· 

Wie funktioniert die angekündigte Corona-App?

1. Einführung

Das Corona-Virus hat die Welt immer noch fest in seinem Bann. Jetzt wurde eine App angekündigt, die ein weiteres digitales Werkzeug im Kampf gegen das Virus sein soll. Mit ihr soll nämlich die weitere Ausbreitung verhindert und die Infektionskurve abgeflacht werden. Bislang stand die Überlegung im Raum, dass man zum Messen der Wirksamkeit der bisherigen Eindämmungsmaßnahmen Handydaten verwendet, um so Verbreitungswege nachzuvollziehen - selbstverständlich anonymisiert. Allerdings haben Datenschützer rechtliche Bedenken, denn durch Kenntnis weiterer Informationen ließen sich ggf. doch mehr Informationen als eigentlich nötig aus diesen Daten ableiten. Wie wir später noch sehen werden, löst die angekündigte Corona-App diese Probleme.

Im Vergleich zu anderen Ländern, in denen der Schutz der Daten keine so große Rolle spielt wie bei uns, ist Deutschland aber sehr gut aufgestellt! Vor allem werden die in Asien eingesetzten Tracking-Technologien teilweise gegen den Willen der Nutzer eingesetzt. Ganz anders soll das beim Projekt Pepp-PT laufen. Pepp-PT steht für Pan European Privacy Protecting Proximity Tracing. Die Nutzer laden sich auf freiwilliger Basis eine App auf ihr Smartphone, die einen dann darüber informiert, wenn man sich in der Nähe einer positiv getesteten Person aufgehalten hat. Wie genau das technisch realisiert werden soll, schauen wir uns noch genauer an.


2. Was ist Bluetooth?

Zunächst einmal müssen wir klären, was Bluetooth ist, denn dieser Funk-Standard wird für das Tracing (bzw. das Tracking) verwendet. Dadurch ist eine Datenübertragung auf kurzen Distanzen möglich. Die maximale Reichweite für Bluetooth variiert je nach Gerät zwischen 10 und 100 Metern. Dieser Funk-Standard unterliegt der kontinuierlichen Weiterentwicklung und Modernisierung, die vor allem aus sicherheitstechnischer Sicht notwendig ist. Gleichzeitig spielt (wie bei allen Funk-Technologien) der Energieverbrauch eine große Rolle. Die neueren Bluetooth-Standards verfügen alle über einen Low-Energy-Mode, der besonders stromsparend ist. Es  gibt verschiedene Profile, die man bei Bluetooth einstellen kann und die festlegen, welche Art von Daten übertragen werden sollen. Mit dem Profil "HSP" kann man bspw. Headsets nutzen. Zur kabellosen Übertragung von von Musik auf Lautsprecher wird das Profil "A2DP" verwendet. 

Da Bluetooth in quasi jedem Handy verbaut ist und für die Kommunikation auf engem Raum ausgelegt ist, bietet es sich auch an, diese Funktechnologie für das Tracing zu verwenden. Mehrere Bluetooth-Geräte können zusammen ein sogenanntes Piconet bilden. Ein Piconet ist ein Personal Area Network (kurz PAN) von Endgeräten, die sich über Bluetooth verbunden haben.


3. Funktionsweise der App

Nun hast du genug Hintergrundwissen, um die Funktionsweise der App zu verstehen. Zunächst sei noch erwähnt, dass die App-Idee an sich nicht neu ist. Kurz vor der anstehenden europäischen Lösung wurde in Singapur die App "TraceTogether" veröffentlicht, die nicht so datenschutzfreundlich wie unsere europäische Antwort ist. 

Wie funktioniert es? 

  1. Der Nutzer lädt sich freiwillig eine App auf sein Smartphone und schaltet Bluetooth auf seinem Handy ein. Da das Tracing via Bluetooth funktioniert, muss man natürlich Bluetooth eingeschaltet haben.
  2. Der Nutzer bekommt von der App eine ID zugwiesen. 
  3. Auf dem Handy (und nur auf dem Handy) wird verschlüsselt eine Liste mit den IDs der Handys gespeichert, 
    - die gleichzeitig auch die App installiert haben,
    - bei denen Bluetooth eingeschaltet ist und 
    - die mindestens 15 Minuten weniger als zwei Meter voneinander enternt sind.

Ob die 15 Minuten Zeitfenster zu großzügig sind, ist natürlich zu prüfen. Man kann die Zeitspanne theoretisch beliebig anpassen. Es kommt drauf an, was die Experten im Gesundheitswesen für sinnvoll erachten.

Wenn du bspw. die ID 10 und eine andere Person die ID 3 hat und all die genannten Kriterien erfüllt wurden, dann wird auf dem jeweils anderen Handy die eigene ID gespeichert. Wer hinter den IDs steckt, bleibt anonym. Die Frage ist also, wie man jetzt diejenigen warnen soll, die mit einem Infizierten in Kontakt waren. 

