Was ist

Am Wochenende verkündeten Kanzleramtsminister Helge Braun und Gesundheitsminister Jens Spahn, dass die Bundesregierung ihren Kurs bei der geplanten Proximity-Tracing-App ändert: Nachdem Deutschland wochenlang hartnäckig an einem Modell mit zentralem Server festgehalten hatte, bevorzugt sie nun einen dezentralen Ansatz.

Warum das wichtig ist

Keine App der Welt wird die Pandemie aufhalten. Aber Tracing-Technologie kann einer von vielen Bausteinen sein, um Kontaktpersonen von Erkrankten zu warnen und Infektionsketten zu unterbrechen.

Obwohl dieses Thema nicht direkt in unsere Kernkompetenz fällt, haben wir die Entwicklung deshalb fortlaufend und mit ausführlichen Analysen begleitet:

  • Der erbitterte Streit um die „richtige“ Anti-Corona-App (#632)
  • Warum Tracing-Apps die Corona-Krise nicht lösen werden (#630)
  • Deutschland will Covid-19 mit einer App eindämmen (#627)
  • Grundrechtseingriffe gegen Covid-19 (#626)
  • Weniger Datenschutz – besserer Seuchenschutz? (#624)

Um das Format dieses Newsletters nicht zu sprengen, setzen wir die bisherigen Briefings als bekannt voraus. Wir wiederholen nur die nötigsten Information und fokussieren uns darauf, die neuesten Entwicklungen zu beleuchten.

Warum die Entscheidung überraschend kommt

Die Bundesregierung hat sich vor Wochen für die europäische Plattform Pepp-PT ausgesprochen. Das Projekt sollte aus technologischer Perspektive agnostisch sein, also sowohl zentrale als auch dezentrale Ansätze ermöglichen. In Deutschland war aber ein Modell mit zentralem Server geplant.

In der vergangenen Wochen wurde es dann chaotisch:

  • In offenen Briefen warnten Wissenschaftlerïnnen vor „beispielloser Überwachung“, sechs netzpolitische Vereine und Verbände appellierten an die Regierung, ihren Kurs zu überdenken.
  • Aus dem Digitalausschuss gelangten widersprüchliche Aussagen an die Öffentlichkeit, die die Linken-Politikerin Anke Domscheit-Berg in ihrem Blog beschreibt.
  • Mal hieß es, die Regierung sei nach wie vor von Pepp-PT überzeugt. Dann wurde kolpotiert, sie prüfe nun doch drei unterschiedliche Modelle, was das Kanzleramt wenige Stunden später wieder dementierte.
  • Spätestens am Freitag waren alle Beteiligten grundlegend verwirrt und niemand wusste mehr so richtig, was Sache ist – bis Helge Braun in der Nacht von Samstag auf Sonntag die Kehrtwende bekanntgab.

Wie die Reaktionen ausfallen

Zusammen mit meinem SZ-Kollegen Daniel Brössler habe ich Stimmen aus der Opposition (SZ) und von netzpolitischen Vereinen wie dem CCC eingeholt. Für einen weiteren Text (SZ) habe ich mit Professoren für IT-Sicherheit sowie dem Richter und Grundrechtsaktivisten Ulf Buermeyer gesprochen. Die Zusammenfassung:

  • Linke, FDP und Grüne loben den Kurswechsel der Regierung.
  • Auch der CCC hält es für „genau die richtige Entscheidung“.
  • Forscherïnnen, die mittlerweile das dezentrale Modell DP-3T unterstützen, freuen sich über besseren Datenschutz und mehr Datensicherheit.
  • Buermeyer fürchtet dagegen, der öffentliche Streit könnte der Sache geschadet haben. „Wir stehen vor einem Scherbenhaufen“, sagt er.
  • Womöglich habe die hitzige öffentliche Diskussion Menschen verunsichert, sodass sie der App nun misstrauen.
  • „Als Gesellschaft müssen wir uns fragen, ob wir hier nicht einen Pyrrhussieg für den Datenschutz errungen haben“, sagt Buermeyer. Das könne auf Kosten der öffentlichen Gesundheit gehen.

