Corona-App: „Keine perfekte Anonymität“ Nachgefragt bei Professor Konrad Rieck vom Institut für Systemsicherheit
Sie soll Kontaktpersonen von Covid-19-Infizierten frühzeitig warnen: die geplante Corona-App der Bundesregierung. Dafür werden Daten über das Smartphone gesammelt. Wie diese Daten verwaltet werden sollen, darüber wurde in den letzten Tagen viel diskutiert. Wir haben mit Professor Konrad Rieck vom Institut für Systemsicherheit der Technischen Universität Braunschweig darüber gesprochen, wie die App funktioniert, welche Herausforderungen es für den Datenschutz gibt und wie die Diskussionen in den Medien aufgegriffen werden.
Die geplante Corona-App der Bundesregierung soll Infektionsketten unterbrechen, indem sie möglicherweise Infizierte frühzeitig informiert. Dafür müssen die Smartphones wissen, wer sich in ihrer Nähe aufhält und wer an Covid-19 erkrankt ist. Professor Rieck, Tracing-App und Datenschutz – das klingt erst einmal nach einem Gegensatz.
Wenn man mich vor einem Jahr oder einem halben Jahr gefragt hätte, dann hätte ich gesagt, dass es für so eine Massenüberwachung eigentlich gar keine sinnvolle Anwendung gibt. Das ist jetzt natürlich anders. In der aktuellen Situation finde ich es durchaus sinnvoll, eine solche App einzusetzen, um Kontaktpersonen zu warnen. So können sie sich frühzeitig in Quarantäne begeben und keine weiteren Personen anstecken. Das ist aber in der Tat eine schwierige Herausforderung für den Datenschutz. Jetzt müssen wir uns fragen: Wie machen wir das? Und was geben wir von unseren Daten für die Gesundheit preis?
Die Basis für die App bildet das Projekt „Pan European Privacy-Protecting Proximity Tracing“, kurz PEPP-PT, an dem europäische Wissenschaftlerinnen und Wissenschaftler und Unternehmen beteiligt sind. Die Forschenden entwickeln ein Software-Grundgerüst für so genannte Contact-Tracing-Apps. Wie funktioniert die App?
Die App basiert darauf, dass unsere Smartphones Signale via Bluetooth miteinander austauschen. Wenn Sie die App installiert haben, sendet Ihr Telefon den ganzen Tag zufällig generierte und ständig wechselnde Codes aus. Mein Telefon sendet auch solche Signale. Befinden wir uns in einem Abstand von wenigen Metern zueinander, tauschen unsere Smartphones diese zufälligen Codes via Bluetooth aus. Dafür müssten wir uns nicht einmal sehen, wir könnten uns zum Beispiel im Supermarkt in verschiedenen Gängen aufhalten. Dann würden diese Signale aufgezeichnet werden und mein Telefon wüsste, dass es ein anderes Telefon „gesehen“ hat. Wenn eine Person positiv auf Covid-19 getestet würde, dann könnte man anhand dieser anonymisierten Daten sehen, welche anderen Smartphones in der Nähe von der Person waren und diese warnen. Das ist an sich erst einmal eine tolle Sache. Die Frage ist jetzt, was die Daten, die gesendet werden, genau bedeuten und wie sie verwaltet werden sollen.
In den Diskussionen um das PEPP-PT-Projekt ist von einem zentralen und dezentralen Ansatz zur Verwaltung der Daten die Rede. Was bedeutet das?
Bei der ersten Variante gibt es einen zentralen Server, der die zufällig generierten Codes, die ständig ausgesandt werden, erstellt. Wenn Sie krank sind und das in der App angeben, übermittelt Ihr Smartphone alle zuvor gesammelten Daten an den Server. Der überprüft anhand der übermittelten Codes, welche Personen sich in einem bestimmten Zeitraum in Ihrer Nähe aufgehalten haben und berechnet das Risiko einer Infektion. Diese Personen werden dann per Push-Benachrichtigungen informiert. Die übermittelten Daten sind auf dem Server gespeichert. Dadurch erhält man natürlich auch einen Überblick über die aktuellen Zahlen zu Erkrankten und Kontaktpersonen.
Der zweite Ansatz heißt DP-3T. Bei dieser dezentralen Methode werden die Daten lokal auf den Smartphones gespeichert und ausgewertet. Ihr Smartphone erstellt selbst einen zufällig generierten Code, den es aussendet. Wenn Sie krank werden und das in der App angeben, dann wird der Code, den Ihr Smartphone aussendet, an einen Server übermittelt. Der Server verteilt die Listen mit diesen Codes an alle Nutzenden. Der Abgleich mit diesen Codes und die Risikoberechnung findet auf dem Smartphone der Nutzenden statt. Bei dieser Variante werden die Daten nur lokal auf den Geräten und nicht auf einem zentralen Server gespeichert.
