Direkt zum Inhalt

Corona-App: Überwachung gegen die Pandemie

Wie gefährlich ist die Technik des »Contact-Tracing« für die Privatsphäre? Auch der dezentrale Ansatz, für den sich nun die Bundesregierung nach Protesten von Forschern aus aller Welt entschieden hat, birgt Gefahren.
Junge Frau mit Einwegmaske und Smartphone

Geht es nach Seda Gürses, müssen wir derzeit zwischen Pest und Cholera entscheiden: »Wir sind in einer krassen Situation, in der wir vor die Wahl gestellt werden, zu Hause zu bleiben oder Überwachung zu akzeptieren«, sagt die Professorin am Department of Multi-Actor Systems der Technischen Universität Delft in den Niederlanden. Das Coronavirus hat uns also in die soziale Isolation gebracht, und der Weg hinaus führt nur über eine App, die unsere Privatsphäre gefährdet.

Gürses beschäftigt sich schon seit vielen Jahren mit der Frage, wie Technologie gestaltet sein muss, damit sie unsere Privatsphäre schützt – und so ist es ihr gleich unangenehm aufgestoßen, als sie sah, wie viele Firmen auf einmal Daten sammeln wollen »für die Wissenschaft« oder »gegen Covid-19«. Sie sagt: »Wir haben jede Menge Unternehmen, die Daten sammeln wollen, und jede Menge Regierungen, die diese Daten und dazugehörige Services kaufen wollen.« Dabei würden Regierungsaufgaben teils ausgelagert oder ersetzt: »Dadurch wird die Nutzung von Daten für private Interessen mit öffentlichen Wohlfahrtsaufgaben verschmolzen.«

In der Tat ist der Slogan »Covid-washing« schon beinahe zum geflügelten Wort unter Datenschützern geworden. Der österreichische Forscher und Aktivist Wolfie Christl macht immer wieder darauf aufmerksam, wie sich Unternehmen, die schon seit Langem mit fragwürdigen Methoden Daten sammeln – oft ohne dass es die Nutzer wirklich wissen –, nun öffentlich reinwaschen, da sie ja »Gutes für die Menschheit« täten.

»Wir haben jede Menge Unternehmen, die Daten sammeln wollen, und jede Menge Regierungen, die diese Daten und dazugehörige Services kaufen wollen.«
Seda Gürses, Professorin am Department of Multi-Actor Systems der TU Delft

Dabei sei es natürlich falsch, zu fragen, »was wir denn so alles sammeln können«, betont Gürses. Als Vertreterin ihrer Forschungsrichtung fragt sie immer zuerst: »Was genau brauchen wir, um ein Problem zu lösen?« Und vor allem: »Was brauchen wir nicht?« So hat sie es auch dieses Mal getan und gemeinsam mit einer internationalen Forschergruppe (DP-3T) ein Konzept für eine Technologie entwickelt, die es erlaubt, mögliche Kontakte von Coronainfizierten frühzeitig zu warnen und sie zu bitten, sich selbst zu isolieren. Die Technologie in Form einer Smartphone-App soll überwachen, welche Menschen ein Infizierter getroffen und möglicherweise angesteckt hat. Das ist an sich ein alter Hut: Gesundheitsbehörden machen das schon lange, nur bislang manuell. Dabei besprechen Mitarbeiter von Gesundheitsbehörden mit dem Betroffenen sehr genau, wen er wann getroffen hat, um Kontaktpersonen testen und/oder isolieren zu können.

Nun sind diese Mitarbeiter angesichts der vielen Infizierten überfordert und können längst nicht mehr alle Kontakte nachverfolgen. Allerdings ist diese Vorgehen laut Epidemiologen derzeit die einzige Chance, das Virus zu bremsen, ohne gleich die gesamte Bevölkerung zu isolieren. Daher waren Gürses und ihre Kollegen erstaunt, wie schwer sie ihre Technologie »an den Mann« bringen konnten, zuallererst an die deutsche Regierung. Denn diese hatte zunächst die so genannte zentrale Lösung der Initiative PEPP-PT bevorzugt, an der auch das RKI beteiligt ist. Dabei, so Gürses, ist die dezentrale Variante von DP-3T schonender für die Privatsphäre und den Datenschutz. Erst nachdem mehr als 300 Forscherinnen und Forscher aus aller Welt protestiert hatten, ist die Bundesregierung nun umgeschwenkt.

Wie funktioniert die Technologie?

Forscher weltweit haben verschiedene Techniken überprüft und sich größtenteils für eine ausgesprochen, die Begegnungen relativ privatsphärenschonend verfolgt: die so genannte Blue-Tooth-Low-Energy(BLE)-Technologie. Mit ihr lassen sich Smartphone-Begegnungen erkennen und speichern. Das Sammeln von GPS-Daten hingegen wird von den meisten Experten als zu ungenau eingeschätzt. Zudem beinhaltet es eine große Überwachungs- und Missbrauchsgefahr, da sich Bewegungsdaten kaum sicher anonymisieren lassen.

