„Wir werden vor die Wahl gestellt, Zuhause zu bleiben oder Überwachung zu akzeptieren“
Wie gefährlich ist Technologie des contact tracing für die Privatsphäre? Forscher aus aller Welt warnen: Es gibt bessere Lösungen als jene, die gerade für Deutschland entwickelt wird.
Geht es nach Seda Gürses, haben wir derzeit die Wahl zwischen Pest und Cholera. Das Coronavirus hat uns in die soziale Isolation gebracht, und der Weg hinaus führt über eine App, die unsere Privatsphäre gefährdet. „Wir sind in einer krassen Situation, in der wir vor die Wahl gestellt werden, Zuhause zu bleiben oder Überwachung zu akzeptieren“, sagt die Professorin am Department of Multi-Actor Systems der TU Delft. „Es werden keine Alternativen angeboten.“
Gürses beschäftigt sich schon seit vielen Jahren mit der Frage, wie Technologie gestaltet sein muss, damit sie unsere Privatsphäre schützt – und so ist es ihr gleich unangenehm aufgestoßen, als sie sah, wie viele Unternehmen auf einmal Daten sammeln wollen „für die Wissenschaft“ oder „gegen Covid-19“. „Wir haben jede Menge Unternehmen, die Daten sammeln wollen und jede Menge Regierungen, die diese Daten und dazugehörige Services kaufen wollen“, sagt sie. Dabei würden Regierungsaufgaben teils ausgelagert oder ersetzt: „Damit wird die Nutzung von Daten für private Interessen mit den öffentlichen Wohlfahrtsaufgaben verschmolzen.“
In der Tat ist der Slogan „Covid-washing“ schon beinahe zum geflügelten Wort unter Datenschützern geworden. Der Österreichische Forscher und Aktivist Wolfie Christl macht immer wieder darauf aufmerksam, wie sich Unternehmen, die schon seit langem mit fragwürdigen Methoden Daten sammeln – oft ohne, dass es die Nutzer wirklich wissen – nun öffentlich reinwaschen, da sie ja Gutes täten für die Menschheit.
Es ist falsch zu fragen: Was können wir denn so alles sammeln?
Dabei sei es natürlich falsch zu fragen „Was können wir denn so alles sammeln“, betont Gürses, oder zu sehen, was man so alles herauslesen könne aus Bewegungsdaten, die ja viele Apps sammeln. Als Vertreterin ihrer Forschungsrichtung fragt Gürses immer zuerst: Was genau brauchen wir, um ein Problem zu lösen. Und vor allem: Was brauchen wir nicht?
So hat sie es auch dieses Mal getan, und gemeinsam mit einer internationalen ForscherInnen-Gruppe DP-3T ein Konzept für eine Technologie entwickelt, die es erlaubt, mögliche Kontakte von Corona-Infizierten frühzeitig zu warnen und sie zu bitten, sich selbst zu isolieren. Und das alles auf eine Art und Weise, die möglichst schonend ist für die Privatsphäre. Doch nun geht – zumindest in Europa – vieles in die falsche Richtung, findet Gürses. Nämlich in eine Richtung, in der zu viele Daten von Regierungen gesammelt werden und diese damit befähigen, ihre Bevölkerung zu überwachen.
Wir müssen hier kurz ein wenig ausholen, um zu erklären, welche Technologie überhaupt helfen kann. Beim erwähnten Projekt, ebenso bei der Initiative PEPP-PT, an der das RKI beteiligt ist, geht es um das so genannte Contact Tracing: zu verfolgen, welche Menschen ein Infizierter getroffen und möglicherweise angesteckt hat. Das ist an sich ein alter Hut: Gesundheitsbehörden machen das schon lange, nur eben manuell. Dabei besprechen Mitarbeiter von Gesundheitsbehörden mit dem Betroffenen sehr genau, wen er möglicherweise getroffen hat, um Kontaktpersonen testen und/oder isolieren zu können.
Nun sind diese Mitarbeiter angesichts der vielen Infizierten überfordert und können längst nicht mehr alle Kontakte nachverfolgen. Doch laut Epidemiologen ist das die einzige Chance derzeit, das Virus zu bremsen, ohne die gesamte Bevölkerung zu isolieren.
Zentral oder dezentral: was ist der Unterschied?
Forscher aus aller Welt haben verschiedene Technologien überprüft und sind zu großen Teilen alle bei einer Technologie gelandet, die es ermöglicht, Begegnungen relativ Privatsphären schonend zu verfolgen: die so genannte Blue-Tooth-Low-Energy (BLE) Technologie erlaubt es, dass Smartphones Begegnungen mit anderen Smartphones erkennen und speichern.