Wie die App funktionieren soll

Wer den Unterschied zwischen Tracing und Tracking mittlerweile im Schlaf erklären kann, darf beim nächsten Punkt weiterlesen. Für alle anderen nochmal die Eckpunkte im Überblick:

  • Statt Menschen staatlich zu überwachen („Tracking“), dienen Tracing-Apps nur dazu, Kontakte nachzuverfolgen – wo sich die Personen begegnen, wird nicht erfasst.
  • Dafür speichern die Apps, welche Geräte sich nahekommen. Derzeit liegen die Parameter bei 15 Minuten und zwei Meter. Das lässt sich aber nachträglich den aktuellen epidemiologischen Erkenntnissen anpassen.
  • Auf jedem Handy erzeugt die App einen geheimen, zufällig generierten Schlüssel. Daraus errechnet sie temporäre Proximity-IDs, die das Handy über den Funkstandard Bluetooth Low Energy (BLE) überträgt.
  • Wenn sich zwei Smartphone annähern, sodass eine Ansteckung möglich wäre, speichern sie die Proximity-ID des jeweils anderen Geräts – auschließlich lokal auf dem Handy.
  • Wer positiv auf Covid-19 getestet wird, erhält einen Zugangscode vom Gesundheitsamt, der Missbrauch verhindern und Trolle abschrecken soll.
  • Damit ist es möglich, seinen geheimen Schlüssel auf einen Server hochzuladen, den wiederum alle anderen Geräte regelmäßig kontaktieren.
  • Aus den empfangenen Schlüsseln können andere Apps die Proximity-IDs der Infizierten berechnen und sie mit dem eigenen, lokal gespeicherten Kontakttagebuch abgleichen.
  • Wenn sich die Geräte zuvor begegnet sind, warnt die App und fordert zu Test und freiwilliger Quarantäne auf.

Wie sich die Ansätze unterscheiden

Die Modelle funktionieren ganz ähnlich und haben nur einen entscheidenden Unterschied:

  • Bei der dezentralen Lösung übermitteln Nutzerïnnen nur den Schlüssel ihres eigenen Smartphones auf einen Server.
  • Der Abgleich erfolgt lokal in der App auf den anderen Handys. Es entsteht also keine zentrale Datenbank mit Kontakten, der Social-Graph der Nutzerïnnen bleibt verborgen.
  • Dagegen speichert die zentrale Lösung die IDs der Erkrankten und ihrer Kontaktpersonen auf einem Server.
  • In der Theorie entsteht also ein sensibles Kontaktnetzwerk. Allerdings lassen die pseudonymen IDs keinen Rückschluss auf die Person zu, die dahintersteht.
  • Im Gegensatz zur Vorratsdatenspeicherung, die bewusste Kontakte per E-Mail, Telefon oder Messenger erfasst, gibt es beim Proximity-Tracing ein großes Rauschen, das gezielte individuelle Analysen erschwert.
  • Wer ein paar Stunden im Zug sitzt oder beim Einkaufen an der Kasse wartet, sammelt schnell etliche Kontaktpersonen, die aber keinen echten Social-Graph darstellen, sondern eher einen Random-Proximity-Graph.

Welche Vor- und Nachteile die Modelle haben

Das Für und Wider hat Chris Köver ausführlich beschrieben (Netzpolitik). In einem Gastbeitrag arbeiten Samuel Brack, Jeanette Hofmann, Leonie Reichert und Björn Scheuermann die Unterschiede genauer heraus (Netzpolitik). Wir glauben, dass es gute Argumente für beide Ansätze gibt:

  • Die dezentrale Lösung bietet weniger Missbrauchspotenzial und setzt kein absolutes Vertrauen in den Server-Betreiber voraus.
  • Eine Datenbank ist immer ein potenzielles Angriffsziel für kriminelle Hacker, dieses Risiko minimiert das dezentrale Modell.
  • Dafür gibt ein zentraler Server mit pseudonymisierten Kontaktdaten Epidemiologen die Möglichkeit, Erkenntnisse über die Verbreitung des Virus zu gewinnen.
  • Außerdem könnte das Infektionsrisiko mit Hilfe von Machine-Learning-Modellen berechnet werden, sodass Kontaktpersonen zielgenauer gewarnt werden können.

