Die Corona App: Datenpreisgabe unter den Aspekten Datenschutz und Informationssicherheit

Die GPS-App

Am Morgen fahre ich mit dem Rad nach Peiß und kaufe beim Bäcker Brezen und Semmeln für das Frühstück. Dabei treffe ich nicht nur auf die Verkäuferin, den Bäckermeister und einen guten Freund, sondern auch auf zwei weitere Personen. Ich trage Mundschutz und berücksichtige alle derzeitigen Vorsichtsmaßnahmen. Ich bin, da ich noch etwas warten muss, etwa 10 Minuten im Laden. Das Gespräch setzt sich aber noch mit meinem Freund etliche Minuten vor der Tür fort. Anschließend geht es weiter zum Metzger, auch dort ein ähnliches Publikum und eine ähnliche Aufenthaltsdauer. Am Nachmittag fällt mir noch ein, dass ich ja noch Besorgungen machen muss und ich fahre zum Supermarkt. Kontakt habe ich auch hier mit Leuten aus unserer Gemeinde.

Bei der installierten GPS-Version der Corona App, würde das GPS-Tracking jetzt im Hintergrund während jeder Sekunde meines Tages protokollieren, an welcher Stelle ich heute in Aying war. Die Daten würden dann bei der nächsten Verbindung ins Internet auf einen zentralen Server überspielt. Dort würde die Auswertung der Spuren beginnen, die ich und die unzähligen Mitmenschen hinterlassen haben. Decken sich nun der Zeitpunkt und die GPS-Koordinaten, wäre es ein möglicher Treffer. Diese Datenhaltung und Rechenzeit für die Auswertung verursacht Kosten. Daher nimmt sich der einzige Anbieter dieser deutschlandweiten Corona App heraus, in regelmäßigen Abständen Werbung auf dem Smartphone einzublenden. Ebenso verkauft er die Daten an interessierte Unternehmen wie Supermärkte oder Onlineshops, die damit ihr eigenes Waren-Portfolio und ihre Werbestrategie verbessern. Hin und wieder gelingt es auch Cyber-Kriminellen, den Server des Anbieters zu hacken und die Daten zu stehlen. Da nicht nur die Treffer, sondern auch eigentlich nicht notwendige aber sehr wertvolle Tracking Daten gespeichert sind, kann am Cyberschwarzmarkt ein hoher Preis dafür erzielt werden. Eine Mailwelle mit einschlägigen Inhalten, Phishing und Malware Programmen sind die Folge, denn die Mailadressen, die für die Registrierung der App notwendig waren, sind zudem gratis enthalten. In einem totalitären Staat mit No-Go-Areas wären damit sogar Erpressungen möglich.

Die erweiterten Grundsätze der Informationssicherheit wie Datensparsamkeit und Anonymität würden bei diesem Verfahren verletzt werden. Zudem ist das hier bestehende Potential für eine Datenpanne und die kommerzielle Nutzung nicht im Sinne eines bürgerfreundlichen Verfahrens, das Daten für die Gesundheit benötigt. In falsche Hände gelangt, kann der Tagesablauf minutiös nachvollzogen und der Gesundheitszustand missbraucht werden.

Die Tracing App, Variante I

Bei der Tracing App ohne GPS, Variante I, ist der Weg durch unser Ayinger Dorf ähnlich. Allerdings kann er nicht nachvollzogen werden. Denn es werden bei der Tracing App nur Kontakte aufgezeichnet, die von der Bluetooth-Schnittstelle (BLE „Bluetooth Low Energy“) meines Smartphones als zu nah registriert werden. Dann tauschen die Handys eine verschlüsselte und eigens von Dritten nicht nahvollziehbare Identifikationsnummer, ein sogenanntes Beacon, aus. Dazu musste der Kontakt mit dem Mitmenschen länger als 10 Minuten und unter 1,5 Meter Abstand bestanden haben. Das sind die derzeitigen Mindestvoraussetzungen für einen möglichen Infizierungsweg. Damit endet für die Variante I der Tracing App aber auch schon der gemeinsame Weg der Datenerfassung. Denn im Anschluss nehmen die Daten bei nächster Gelegenheit ins Internet denselben Weg wie die Daten im oberen GPS-Szenario: Zentraler Server, von einem Anbieter, der mehr oder weniger die gleichen Potentiale für einen Angriff auf die Privatsphäre hätte. Allein die Datenerhebung würde nur die minimal notwendigen Daten erheben: Die echten, risikotragenden Kontakte.