In einem offenen Brief haben sich 300 Wissenschaftlerinnen und Wissenschaftler kritisch zum zentralen Ansatz geäußert. Worum geht es bei der Kritik?
Beim zentralen Ansatz werden sensible Informationen über Personen und Bewegungen von einem zentralen Server verarbeitet und gespeichert. Ein starker Kritikpunkt daran ist, dass Daten leichter missbraucht werden können, wenn sie an einem Ort gesammelt werden. Dem stimme ich voll und ganz zu. Man kann zwar sehr viele Schutzvorkehrungen treffen, aber trotz alledem wird – in Form von pseudonymen Codes – gespeichert, wer wann und wo war.
Die Geschichte der IT-Sicherheit hat gezeigt, dass es dort, wo Daten zentral gespeichert werden, Schäden geben kann. Das können mutwillige Missbräuche, aber auch Unfälle oder ungewollte Ereignisse sein. Zum Beispiel könnte der Server gehackt werden und auf einmal sind diese ganzen Daten in den falschen Händen. Eine andere Ebene erreichen wir, wenn beispielsweise ein Terrorist Covid-19 hat. Was machen wir dann? Theoretisch könnte man mit diesen Daten das Terrornetzwerk dieses Terroristen aufdecken. Diese Abwägung zwischen Freiheit und Sicherheit erleben wir immer wieder. Am Ende könnten wir doch bei einer starken Überwachung landen.
Aus Datenschutzsicht ist das dezentrale Modell besser, weil die Überprüfung, wo wann und was passiert ist, auf den Geräten der Nutzerinnen und Nutzer erfolgt. Und der Server erfährt gar nicht, ob ich Kontakt zu einer Infizierten Person hatte oder nicht. Das ist auch die Ansicht, die von den Wissenschaftlerinnen und Wissenschaftlern in dem offenen Brief vertreten wird.
Stimmen Sie den Wissenschaftlerinnen und Wissenschaftlern zu?
Ja, die dezentrale Lösung ist auch aus meiner Sicht die deutlich bessere Variante, weil die Daten nicht auf einem zentralen Server verarbeitet werden. Ich sehe das als Vorteil, das kann man aber natürlich auch als Nachteil sehen. Bei dem zentralen Modell kann man statistisch super sehen, wie viele Personen gerade infiziert sind und wie viele Personen mit den Erkrankten in Kontakt gekommen sind. Bei dem dezentralen Modell geht das nicht. Möglich wäre aber die Option, dass diese Informationen freiwillig von den Nutzerinnen und Nutzern gemeldet werden können.
Bei der zentralen Lösung sehe ich ein weiteres Problem: Der Betreiber der App wird höchstwahrscheinlich die Bundesregierung sein. Aber es wird Firmen geben, die das für die Bundesregierung umsetzen. Das finde ich in diesem Fall schwierig, weil diese Firmen natürlich Geld verdienen wollen und die erhobenen Daten ein wahrer Schatz für wirtschaftliche Verwertungen sind. Die Lösung lautet für mich daher, je dezentraler desto besser.
Gibt es noch weitere Aspekte aus Datenschutzsicht, die beim Contact-Tracing berücksichtigt werden sollten?
Bei allen Ansätzen gibt es ein Problem: Wenn ich nur mit einer Person Kontakt habe und ich erfahre dann, das ich mit jemanden im Kontakt war, der die Krankheit hat, dann kann das nur diese eine Person sein. Anonymität funktioniert immer nur in einer Gruppe. Und je kleiner die Gruppe wird, desto weniger Anonymität ist da und das gilt für alle Ansätze. Es wird keine Lösung geben, die perfekte Anonymität erzeugt. Die Apps setzen daher nur Pseudonymität um. Das zweite Problem, das bei beiden Ansätzen auftreten kann, ist, dass Personen behaupten könnten, dass sie krank sind, obwohl sie es nicht sind. Das lässt sich aber technisch lösen, zum Beispiel mit einem Code über das Gesundheitsamt, den nur tatsächlich Erkrankte erhalten.
Wie schätzen Sie die aktuellen Diskussionen über die Corona-App ein?
Ich sehe immer wieder ein Bedürfnis nach Polarisierung in den Medien. Man hat gerne zwei Seiten, schwarz und weiß. Jetzt ist es dezentral und zentral. Dadurch wird es schwierig, einen vernünftigen Diskurs zu führen. Auch wenn ich den zentralen Ansatz kritisiere: Ich glaube, man kann ihn auch gut umsetzen. Ich persönlich finde es nicht gut genug. Aber das soll nicht heißen, dass man es nicht gut machen kann. Es ist nicht alles schwarz-weiß. Es ist hellgrau-dunkelgrau in diesem Fall.