Das Sammeln von GPS-Daten hingegen wird von den meisten ExpertInnen als zu ungenau eingeschätzt. Zudem beinhaltet es eine große Überwachungs- und Missbrauchs-Gefahr. Die Bluetooth-Herangehensweise funktioniert zusammengefasst folgendermaßen: Über die Stärke des Bluetooth-Signals und andere Sensor-Informationen können Algorithmen grob den Abstand zweier Smartphones einschätzen – und damit, ob sich deren Besitzer in einem im Sinne der Epidemiologie zu nahen Abstand zueinander befanden, einem Abstand also, in dem sich der Virus wahrscheinlich übertragen lässt. So soll erkannt werden, wen wir in einem Abstand von unter zwei Metern und länger als 15 Minuten lang treffen. Wird einer dieser Kontakte später positiv getestet, kann mittels verschiedener sicherer, kryptografischer Verfahren zugeordnet werden, wem dieser in diesem epidemiologischen Sinne begegnet ist. Derjenige wird dann gewarnt, idealerweise getestet oder soll sich selbst isolieren.
Nun gibt es zwei verschiedene Konzept, über die derzeit gestritten wird. Das eine Konzept sieht vor, dass der Infizierte all seine „Kontakte“ (anonyme, regelmäßig wechselnde Zeichenfolgen, die sein Smartphone von anderen empfangen hat) auf einen zentralen Server hochlädt, wo dann die Berechnung stattfindet und von wo aus jene Menschen benachrichtigt werden, die sich möglicherweise angesteckt haben. Das ist das die so genannte zentrale Herangehensweise.
Das andere Konzept sieht vor, dass lediglich die eigenen ausgesendeten Nummern über einen Server an alle App-Nutzer verteilt werden, und deren Smartphones dann berechnen, ob sie den Infizierten im epidemiologischen Sinn getroffen haben. Es wird das dezentrale Konzept genannt.
Beide Konzepte haben Schwächen
Es gibt bei beiden Konzepten Schwächen. Erfolgt die Verarbeitung auf einem zentralen Server beispielsweise der Regierung, sammeln sich dort über die Zeit sehr viele Daten über menschliche Kontakte, die noch dazu de-anonymisiert werden, um die Betroffenen benachrichtigen zu können. Über die Zeit hat diese zentrale Stelle also ein recht genaues Bild davon, wer wen getroffen hat. Und das ist eine zentrale Funktion von Überwachung, die ausgenutzt werden kann. „De-anonymisierung ist Teil der Funktion des zentralisierten Designs, und das ist gefährlich“, warnt Gürses. Die dezentrale Lösung hingegen verhindert die De-anonymisierung ebenso wie die Bildung von Kontakt-Graphen.
Doch sie ist auch nicht ganz ohne Gefahr. Werden auf den Smartphones selbst die Daten verarbeitet, sind diese angreifbar. Das ist sowohl beim zentralen als auch beim dezentralen Ansatz der Fall. Hacker könnten einzelne Nutzer ausspionieren, Geheimdienste, die Polizei, Arbeitgeber oder gewalttätige Partner könnten die Herausgabe von Telefonen fordern und die Daten der App auslesen. Ist die dezentrale Variante also das kleinere Übel? „Die zentrale Überwachung ist für uns absolut nicht akzeptabel, da das Ausspionieren durch Telefone mit contact tracing über Apps nicht vermeidbar ist.“
Beide Ansätze müssten entsprechend abgesichert werden. „Aber Schutzmaßnahmen gegen Regierungen haben sich in der Vergangenheit als wenig erfolgreich herausgestellt.“ Mit der so genannten dezentralen Variante des Bluetooth contact tracing sei zumindest diese Art der „Big-Brother-Überwachung ausgeschlossen. Und andere argumentieren, dass das ein wichtiger Faktor ist, wenn eine entsprechende App in diesem Fall in ganz Europa eingesetzt werden soll. Schließlich gibt es Regierungen, die derzeit durchaus weniger demokratische Züge zeigen.
Forscher aus aller Welt warnen vor dem zentralen, deutschen Ansatz
Die Kritik am zentralen Ansatz von PEPP-PT wächst. So scheint es, als habe das Konsortium die Möglichkeit einer dezentralen Verarbeitung endgültig ad acta gelegt. Schließlich wurde die internationale Gruppe jener Forscher, die sich mit der dezentralen Version beschäftigen, laut verschiedener Beteiligter ohne Rücksprache von der Website entfernt. „Wir werden beide Varianten anbieten“, antwortet Mareike Oldemeinen von PEPP-PT auf meine entsprechende Nachfrage. „Dann kann jedes Land entscheiden, welches Modell besser geeignet ist.“ An erster Stelle stehe jedoch „der schnelle Kampf gegen die Pandemie. Deshalb wollen wir möglichst schnell eine wirksame Technologie bereitstellen.“ Stand heute sei der „zentrale“ Ansatzes deutlich weiter vorangeschritten.