Welche Rolle Apple und Google spielten

Neben der massiven öffentlichen Kritik der Forscherïnnen und Verbände dürften die beiden US-Konzerne eine entscheidende Rolle für den Sinneswandel der Regierung gespielt haben. Vor allem Apple hat die Verhandlungen maßgeblich geprägt:

  • Derzeit lässt sich BLE auf iOS-Geräten nur nutzen, wenn das Display aktiviert ist. Niemand installiert und verwendet eine App, die nur funktioniert, wenn der Bildschirm dauerhaft leuchtet.
  • Deshalb muss Apple für die App eine Art Sondergenehmigung programmieren. Diese API erlaubt es, auch im Hintergrund auf BLE zuzugreifen.
  • Apple und Google unterstützen aber nur dezentrale Ansätze, die sie für datenschutzfreundlicher halten. Bei einer zentralen Datenbank fürchten sie etwa Missbrauch durch autoritäre Regime.
  • Mehrere Quellen haben uns aus Verhandlungskreisen berichtet: Dort soll Apple den zentralen Ansatz seit Wochen hartnäckig blockieren.
  • Angeblich liegt die wochenlange Verzögerung von Pepp-PT – ursprünglich sollte die Plattform bereits am 7. April starten, die deutsche App war für kurz nach Ostern angekündigt – in erster Linie an der Hardball-Taktik von Apple.
  • Demnach haben die Entwicklerïnnen versucht, eine Art Hack einzuprogrammieren, um die Restriktion von iOS zu umgehen. Das soll viel Zeit gekostet haben.
  • Aus Gesundheitsministerium und Kanzleramt ist der Vorwurf zu hören, Apple wolle einer gewählten Regierung den eigenen Willen aufdrängen.
  • Beide Unternehmen erklären seit Jahren, dass sie digitale Gesundheitskonzerne werden wollen. Das löste Argwohn auf Seiten der Regierung und der Unterstützer einer zentralen Lösung aus, die ein Eigeninteresse der Unternehmen wittern.
  • In Telefonkonferenzen und Hintergrundgesprächen mit Apple und Google haben wir aber den Eindruck gewonnen, dass es in dem Fall nicht ums Geld, sondern um die Sache geht.
  • Apple wird alle Geräte mit iOS 13 unterstützen, Google setzt mindestens Android 6 voraus.
  • Das Update wird über die Google Play Services erfolgen. Der Vorteil: Hersteller müssen es nicht an ihre Android-Versionen anpassen, alle Nutzerïnnen erhalten es sofort. Der Nachteil: Wer ein neues Huawei-Handy besitzt oder in China lebt, bleibt außen vor – wegen des US-Handelembargos kann Huawei keine Google-Dienste nutzen.
  • Die Schnittstellen, an denen die Konzerne seit Wochen arbeiten, wurden vergangene Woche besser kryptografisch abgesichert und heißen nun auch nicht mehr „Contact Tracing“-, sondern „Exposure Notification“-APIs.
  • Das soll verdeutlichen, dass Apple und Google selbst eben keine Kontakdaten sammeln. Der Social-Graph wird lokal in der App berechnet, über die API werden keine persönlichen Daten abgegriffen.
  • Ein gewisses Grundvertrauen ist aber nötig, und zwar unabhängig davon, ob man einen zentralen oder dezentralen Ansatz wählt. Theoretisch könnte die API missbraucht werden. Allerdings soll der Code veröffentlicht werden, und Sicherheitsforscherïnnen dürften ganz genau hinschauen.
  • Außerdem könnten Apple und Google noch ganz andere Daten abgreifen: Sie stellen Betriebssysteme für Smartphones her, die Milliarden Menschen nutzen – und jedes einzelne ist nicht nur ein Peilsender, sondern enthält oft ein halbes, digital gespeichertes Leben: Fotos, Nachrichten, Anruflisten.
  • Wer diesen Unternehmen grundlegende Bösartigkeit unterstellt und es für möglich hält, dass sie Vertrauen auf derart kriminelle Art missbrauchen, sollte sich besser ein Nokia 3310 kaufen (und vielleicht einen Aluhut dazu).

