzt werden. Jede andere Nutzung muss technisch so weit wie möglich verhindert und rechtlich unterbunden werden.
Der erste Teil wird sich in den nächsten Wochen zeigen und kann jetzt noch nicht beantwortet werden. Nach den ersten Stunden wurde die App bereits millionenfach heruntergeladen.
Der zweite Teil wurde meiner Meinung nach erfüllt.
Für eine epidemiologisch signifikante Wirksamkeit setzt eine „Contact Tracing“-App einen hohen Verbreitungsgrad in der Gesellschaft voraus – also Installationen auf den Smartphones möglichst vieler Menschen. Diese weite Verbreitung darf nicht durch Zwang erreicht werden, sondern kann nur durch ein vertrauenswürdiges, privatsphären-achtendes System erzielt werden. Vor diesem Hintergrund verbietet sich das Erheben von Gebühren für die Nutzung ebenso wie die Incentivierung durch finanzielle Anreize.
Menschen, die sich der Nutzung verweigern, dürfen keine negativen Konsequenzen erfahren. Dies sicherzustellen, ist auch eine Aufgabe von Politik und Gesetzgebung.
Die App muss von sich aus regelmäßig auf ihren Betrieb hinweisen, einfach temporär zu deaktivieren und dauerhaft zu de-installieren sein. Die Implementierung restriktiver Maßnahmen, bspw. die Funktion „elektronischer Fußfesseln“ zur Kontrolle von Ausgangs- und Kontaktbeschränkungen, halten wir für inakzeptabel.
Zum jetzigen Zeitpunkt (18.06.20) kann ich weder einen Verstoss der Diskriminierungsfreiheit noch einen Zwang zur Installation erkennen. Somit auch erfüllt.
Nur mit einem überzeugenden Konzept, das auf dem Grundsatz der Wahrung der Privatsphäre beruht, kann überhaupt eine gesellschaftliche Akzeptanz erreicht werden.
Dabei sollen belegbare technische Maßnahmen wie Kryptografie und Anonymisierung die Privatsphäre der Nutzer zwingend sicherstellen. Es reicht nicht, sich auf organisatorische Maßnahmen, Versprechen und «Vertrauen» zu verlassen. Organisatorische oder rechtliche Hürden gegen einen Datenabfluss sind im derzeitigen gesellschaftlichen Klima von Notstands-Denken und möglichen weitgehenden Grundrechtsausnahmen durch das Infektionsschutzgesetz nicht hinreichend.
Die Beteiligung von Unternehmen, die Überwachungstechnologien entwickeln, lehnen wir als «Covid-Washing» grundsätzlich ab. Grundsätzlich gilt: Die Nutzerinnen sollten keiner Person oder Institution mit Ihren Daten «vertrauen» müssen, sondern dokumentierte und geprüfte technische Sicherheit genießen.
Nachdem sich die Bundesregierung in der Anfangszeit nicht viele Freunde mit ihren Ideen gemacht hat, haben sie sich dann aber doch dafür entschieden, die App dezentral und anonym anzubieten. Somit ist Punkt 3 auch erfüllt.
Der vollständige Quelltext für App und Infrastruktur muss frei und ohne Zugangsbeschränkungen verfügbar sein, um Audits durch alle Interessierten zu ermöglichen. Durch Reproducible-Build-Techniken ist sicherzustellen, dass Nutzer überprüfen können, dass die App, die sie herunterladen aus dem auditierten Quelltext gebaut wurde.
Der Quelltext der App und Infrastruktur ist seit der Entwicklungsphase auf Github für alle ersichtlich. Besser geht es wahrscheinlich nicht mehr.