Genau dieses schnell-schnell ist es, was Gürsen und ihre KollegInnen kritisieren. „Wir geben möglicherweise zentrale Freiheitsrechte auf. Wäre es nicht besser, eine Woche später herauszukommen und es richtig gut zu machen?“ Dieser Position schließen sich immer mehr an: Mehr als 300 ForscherInnen aus aller Welt warnen in einem offenen Brief vor den Gefahren zentraler Ansätze – das Schreiben klingt in Teilen, als wende es sich direkt an die PEPP-PT Initiatoren, um sie von ihrer Entscheidung abzubringen, den zentralen Ansatz zu verfolgen. Schließlich gebe es bereits verschiedene dezentrale Ansätze, unter anderem PACT des MIT und das europäische DP3T. „Alle diese Teams sind entschlossen, zusammenzuarbeiten, um ihre Systeme interoperabel zu machen“, so der offene Brief.
Parallel dazu verliert PEPP-PT immer mehr seiner Kooperationspartner, unter anderem die ETH Zürich, die belgische KU Leuven, das italienische Istituto per l'Interscambio Scientifico und das deutsche Helmholtz Center for Information Security (CISPA) sind in den vergangenen Tagen ausgestiegen. Die Begründung lautet meistens „mangelnde Transparenz“, es sei unklar, was genau PEPP-PT überhaupt vorhabe, und nirgendwo auf der Webseite werde der Plan geschweige denn der bisherige Code dokumentiert. (und in der Tat war auf der Website wochenlang kaum Information zu finden)
Gerade wenn es um die Sicherheit von Computerprogrammen geht, gilt diese Offenheit heutzutage aber als eine zentrale Grundlage, um Code sicher zu machen: ist er offengelegt, können ihn mehr Menschen überprüfen. Wird er im Verborgenen entwickelt, werden mögliche Fehler nur von den direkten Machern bemerkt – die noch dazu in diesem Fall unter enormem Zeitdruck stehen. Da sind Fehler vorprogrammiert.
PEPP-PT Konzept fördert Überwachung
Folglich war auch die erste Frage an Thomas Wiegand vom Fraunhofer Heinrich-Hertz-Institut, der PEPP-PT in einer internationalen Konferenz des MIT mit dem Titel Technology and Public Health Perspectives on Private Automated Contact Tracing (https://pact.mit.edu/impact-2020/) am 16. April vertrat: „Ist Ihr Bericht veröffentlicht?“ Das werde bald geschehen, so Wiegand. Am Tag darauf veröffentlichte PEPP-PT in der Tat endlich ein Dokument namens ‘PEPP-PT: Data Protection and Information Security Architecture’ auf deren GitHub-Seite. Die Verantwortlichen erklären hier die geplante deutsche Umsetzung – des zentralen Ansatzes.
So sollen Nutzer, sobald sie positiv auf Covid19 getestet wurden, all ihre „Kontakte“ mit Zeitstempel auf einen zentralen Server laden. Die Forscher desDP-3T Projekts schlagen Alarm. In einer Analyse des Papiers weisen sie darauf hin, dass mit dieser Vorgehensweise die anonymen Daten de-anonymisiert werden. Zudem sei es möglich, gefakte „Krankmeldungen“ beispielsweise berühmter Persönlichkeiten in das System zu laden. Noch dazu funktioniere das System nur dann, wenn die App im Vordergrund laufe (um die Limitationen zu umgehen, die Apple und Google App-Entwicklern auferlegt haben, um die Privatsphäre zu schonen) – Nutzer müssten das Smartphone also ungesperrt und mit der geöffneten App auf dem Screen mit sich herumtragen.
Google und Apple hatten kürzlich angekündigt, Contact Tracing via Bluetooth zu unterstützen und die entsprechende Infrastruktur in ihr Betriebssystem einzubauen. Allerdings werden sie sicherstellen, dass die Bluetooth-IDs anderer Nutzer und die die Kontaktdaten das Telefon nie verlassen, sondern lediglich anzeigen, wenn es Übereinstimmungen gibt. Das bedeutet, das funktioniert nur für Apps mit dem dezentralen Ansatz, wie jener des MIT oder jener von Gürses und dem DP-3T Projekt. Das gegenwärtige zentrale PEPP-PT-Konzept hingegen, das Kontakte auf einen auf einen zentralen Server lädt, wird von Apple und Google nicht unterstützt – um die Privatsphäre zu schützen. (über die Beweggründe kann man spekulieren: Insider sagen, das sei ein frustrierter move von Google und Apple, die es satt seien, ständig angegriffen zu werden wegen ihres Umgangs mit Daten).