Die Bluetooth-Herangehensweise funktioniert zusammengefasst folgendermaßen: Über die Stärke des Bluetooth-Signals und andere Sensor-Informationen können Algorithmen grob den Abstand zweier Smartphones einschätzen – und damit, ob sich deren Besitzer in einem im Sinne der Epidemiologie zu nahen Abstand zueinander befanden, einem Abstand also, in dem sich das Virus wahrscheinlich übertragen lässt. So soll erkannt werden, wen wir in einem Abstand von unter zwei Metern und länger als 15 Minuten lang treffen.

Wird also ein App-Nutzer positiv getestet, kann mittels verschiedener sicherer, kryptografischer Verfahren zugeordnet werden, wem er in den letzten Tagen in diesem epidemiologischen Sinne begegnet ist. Diese Personen werden dann gewarnt, idealerweise getestet oder isolieren sich zumindest eigenverantwortlich.

Corona-Tracing-Apps: Gesundheit vs. Datenschutz?

Veröffentlicht am: 01.05.2020

Sprache: deutsch

Laufzeit: 0:18:40

Zentral oder dezentral: Was ist der Unterschied?

Prinzipiell gibt es zwei verschiedene Ansätze, über die debattiert wurde und wird. Das zentrale Konzept sieht vor, dass der Infizierte all seine »Kontakte« (anonyme, regelmäßig wechselnde Zeichenfolgen, die sein Smartphone von anderen empfangen hat, so genannte pseudonymisierte ID-Nummern) auf einen zentralen Server hochlädt, wo dann die Auswertung stattfindet. Von dort aus werden schließlich jene Menschen informiert, die sich möglicherweise angesteckt haben.

Das dezentrale Konzept sendet hingegen lediglich die eigenen pseudonymisierten ID-Nummern an einen Server. Über regelmäßige Updates der App fragen die Smartphones diese Daten ab und bekommen dabei auch die Information, ob eine bestimmte ID-Nummer »infiziert« ist. Die Geräte berechnen dann selbst, ob sie den dazugehörigen App-Nutzer im epidemiologischen Sinn getroffen haben. Deutschland, die Schweiz, Österreich, Italien und Estland haben sich nun für diese dezentrale Variante ausgesprochen. Frankreich und Großbritannien verfolgen anscheinend nach wie vor den zentralen Ansatz.

Beide Konzepte haben Schwächen

Erfolgt die Verarbeitung auf einem zentralen Server beispielsweise der Regierung, sammeln sich dort über die Zeit sehr viele Daten über menschliche Kontakte, die noch dazu deanonymisiert werden, um die Betroffenen benachrichtigen zu können. Über die Zeit hat diese zentrale Stelle also ein recht genaues Bild davon, wer wen getroffen hat. Und das ist eine zentrale Funktion von Überwachung, die ausgenutzt werden kann. »Deanonymisierung ist Teil der Funktion des zentralisierten Designs, und das ist gefährlich«, warnt Gürses und weiter: »Die zentrale Überwachung ist für uns absolut nicht akzeptabel, da das Ausspionieren durch Telefone mit Contact-Tracing über Apps nicht vermeidbar ist.«

Die dezentrale Lösung hingegen verhindert die Deanonymisierung ebenso wie die Aufzeichnung von Kontakt-Netzwerken. Allerdings gibt es hier ebenfalls Missbrauchspotenzial: Denn auch Daten auf den Smartphones selbst sind angreifbar. Das ist sowohl beim zentralen als auch beim dezentralen Ansatz der Fall. Hacker könnten einzelne Nutzer ausspionieren, Geheimdienste, die Polizei, Arbeitgeber oder gewalttätige Partner könnten die Herausgabe von Telefonen fordern und die Daten der App auslesen.

Daher müssten beide Varianten entsprechend abgesichert werden. Nur: »Schutzmaßnahmen gegen Regierungen haben sich in der Vergangenheit als wenig erfolgreich herausgestellt.« Mit der so genannten dezentralen Variante der Bluetooth-Kontaktverfolgung sei zumindest diese Art der »Big-Brother-Überwachung« ausgeschlossen, so Gürses. Andere argumentieren ähnlich, gebe es doch selbst in Europa Regierungen, die derzeit demokratische Grundsätze vermissen ließen.