Ein kleiner Bereich der App ist nicht Open Source. Laut Linus Neumann vom Chaos Computer Club steht die Vermutung im Raum, dass Apple und Google ihre „Betriebsgeheimnisse“ zu der Bluetooth Technology nicht offenlegen wollen. Da es sich aber um Apple und Google handelt, müssen wir, wenn wir ihre Geräte benutzen so oder so darauf vertrauen, dass sie keinen Blödsinn mit unseren Daten anstellen. Für mich ist dieser Punkt nur teilerfüllt, aber es ist trotzdem wichtig zu erwähnen, dass der verschlossene Quellcode, der von Apple und Google ist und nicht von der App selber. Dass diese zwei Firmen in Zeiten von DSGVO mit horrenden Strafen für den Missbrauch von Gesundheitsdaten, diese im Geheimen abfliessen lassen, erscheint mir unwahrscheinlich. Zusätzlich müsste jede Person, die sich beschwert und ein iPhone oder Google Mobiltelefon benutzt, diesen Punkt akzeptieren oder das Telefon abgeben. Alles andere ist meiner Meinung nach Panikmache und/oder Ignoranz.
Ein vollständig anonymes «Contact Tracing» ohne allwissende zentrale Server ist technisch möglich. Es ist technisch nicht notwendig, alleine auf Vertrauenswürdigkeit und Kompetenz des Betreibers von zentraler Infrastruktur zu vertrauen, die Privatsphäre der Nutzer schon ausreichend zu schützen. Darauf beruhende Konzepte lehnen wir daher von vornherein als fragwürdig ab.
Hinzu kommt, dass die Sicherheit und Vertrauenswürdigkeit zentralisierter Systeme – etwa gegen die Verknüpfung von IP-Adressen mit anonymen Nutzer-IDs – für die Anwender nicht effektiv überprüfbar ist. Die Sicherheit und Vertraulichkeit des Verfahrens muss daher ausschließlich durch das Verschlüsselungs- und Anonymisierungskonzept und die Verifizierbarkeit des Quellcode gewährleistet werden können.
Die App funktioniert dezentral. Alle Benachrichtigungen, Überprüfungen und Speichervorgänge werden auf dem eigenen Mobiltelefon vorgenommen. Wenn du infiziert wurdest und in der App den Status von nichtinfiziert auf infiziert änderst, lädt sie deinen (anonymisierten) Code für zwei Wochen auf einen zentralen Server hoch. Alle anderen Geräte holen sich in regelmässigen Abständen die Codes der Infizierten und gleichen es lokal auf dem Mobiltelefon mit ihren gesammelten Codes ab.
Es dürfen nur minimale und für den Anwendungszweck notwendige Daten und Metadaten gespeichert werden. Diese Anforderung verbietet die Erfassung sämtlicher Daten, die über einen Kontakt zwischen Menschen und dessen Dauer hinausgehen, wie zum Beispiel Lokationsdaten.
Sofern lokal auf den Telefonen Daten wie Aufenthaltsorte erfasst werden, dürfen Nutzerinnen nicht gezwungen oder verleitet werden, diese Daten an Dritte weiterzugeben oder gar zu veröffentlichen. Daten, die nicht mehr benötigt werden, sind zu löschen. Auch lokal auf dem Telefon müssen sensible Daten sicher verschlüsselt werden.
Für freiwillige, über den eigentlichen Zweck des Contact Tracing hinausgehende Datenerhebungen zum Zweck der epidemiologischen Forschung muss in der Oberfläche der App eine klare, separate Einwilligung explizit eingeholt und jederzeit widerrufen werden können. Diese Einwilligung darf nicht Voraussetzung für die Nutzung sein.
Die App wurde sehr datensparsam aufgebaut. Nur die ID von euch und euren Kontaktpersonen werden gespeichert. Die IDs sind anonym und lassen sich nicht zurückverfolgen.
Die Daten, die jedes Gerät über andere Geräte sammelt, dürfen zur Deanonymisierung ihrer Nutzer nicht geeignet sein. Die Daten, die jede Person ggf. über sich weitergibt, dürfen nicht zur Deanonymisierung der Person selbst geeignet sein. Daher muss die Nutzung des Systems möglich sein, ohne dass persönliche Daten jedweder Art erfasst werden oder abgeleitet werden können. Diese Anforderung verbietet eindeutige Nutzerkennungen.