Welche Hürden es gibt

In Briefing #630 haben wir unter den Kategorien „Verbreitung“, „Verwirrung“, „Zuverlässigkeit“, „Sicherheit“, „Psychologische und soziale Folgen“ und „Testkapazitäten“ etliche Herausforderungen aufgezählt, die Tracing-Apps überwinden müssen, um erfolgreich zu sein. Zwei Punkte dieser Liste wollen wir nochmal unterstreichen:

  • Um auf eine angestrebte Verbreitung von etwa 60 Prozent der Bevölkerung zu kommen, muss fast jeder Mensch, der ein technisch geeignetes Smartphone besitzt, die App installieren.
  • Dafür ist Vertrauen nötig – und das dürfte nach den öffentlichen Diskussionen der vergangenen Woche zumindest bei einem Teil der potenziellen Nutzerïnnen angekratzt sein.
  • „Jetzt braucht es eine Kultur der App-Installationen“; sagt Buermeyer. „So wie wir das mit Masken machen: Wer eine trägt, handelt solidarisch und schützt vor allem andere.“
  • Über die Zuverlässigkeit wird unserer Meinung nach noch zu wenig gesprochen. BLE wurde nicht dafür entwickelt, die Entfernung zwischen zwei Geräten zu ermitteln – dementsprechend wird der Abstand eher geschätzt als gemessen.
  • Je nach Smartphone-Modell unterscheidet sich die Signalstärke, in der Hand funkt das Handy anders als in der Hosentasche. Außerdem können Glasscheiben, Wände und andere Hindernisse das Ergebnis beeinflussen.
  • Ein Forscherteam um Professor Gerhard Fettweis von der TU Dresden versucht seit Wochen, das System so zu kalibrieren, dass Kontaktpersonen halbwegs zuverlässig identifiziert werden können.
  • Andere Wissenschaftlerïnnen loben seine Arbeit. „Das Forscherteam hat bei der Bluetooth-Kalibrierung viel geleistet“, sagt etwa IT-Professor Thorsten Holz. „Da sind wir in Deutschland vorn dabei.“
  • Allerdings zählt Fettweis zu den Unterstützern von Pepp-PT. Jetzt bleibt zu hoffen, dass seine Arbeit auch in einen dezentralen Ansatz einfließt.

Was noch unklar ist

Das Ziel steht fest, Deutschland soll eine Tracing-App mit dezentraler Software-Architektur erhalten. Wie der Weg dorthin aussehen wird, wissen wir aber noch nicht:

  • Hinter dem zentralen Ansatz stand die Plattform Pepp-PT. Für eine dezentrale Lösung gibt es mehrere Konzepte, etwa das Bündnis DP-3T, die ito-App auf Grundlage des TCN-Protokolls und die Intiative GesundZusammen.
  • Auf welche Bausteine die deutsche App setzt, wird derzeit noch verhandelt.
  • Zumindest steht mittlerweile fest, dass die Deutsche Telekom und die SAP die Entwicklung unterstützen sollen (Bundesregierung.de). Außerdem beraten die Fraunhofer-Gesellschaft und das Helmholtz-Institut CISPA.
  • Das Heinrich-Hertz-Institut der Fraunhofer-Gesellschaft leitete zuvor die Entwicklung der Pepp-PT-App. Das Helmholtz-Institut unterstützte Pepp-PR anfang ebenfalls, distanzierte sich aber und zeichnete den offenen Brief mit.
  • Es sind also Institute und Forscherïnnen beteiligt, die vor kurzem noch an konkurrierenden Projekten arbeiteten. Es wird wichtig sein, den Streit beizulegen und die Kräfte zu bündeln.
  • Spahn und Braun erwähnten in ihrer Erklärung am Wochenende auch die Möglichkeit, freiwillig zusätzliche Daten zu übermitteln.
  • Nun schreibt die Bundesregierung, es sei geplant, „einen Forschungsserver einzurichten, der auf Basis freiwilliger Datenspenden der Nutzer die pseudonymisierten Daten zur qualitätssichernden Analyse der Corona-App nutzen kann“.
  • Was das genau bedeutet? Zumindest wir wissen es nicht, und öffentlich ist bislang nicht mehr darüber bekannt. Man kann sich fragen, ob es eine gute Idee ist, die App mit einer solchen Funktionalität auszustatten. Immerhin soll die Datenspende freiwillig und opt-in-basiert bleiben.
  • Auch hinter dem Zeitplan stehen Fragezeichen. Apple will die APIs diese Woche veröffentlichen, doch bis die Apps angepasst sind und zuverlässig funktionieren, wird es wohl noch einige Wochen dauern. Mitte Mai dürfte eine eher optimistische Schätzung sein.

Be smart

In seinem Newsletter „The Interface“ versteckt Casey Newton eine wichtige Beobachtung in einem eingeklammerten Absatz im letzten Drittel (Revue):

(As an aside, the idea that we live in a time where Apple is telling Europe what forms of exposure notification will be permitted is basically the entire thesis behind / pitch for the existence of this newsletter. Not because I believe Apple abused its power, but because the world is still catching up to the idea that Apple and a handful other tech giants have this power.)

Das gilt für seinen Newsletter, aber natürlich genauso auch für uns. Die Pandemie zeigt erneut, welch zentralen gesellschaftlichen, wirtschaftlichen und zunehmend auch politischen Funktionen Plattformen und Tech-Konzerne übernommen haben.

Das muss nicht zwangsläufig schlecht sein: Wenn wir die Wahl hätten, ob Tim Cook und Sundar Pichai oder Donald Trump und Jair Bolsonaro über Anti-Corona-Maßnahmen entscheiden sollen, müssten wir nicht lange grübeln. Natürlich denken diese Unternehmen auch ans Geldverdienen, aber das ist nicht verwerflich. Außerdem macht es sie berechenbar – im Gegensatz zu manchem Staatsoberhaupt.

Unabhängig vom Ergebnis kann man den Prozess hinterfragen: Ist es wünschenswert, dass private Konzerne demokratisch legitimierten Regierungen diktieren, wie sie die Pandemie zu bekämpfen haben? Dass Apple und Google in diesem Fall eine datenschutzfreundlichere Lösung erwirkt haben, ist bemerkenswert – aber wenn beim nächsten Mal ein Unternehmen wie Palantir, dessen Corona-Software Hessen nutzen will (SZ), mit am Verhandlungstisch sitzt, sieht die Sache womöglich anders aus.

Know more

Auch andere Medien haben schöne Tracing-Analysen:

  • Ein siebenköpfiges Autorïnnenteam hat für Netzpolitik das wohl ultimative Q&A zur digitalen Kontaktverfolgung geschrieben: 22 Fragen und Antworten, fortlaufende Updates, und jede Menge weiterführende Links.
  • Etwas kürzer, aber genauso lesenswert ist die Analyse von Fabian A. Scherschel (Heise), der vor allem die technischen Details ausführlich und verständlich erklärt.
  • Der dritte empfehlenswerte Text hat nichts mit der deutschen App zu tun: Patrick Howell O’Neillarchive zählt fünf Dinge auf (MIT Technology Review), die es braucht, damit Contact-Tracing funktionieren kann – zum Beispiel 100.000 menschliche Tracer, die Kontakte manuell nachverfolgen. Merke: Technologie allein ist nie die Lösung.

Foto-Quelle: Mika Baumeister, Unsplash