Ein Hauptargument für den zentralen Ansatz von PEPP-PT war der Zeitfaktor: Das zentrale Konzept sei einfach schon weiter entwickelt. An erster Stelle stehe schließlich »der schnelle Kampf gegen die Pandemie«, teilte eine Sprecherin auf Anfrage per E-Mail mit. Insbesondere die Deanonymisierung von persönlichen Daten sehen die DP-3T-Foscher jedoch als großes Problem der zentralen Variante. Darüber hinaus sei es möglich, gefakte »Krankmeldungen« etwa von berühmten Persönlichkeiten in das System zu laden. Noch dazu funktioniere das zentrale System nur dann, wenn die App im Vordergrund laufe. Das liegt daran, dass Apple und Google den App-Entwicklern bestimmte Beschränkungen auferlegt haben, um die Privatsphäre zu schonen. Daher müssten Nutzer das Smartphone also ungesperrt und mit der geöffneten App mit sich herumtragen.

Google und Apple schaffen Fakten – an der Demokratie vorbei

Das dezentrale Konzept wollen Google und Apple dagegen unterstützen und in die entsprechende Infrastruktur in ihr Betriebssystem einbauen. Sie wollen sicherstellen, dass die Bluetooth-IDs anderer Nutzer und die Kontaktdaten das Telefon nicht verlassen, sondern lediglich anzeigen, wenn es Übereinstimmungen gibt.

Gürses ist trotzdem wenig begeistert: »Wir sind von Google und Apple abhängig: Es gibt keine Möglichkeit, diese Apps zu entwickeln, ohne an der Infrastruktur und der von diesen Unternehmen angehäuften Macht beteiligt zu sein.« Denn die beiden Technikkonzerne müssen die Funktionsweise ihrer Telefone ändern, damit die Apps zur Kontaktverfolgung mittels Bluetooth überhaupt funktionieren.

»Selbst wenn wir uns für die dezentrale App entscheiden, verbessern wir die Bedingungen für die Überwachung – und das wird bleiben, auch wenn Covid-19 wieder weg ist.«
Seda Gürses, Professorin am Department of Multi-Actor Systems der TU Delft

Zudem könne diese Funktion später für Überwachung genutzt werden ebenso wie für alle Arten von exakterem Tracking, von Menschen zu Werbezwecken beispielsweise. »Die Möglichkeit, einen Abgleich unter Wahrung der Privatsphäre über Bluetooth durchzuführen und die Tatsache, dass mehr Menschen ihr Bluetooth einschalten werden, kann ausgenutzt werden.« Mit der Technologie lassen sich zum Beispiel Menschen in Supermärkten genau verfolgen: An welchem Regal bleiben sie stehen? Welche Produkte interessieren sie? Gürses kann sich gut vorstellen, dass Google auch ein finanzielles Interesse an dieser Technologie hat.

Außerdem haben Google und Apple angekündigt, das Protokoll für die Ermittlung von Kontaktpersonen im Betriebssystem zu implementieren. »Dies bedeutet, dass künftig alle Telefone mit einer Funktion für die Ermittlung von Kontaktpersonen ausgestattet sind – es ist vermutlich nicht notwendig, eine App zu installieren.« Die US-Unternehmen hätten die Macht, das einfach zu entscheiden, obwohl solche Vorgehensweisen eigentlich gesamtgesellschaftlich entschieden werden sollten: »Diese Unternehmen können demokratische Prozesse damit umgehen, einfach dadurch, dass Menschen Telefone in der Hand haben und diese Contact-Tracing in ihre Funktion integriert haben.«

Insgesamt sei es wichtig, trotz der aktuellen Situation eines nicht aus dem Blick zu verlieren: »Wir entwickeln hier Überwachungstechnologien weiter: Mit GPS kann man auch überwachen, wer beispielsweise auf einer Demonstration war«, sagt Seda Gürses, »aber Bluetooth ist noch viel genauer. Man kann exakt verfolgen, wer wen getroffen hat.« Das ist für Behörden durchaus attraktiv. »Und jetzt arbeiten wir auch noch daran, das Tracking via Bluetooth noch exakter zu machen.« Sie teilt daher eine zentrale Sorge mit vielen Kollegen: »Selbst wenn wir uns für die dezentrale App entscheiden, verbessern wir die Bedingungen für die Überwachung – und das wird bleiben, auch wenn Covid19 wieder weg ist.«

Es wird viele Fehlalarme geben

Wobei noch nicht klar ist, wie exakt die Technologie tatsächlich sein wird. Da es keine wirkliche Korrelation zwischen der Stärke des Bluetooth-Signals und des Abstands gibt, müssen weitere Sensorinformationen hinzugezogen werden. Ist zwischen zwei Smartphones nur Luft (also wenn es beide Nutzer in der Hand haben), unterschätzen solche Systeme gerne den Abstand. Ist hingegen ein gewisses Material dazwischen (beispielsweise Kleidung oder Menschen), wird die Distanz zu groß eingeschätzt.