Der Server kennt alle IDs der Personen, die die App auf ihrem Smartphone haben, nicht aber die Besitzer selbst. Wenn eine Person mit installierter App zum Arzt geht und positiv getestet wird, kann sie das der App mitteilen. Daraufhin sendet die App die Informationen zu den Kontaktpersonen der letzten 20 Tage an den Server, der wiederum die Apps mit den entsprechenden IDs anpingt und empfiehlt, zum Arzt zu gehen.

Auf dem Server sind erstmal nur die IDs gespeichert. Die Information, welche IDs zusammen waren, werden auf den Geräten direkt in verschlüsselter Form gespeichert. Eine Zentralisierung dieser Daten ist nämlich alles andere als unkritisch und durch diese Dezentralisierung schafft man keinen datentechnischen Single Point of Failure. 


4. Warum besser als Standort-Ortung?

Warum ist diese Vorgehensweise nun besser als die Standort-Ortung? Nun, zum einen ist Bluetooth auf die Kommunikation im kleinen Raum ausgelegt, d. h. Smartphones können leichter überprüfen, ob der Mindestabstand von zwei Metern eingehalten wurde. Die Handydaten sind nur auf bis zu 25 Metern genau, was nur wenig Aussagekraft besitzt. Zum anderen wird das Prinzip der Datensparsamkeit berücksichtigt, da nur die Informationen gespeichert werden, die tatsächlich notwendig sind, nämlich die potentiellen Risiko-Kontakte. Wer sich wann wo aufgehalten hat, ist dafür nämlich nicht relevant und wird auch nicht erfasst. Die App speichert lediglich die Informationen der letzten 20 Tage, was schon ein sehr großzügig bemessener Zeitraum ist. Ein Hacker, der die Daten von einem User stiehlt, wird mit den verschlüsselten IDs erstmal nicht viel anfangen können. Die Anonymisierung erschwert die Aussagen über konkrete Personen erheblich.

Zudem ist die Nutzung der App freiwillig. Man kann also entscheiden, ob man auf diese Art und Weise an der Eindämmung mitwirken möchte oder nicht. Bei der Weitergabe von Handydaten hat der einzelne Nutzer keine Möglichkeit, sich dagegen zu wehren.

Es wäre natürlich noch besser, wenn man diese App Open-Source auslegen würde. So hätte jeder (in der Theorie) die Chance genau zu sehen, was mit den Daten tatsächlich passiert. Ich gehe sogar davon aus, dass die App dadurch noch ein ganzes Stück sicherer werden würde, da eine große Entwickler-Community im Hintergrund sich kollektiv Gedanken über Optimierungen machen könnte. An großen Open-Source-Projekten wie Linux sieht man, dass das durchaus viele Vorteile haben kann.

 


5. Kritik

Natürlich muss man bei all diesen Vorteilen auch potentielle Probleme und Risiken berücksichtigen. Da wäre zum einen erstmal der Umstand, dass ältere Personen, die besonders zu schützen sind, in der breiten Masse entweder kein Smartphone haben oder es nicht immer mit sich führen. 

Außerdem muss man ständig Bluetooth eingeschaltet haben, was nicht jeder hat. Ich bspw. schalte Bluetooth nur dann ein, wenn ich es tatsächlich benötige (z. B. beim Musikhören über Kopfhörer). Sensible Daten würde ich auch nicht gerne mit Bluetooth übertragen, was in diesem Fall allerdings keine Rolle spielt, da man lediglich IDs überträgt. Trotzdem sollte man beachten, dass Bluetooth in der Vergangenheit schon das ein oder andere Sicherheitsproblem hatte. Doch wie bereits erwähnt: Man überträgt IDs, keine Standort-Daten oder Zeitstempel (außer diejenigen, die den Ablauf der 20 Tage identifizieren sollen; dafür reicht aber eine Tagesangabe).

Zudem sollte sichergestellt sein, dass man das Risiko eines Fehlalarms minimiert. Kann man theoretisch auch ohne einen Positiv-Test anderen mitteilen, dass man positiv ist? In den falschen Händen kann man dadurch ggf. Personen verunsichern, d. h. man muss von dem Wohlwollen und der Verantwortung anderer ausgehen. Auf der anderen Seite bedeutet die Benachrichtigung, dass jemand, den man in den letzten Tagen getroffen hat, positiv ist, nicht automatisch "Quarantäne". Es handelt sich vielmehr um eine Empfehlung, dann zum Arzt zu gehen und sich testen zu lassen. Es sollte aber jedem freistehen, ob er diesen Schritt dann auch tatsächlich geht!

In dieselbe Kerbe schlägt auch die Frage nach der Vorhersagbarkeit von IDs. Kann man diese bruteforcen? Was ist, wenn ein Hacker durch "Erraten" von IDs Fehlinformationen an den Benachrichtigungsserver schicken? Das sind alles Fragen, die man im Vorfeld klären sollte. 


6. Fazit

Ich bin ein großer Verfechter des Datenschutzes und bei Themen, die mit der Auswertung personenbezogener Daten zu tun haben, schaue ich lieber einmal zu viel statt einmal zu wenig drauf, doch ich denke, dass diese App in der breiten Masse tatsächlich die datenschutztechnisch weitaus bessere Alternative zur Auswertung von Handydaten ist.