Die Tracing App, Variante II

Jetzt gibt es aber noch die zweite, datenschutzsichere Variante der Tracing App (D3PT „Decentralized Privacy Preserving Proximity Tracing“).

Wie in Variante I werden auch hier über die BLE-Schnittstelle des Smartphone Betriebssystems standardisiert die minimal notwendigen Daten erhoben. Auch wiederum nur die der potentiell gefährlichen Kontakte. Die Auswertung findet nun aber direkt auf dem Handy statt. Es ist also eine dezentrale Lösung. In der Informationssicherheit gelten solche als robuster gegen Ausfall, sicherer im Datenschutz, bei der Authentizität und der Integrität. Alles Fachbegriffe – die aber die Privatsphäre der Bürgerinnen und Bürger sicherstellen. Zudem wird diese Variante quelloffen entwickelt, also mit einem für jeden einsehbaren Programmiercode. Unabhängige Stellen wie der Chaos Computer Club oder das Bundesamt für Sicherheit in der Informationstechnik können die App auf Hintertüren für Datenabflüsse oder auf Schwachstellen untersuchen, die der Informationssicherheit entgegenstehen.

Zurück nun zu unserem Supermarkt in Aying, bei dem es sicher die meisten Kontakte auf der Suche nach Toilettenpapier und Spaghetti gab. Auf jeden Fall war es mit der D3PT Corona App möglich, dass ich rechtzeitig gewarnt wurde, als innerhalb von 14 Tagen meine Zufallsbekanntschaft vor dem Weinregal positiv auf COVID-19 getestet wurde. Davon habe ich allerdings nichts erfahren, denn die App gibt nur preis, dass innerhalb eines Zeitraums ein Kontakt stattgefunden hat und ich selbst einen Test machen sowie die Quarantäne einhalten sollte. Würde mein Test wiederum positiv sein, wäre dies das Signal für die anderen Apps, die in den letzten 14 Tagen sich ausgetauscht hatten, ebenfalls ihrem Besitzer einen Test zu empfehlen.

Transparenz in der Entwicklung der App durch das quelloffene Programm, Schutz der Privatsphäre durch Datenminimalismus und verteiltes Rechnen über ein dezentrales System, das jeder Bürger, jede Bürgerin selbst in der Hand hält, sind grüne Forderungen. Jeder und jede kann selbst mithelfen, kann bei sich anfangen, in dieser schwierigen Zeit einen Beitrag zur Gesundheit zu leisten.

 

Hier noch ein paar Informationen, wie diese Entwicklung sich in Deutschlang vollzogen hat, denn anfänglich war die Tracing App mit zentralem Datenspeicher und Verarbeitung von der Regierung gewählt worden. Doch weil der Erfolg der App und damit auch die Wirksamkeit von der Akzeptanz bei uns Bürgerinnen und Bürgern abhängt, sind Privatsphäre und Datenschutz höher als alles andere zu bewerten.

Übrigens unterstützen Apple und Google diese zweite Variante der Datenerhebung und schließen eine Mitwirkung der zentralen Server-Lösung aus. Frankreich z.B. favorisiert diese nach wie vor.