IDs für «Contact Tracing» über Drahtlostechnik (z. B. Bluetooth oder Ultraschall) dürfen nicht auf Personen zurückführbar sein und müssen häufig wechseln. Aus diesem Grund verbietet sich auch eine Verbindung mit oder Ableitung von IDs aus Kommunikationsbegleitdaten wie Push-Tokens, Telefonnummern, verwendeten IP-Adressen, Gerätekennungen etc.
Das System muss so beschaffen sein, dass weder absichtlich noch unabsichtlich Bewegungsprofile (Standortverfolgung) oder Kontakt-Profile (auf konkrete Menschen zurückführbare Muster von häufigen Kontakten) aufgebaut werden können. Methoden wie zentrales GPS/Location-Logging oder eine Verknüpfung der Daten mit Telefonnummern, Social-Media-Accounts u. ä. sind daher grundsätzlich abzulehnen.
Das Design der ID-Generierung muss so gestaltet sein, dass diese ohne den Besitz des privaten Schlüssels nicht verkettbar sind. Sie dürfen also nicht aus anderweitigen Daten abgeleitet werden. Egal auf welchem Weg IDs im Infektionsfall kommuniziert werden, muss ausgeschlossen sein, dass die gesammelten «Contact Tracing»-Daten über längere Zeiträume verketten werden können.
Auch wenn die Übermittlung einer Nachricht im System beobachtet wird (z. B. über die Metadaten der Kommunikation), darf daraus nicht geschlossen werden können, dass eine Person selbst infiziert ist oder Kontakt zu Infizierten hatte. Dies ist sowohl gegenüber anderen Nutzern als auch gegenüber Infrastruktur- und Netzbetreibern oder Angreifern, die Einblick in diese Systeme erlangen, sicherzustellen.
Die Punkte 7-10 wurden auch erfüllt. Wie bereits beschrieben, wird mit anonymen IDs gearbeitet, welche sich auch immer wieder ändern. Eine Zurückverfolgung kann praktisch ausgeschlossen werden.
Ich denke beim Thema Datenschutz wurde bei dieser App sehr gut gearbeitet und sie hat ganz sicher einen besseren Datenschutz als die Apps Whatsapp, Instagram, Facebook oder Google Maps, welche bei den meisten Personen installiert sind.
Trotzdem möchte ich, dass ihr die Tatsache im Hinterkopf behaltet, dass ein riesiges Interesse von der Regierung aber auch von Firmen an euren Daten besteht. Falls (und wirklich nur falls) es Absprachen zwischen der Regierung und Apple/Google gegeben hat, dann ist es durchaus möglich, Auswertungen wie „welche Altersgruppen oder politischen und religiösen Gruppen haben die App heruntergeladen?“ zu erstellen.
Beim Thema Sicherheit dürfen wir nicht vergessen, dass dies eine neue Technologie ist und auch relativ schnell entwickelt wurde. Die Sicherheitstest sind aktuell noch nicht 100% abgeschlossen. Auch stehen nach wie vor Probleme im Raum, wie die Möglichkeit, „Falschmeldungen“ abzusetzen, weil die ganzen Testlabore noch nicht im App angebunden sind.
Die Technische Universität Darmstadt hat zudem auch eine Sicherheitslücke gefunden, welche im allerschlimmsten Fall mit grossem Aufwand einzelne Benutzer deanonymisieren könnte. Die Beschreibung dazu findet ihr hier.
Ich bin aber auch der Meinung, dass es in der IT nie eine 100% Sicherheit geben wird.
Da ich weder in Deutschland wohne, noch Deutscher Bürger bin, werde ich mir die App nicht herunterladen. Ich bin auch nach wie vor der Meinung, dass die Corona App, maximal ein weiterer Baustein zur Bekämpfung von Covid-19 wie z.B. Abstand halten oder Maske anziehen ist.