Google und Apple schaffen Fakten – an der Demokratie vorbei
Gürses ist trotzdem wenig begeistert: „Wir sind von Google und Apple abhängig: Es gibt keine Möglichkeit, diese Apps zu entwickeln, ohne an der Infrastruktur und der von diesen Unternehmen angehäuften Macht beteiligt zu sein.“ Google und Apple müssen die Funktionsweise der Telefone ändern, damit die Apps zur Kontaktverfolgung Bluetooth verwenden können.
Zudem könne diese Funktion später für Überwachung genutzt werden ebenso wie für alle Arten von exakterem Tracking von Menschen zu Werbezwecken beispielsweise. „Die Möglichkeit, einen Abgleich unter Wahrung der Privatsphäre über Bluetooth durchzuführen und die Tatsache, dass mehr Menschen ihr Bluetooth einschalten werden, kann ausgenutzt werden.“ Mit der Technologie lassen sich beispielsweise Menschen in Supermärkten genau verfolgen: an welchem Regal bleiben sie stehen? Welche Produkte interessieren sie? Gürses kann sich gut vorstellen, dass Google auch ein egoistisches, finanzielles Interesse an dieser Technologie hat.
Zudem haben Google und Apple angekündigt, das Protokoll für die Ermittlung von Kontaktpersonen im Betriebssystem implementieren. „Dies bedeutet, dass künftig alle Telefone mit einer Funktion für die Ermittlung von Kontaktpersonen ausgestattet sind – es ist eventuell dann nicht notwendig, eine App zu installieren.“ Die US-Unternehmen hätten die Macht, das einfach zu entscheiden, obwohl solche Vorgehensweisen eigentlich gesamtgesellschaftlich entschieden werden sollten: „Diese Unternehmen können demokratische Prozesse damit umgehen, einfach dadurch dass Menschen Telefone in der Hand haben und diese Contact-tracing in ihre Funktion integriert haben.“
Wie freiwillig wird die Nutzung der App sein?
Insgesamt sei es wichtig, trotz der aktuellen Situation eines nicht aus dem Blick zu verlieren: „Wir entwickeln hier Überwachungstechnologien weiter: Mit GPS kann man auch überwachen, wer beispielsweise auf einer Demonstration war“, sagt Seda Gürses, „aber Bluetooth ist noch viel genauer. Man kann exakt verfolgen, wer wen getroffen hat.“ Und das ist für Behörden durchaus attraktiv. „Und jetzt arbeiten wir auch noch daran, das Tracking via Bluetooth noch exakter zu machen.“ Sie teilt eine zentrale Sorge mit vielen KollegInnen: „Auch wenn wir die Wahl treffen für einen Ansatz, der die Big Brother Situation vermeidet, verbessern wir die Bedingungen für Überwachung – und das wird bleiben, auch wenn Covid19 wieder weg ist.“ Das habe man nach 9/11 gesehen, und das sieht Gürses auch jetzt als Problem.
Dass nun PEPP-PT von der deutschen Regierung bevorzugt wird (möglichweise ohne dass sich die Verantwortlichen mit den Feinheiten der Privatsphäre beschäftigt haben), findet sie gefährlich. „Die anderen Länder in Europa schauen auf Deutschland und werden dem Beispiel folgen.“ Damit sei die dezentrale, Privatsphären freundlichere Lösung in Gefahr.
Eine der größten Unsicherheiten ist freilich die Frage, ob die App die kritische Menge an Nutzern erreichen kann, die sie benötigt. Laut Epidemiologen müssen etwa 70 Prozent der Bevölkerung die App nutzen, damit das Konzept aufgehen kann. In der Tat haben nur etwa 80 Prozent aller Deutschen ein Smartphone. Es müssten also mehr oder weniger alle überzeugt werden, die App zu nutzen. Datenschützer haben die Sorge, dass dieses „Überzeugen“ möglicherweise nicht ganz freiwillig vonstattengeht. So sei schon in der Diskussion, künftige Freiheiten mit der Nutzung der App zu verknüpfen. Und wer vor die Wahl gestellt wird, entweder wieder das Haus verlassen zu können oder die App nicht zu nutzen, hat wohl kaum eine freie Wahl.
Von daher werden möglicherweise entsprechende Nutzungszahlen erreicht. Aber was ist mit Menschen, die kein BLE-taugliches Smartphone besitzen? „Wir werden im August einige Millionen Bluetooth-Beacons produzieren für Kinder unter zehn und Senioren über 70“, sagt Thomas Wiegand in der MIT-Konferenz auf diese Frage. Beacons sind kleine Geräte, die entsprechende Bluetooth-Signale aussenden – sie würden also diese Funktion des fehlenden Smartphones übernehmen. Man muss kein Hellseher sein, um vorherzusehen, dass künftig Kinder möglicherweise nur dann in die Schule dürfen, wenn sie mit einem solchen Beacon ausgestattet sind.