Ihren Ursprung hat die App in einem Hackathon am 23.03.2020 genommen. Es wurde die Aufgabe gestellt, mit ihr schnell die Infektionswege nachvollziehen und Infizierte zu einem klärenden Test oder zur Quarantäne verhelfen zu können. Dabei ergaben sich verschiedene Entwicklungszweige unter Abwägung der gangbaren Umsetzungsmöglichkeiten. Letztendlich war das Thema Akzeptanz und Nachvollziehbarkeit ausschlaggebend. Akzeptanz daher, weil es notwendig ist, sehr viele Nutzerinnen und Nutzer zu haben, um auswertbare Daten zu erhalten. Akzeptanz gibt es aber nur, wenn nachvollzogen werden kann, welche Daten erhoben, wo sie verarbeitet und für was sie verwendet werden, mit offenem Quellcode, von jedem einseh- und prüfbar.

Die Entwicklung geht daher hin zu einer transparenten und datensicheren App, welche die Daten über standardisierte Schnittstellen erhebt, hier sind Google und Apple beteiligt. Die Verarbeitung läuft dann aber dezentral auf den einzelnen Handys ab.

Diese D3PT Variante loben z.B. der Chaos Computer Club und die Landesdatenschutzbeauftragten. Denn was sich sperrig Decentralized Privacy Preserving Proximity Tracing nennt, macht zwischen dem zentralisierten Ansatz (PEPP-PT) und dem sogenannten Profiling (GPS Profile) einen datenschutz- und informationstechnisch riesigen Unterschied.

 

Bisheriger, grüner Standpunkt zur App:

https://www.gruene.de/artikel/corona-krise-kooperation-statt-konkurrenz

Quellen und Infos dazu als weiterführende Links:

https://www.heise.de/mac-and-i/meldung/Corona-Tracking-Apple-und-Google-wollen-nur-eine-App-pro-Land-4714456.html

https://www.heise.de/mac-and-i/meldung/iOS-13-5-Besser-nutzbar-mit-Maske-4712084.html

https://netzpolitik.org/2020/hat-sachsen-anhalt-die-uebermittlung-von-coronalisten-an-die-polizei-vertuscht/

https://www.sueddeutsche.de/politik/coronavirus-news-deutschland-gottesdienst-1.4828033
https://www.sueddeutsche.de/digital/bluetooth-low-energy-corona-apps-pepp-pt-dp3t-tracing-1.4880839

https://www.sueddeutsche.de/digital/tracing-app-corona-1.4890984

https://www.sueddeutsche.de/digital/corona-app-tracing-apple-1.4890126

https://www.sueddeutsche.de/digital/coronavirus-pepp-pt-dp-3t-smartphone-app-streit-1.4882612

https://www.heise.de/newsticker/meldung/Corona-App-per-PEPP-PT-CCC-Co-warnen-Bundesregierung-vor-Server-Loesung-4709212.html
https://www.heise.de/mac-and-i/meldung/Corona-Kontaktverfolgung-Apple-Schnittstelle-kommt-schon-bald-auf-iPhones-4708472.html
https://www.heise.de/newsticker/meldung/Corona-Kontaktverfolgung-und-PEPP-PT-Es-zaehlt-mehr-als-kryptographische-Eleganz-4708335.html
https://www.heise.de/newsticker/meldung/Stopp-Corona-App-Oesterreich-will-Vorzeigemodell-fuer-Europa-schaffen-4707620.html
https://www.heise.de/newsticker/meldung/Corona-Kontaktverfolgung-Bundesregierung-prueft-drei-App-Modelle-4706775.html
https://www.heise.de/newsticker/meldung/Corona-Apps-in-der-Kritik-4691477.html

Corona Impfpass App:

https://www.heise.de/newsticker/meldung/Corona-Immunitaet-Bundesdatenschutzbeauftragter-lehnt-Impfpass-App-ab-4713255.html

Das Umdenken der Regierung:

https://www.tagesschau.de/inland/coronavirus-app-107.html

 

 

 

Verwandte Artikel

Kommentar verfassen

Artikel kommentieren


* Pflichtfeld