Gerne würde ich eure Meinung dazu hören. Hinterlasst mir dafür gerne einen Kommentar.
Bleibt sicher,
euer Peter
Update zum Schweizer Anti Corona App, 27.06.20:
Seit dem 25.06.20 können auch die Schweizer Bürger eine Anti Corona App unter dem Namen "SwissCovid App" im App- als auch im Playstore herunterladen. Die App ist praktisch gleich aufgebaut, wie die grosse Schwester aus Deutschland.
Die Punkte 1-3 der 10 Prüfsteine für die Beurteilung von „Contact Tracing“-Apps wurden auch in der Schweiz erfüllt. Ich hoffe, dass vor allem Punkt 1 und 2 auch in Zukunft so bleiben. Im Gegensatz zu Deutschland hat das BAG von Anfang an Wert auf Privatsphäre gesetzt. Bei all den Diskussionen die aktuell überall laufen, sind meine Bedenken gegenüber Nichteinhaltung von der Freiwilligkeit & Diskriminierungsfreiheit immer irgendwo im Hinterkopf. Auch hoffe ich, dass die Zweckgebundenheit in Zukunft wirklich eingehalten wird und die App nicht z.B. von den Strafverfolgungsbehörden benutzt wird, um die IDs von zwei beschlagnahmten Handys auszulesen und dann sehen zu können, ob sich zwei Verdächtige Personen die letzten zwei Wochen getroffen haben.
Da der Quelltext der App und Details zur Infrastruktur seit der Entwicklungsphase auf Github für alle ersichtlich ist und war, ist Punkt 4 grösstenteils erfüllt. Auch beim Schweizer App gibt es gewisse Bereiche, die nicht 100% Open Source sind. Und auch hier lässt es sich wahrscheinlich auf die „Betriebsgeheimnisse“ von Apple und Google zurückführen.
Auch die Punkte 5-10 sind meiner Meinung nach genauso erfüllt wie bei der Deutschen App.
Die Schweiz hat sich definitiv Mühe bei der Entwicklung der App gegeben. Trotzdem möchte ich auch hier die bekannten Sicherheitsschwachstellen nicht verschweigen.
Auf der Homepage des BAG findet man ein PDF mit den bekannten Problemen.
Da sie die Tests der BAG sehr kritisch gesehen haben, haben Serge Vaudenay von der EPFL in Lausanne und Martin Vuagnoux von Base23 zudem bereits am 5. Juni eine Analyse der App veröffentlicht und mittlerweile auch ergänzt.
Auch Paul-Olivier Dehaye von personaldata.io und Joel Reardon von der University of Calgary haben sich mit ihrem Bericht kritisch gegenüber der Risikobewertung der Schweizer Regierung geäussert.
Kurz zusammengefasst, hat auch die Schweizer App die gleichen Probleme wie die Deutsche. Es könnte passieren, dass es zu Falschmeldungen kommt oder auch Benutzer der App deanonymisiert werden können.
Für mich sind die Risiken akzeptierbar. Solange Punkt 2 „Freiwilligkeit & Diskriminierungsfreiheit“ eingehalten werden, kann von mir aus gerne „jeder“ wissen, dass ich mich mit Covid-19 angesteckt habe. Ich würde dann meine 2 Wochen in Quarantäne verbringen und könnte mich danach wieder frei überallhin bewegen.
Bitte versteht mich nicht falsch, die Probleme müssen angegangen und behoben werden aber ein riesen Theater daraus zu machen, ist es nicht wert.
Hallo Peter,
vielen Dank für deine Einschätzung und die sachliche Einstufung der Punkte!
Dies hilft mir definitiv das Thema besser zu verstehen.
Ich habe die App herunterladen und aktiviert, werde aber auch weiterhin Nachrichten dazu im Auge behalten.
Beste Grüße aus DE
Michael
Freut mich, dass ich dich bei der Entscheidungsfindung unterstützen konnte. 🙂