»Es ist durchaus eine Herausforderung«, sagt Han Yang Tan von der Singapore Government Technology Agency auf einer Konferenz des MIT, »Technology and Public Health Perspectives on Private Automated Contact-Tracing« am 16. April. In Singapur sind entsprechende Apps schon länger im Einsatz, und es gibt einige Erfahrungen mit Fehlalarmen. »Wir haben unseren Algorithmus inzwischen so optimiert, dass wir möglichst wenig falsch positiv haben.« Doch habe die Technologie etwa in vollen U-Bahnen nicht gut funktioniert. Und es habe Fälle gegeben, in denen beispielsweise der Wohnungsnachbar eines Infizierten eine Warnung bekommen habe, obwohl sie durch eine Wand getrennt waren und ein Infektionsrisiko nicht bestanden hätte.

Auch Gürses vermutet, dass eine solche App viele Fehlalarme produzieren wird – das liegt in der Natur der Sache. »Aber Epidemiologen sagen, falsch positiv wäre kein Problem« – solange es genügend Tests gibt. Denn dann können diese Menschen gezielt getestet werden. Eine Simulation eines niederländischen Forschers ergab allerdings kürzlich, dass in den Niederlanden 100 000 Tests pro Tag nötig seien, damit die App sinnvoll eingesetzt werden kann – das ist deutlich mehr, als möglich wäre.

Sollten die Menschen, die Fehlalarme erhalten, nicht getestet werden können, müssen sie logischerweise zurück in die Isolation. »Innerhalb von ein oder zwei Wochen hätten wir wieder ein bis zwei Millionen Menschen zu Hause sitzen«, sagt Frank Dignum von der Universität Umeå in Schweden, der die Simulation entwickelt hat, gegenüber »Politico«. Wenn die meisten in Quarantäne auf der Grundlage von Falsch-positiv-Ergebnissen isoliert werden, würde das die Akzeptanz einer solchen App nicht gerade befördern.

Wie freiwillig wird die Nutzung der App sein?

Eine der größten Unsicherheiten ist freilich die Frage, ob die App die kritische Menge an Nutzern erreichen kann, die sie benötigt. Laut Epidemiologen müssen etwa 60 Prozent der Bevölkerung die App nutzen, damit das Konzept aufgehen kann. In der Tat haben nur etwa 70 Prozent aller Deutschen ein Smartphone. Es müssten also mehr oder weniger alle Handynutzer überzeugt werden, die App zu nutzen – nicht einmal Whatsapp ist so flächendeckend auf den Smartphones der Deutschen vorhanden.

Datenschützer haben die Sorge, dass dieses »Überzeugen« daher möglicherweise nicht ganz freiwillig vonstattengehen wird. So sei schon in der Diskussion, künftige Freiheiten mit der Nutzung der App zu verknüpfen. Und wer vor die Wahl gestellt wird, entweder wieder das Haus verlassen zu können oder die App nicht zu nutzen, kann wohl kaum frei entscheiden.

In einem Rechtsgutachten des wissenschaftlichen Dienstes des Bundestags wird in der Tat nun auch eine App-Pflicht diskutiert. Die Autoren gehen davon aus, »dass eine verpflichtende Nutzung der App die Geeignetheit der Maßnahme steigern könnte«. Allerdings müsste man die App-Pflicht dann auf die Menschen beschränken, »die über ein entsprechendes Gerät mit der notwendigen Bluetooth-Low-Energy-Technologie verfügen.«

Zumindest die vom RKI unterstützte Initiative PEPP-PT hatte dafür schon eine Lösung: »Wir werden im August einige Millionen Bluetooth-Beacons produzieren für Kinder unter 10 und Senioren über 70«, sagte Thomas Wiegand auf der Konferenz des MIT. Beacons sind kleine Geräte, die entsprechende Bluetooth-Signale aussenden – sie würden demnach diese Funktion des fehlenden Smartphones übernehmen. Möglicherweise dürfen Kinder also künftig nur dann in die Schule, wenn sie mit einem solchen Beacon ausgestattet sind.

Der Text ist ursprünglich auf »riffreporter.de« unter dem Titel »Wir werden vor die Wahl gestellt, zu Hause zu bleiben oder Überwachung zu akzeptieren« erschienen und wurde für »Spektrum.de« angepasst und ergänzt.

Schreiben Sie uns!

Wenn Sie inhaltliche Anmerkungen zu diesem Artikel haben, können Sie die Redaktion per E-Mail informieren. Wir lesen Ihre Zuschrift, bitten jedoch um Verständnis, dass wir nicht jede beantworten können.

Partnerinhalte

Bitte erlauben Sie Javascript, um die volle Funktionalität von Spektrum.de zu erhalten.