Contact-Tracing-App des Bundes: Ist sie sicher und zuverlässig?
Ich werde mir bald die Frage stellen müssen, ob ich die Contact-Tracing-App des Bundes installieren und verwenden will. Behalte ich mit dieser App die Kontrolle über meine persönlichen Daten? Wie zuverlässig kann die App funktionieren?
Wie funktioniert das Contact-Tracing-App?
Der EPFL-Epidemiologe Marcel Salathé, der massgeblich an der Entwicklung beteiligt ist, hat sich den Fragen der Parlamentarier gestellt und über die Funktionsweise des Contact-Tracing-App informiert. Hier eine kurze Zusammenfassung dieser Funktionsweise.
Die App verwendet Bluetooth. Bluetooth ist ein Industriestandard für die Datenübertragung zwischen Geräten über kurze Distanz per Funktechnik. Sobald Bluetooth auf meinem Gerät eingeschaltet ist, sucht es sich benachbarte Geräte mit eingeschaltetem Bluetooth. Die Contact-Tracing-App kann aus der Stärke des benachbarten Signals die Distanz dieses Gerätes ermitteln. Wenn das Nachbargerät weniger als 2 Meter entfernt ist, speichert mein Gerät dessen Identifikation.
Die Verwendung von Bluetooth
Ist Bluetooth sicher?
Eine permanent eingeschaltete Bluetooth-Verbindung bildet ein Einfallstor für Hacker. Da der Aufwand für das Hacken aber (im Gegensatz zu einer eingeschalteten WLAN-Verbindung) sehr gross ist, ist das Risiko vernachlässigbar. Ich berücksichtige diesen Aspekt deshalb im Folgenden nicht weiter.
Wie gut lässt sich mit Bluetooth Distanzen messen?
Die korrekte Distanzmessung zum Nachbargerät ist der entscheidende Punkt bei der Beurteilung der Zuverlässigkeit der App. Ich möchte ja nicht wegen einem falschen Alarm in die Quarantänte geschickt werden. Die App geht davon aus, dass je besser das empfangene Signal ist, desto näher sich das Nachbargerät befindet. Wer die Herausforderungen der Verwendung der Bluetooth-Technologie für die Distanzmessung verstehen will, muss wissen, dass sich Bluetooth wie ein Radiosignal verhält. Wer noch ein analoges Radiogerät zuhause hat, kennt die Tücken: Wenige Meter Unterschied entscheiden manchmal, wie gut die Qualität des empfangenen Signals ist. Der Grund liegt darin, dass Radiosignale sehr leicht abgelenkt werden können. Experten erwarten ähnliche Herausforderungen mit Bluetooth: Das Signal kann sich in Menschenmengen oder bei Regen anders verhalten, als die Prognosen im Labor erwarten lassen. Zudem kann das Bluetooth-Signal Hindernisse wie Plexiglasscheiben überwinden, die für den Virus nicht überwindbar sind.
Sven Mattisson: “My main concern was that many (non-radio specialists) are unaware of the large variability in signal strength vs. contact distance." (Zitat aus The Intercept)
Die Erfinder der Bluetooth-Technologie, Jaap Haartsen und Sven Mattisson, befürchten deshalb, dass die App sehr viele falsche Alarme auslösen wird, weil u.a. Erfahrungen bei der Verwendung von Bluetooth für die Distanzmessung noch fehlen.
Art und Umfang der Speicherug der Identifikationen
Die Unterschiede der weltweit verschiedenen in Diskussion stehenden oder bereits im Einsatz stehenden Lösungen für ein Contact-Tracing-App liegen in der Art (zentrale vs. dezentrale Datenspeicherung) und Umfang (minimale vs. maximale Datenspeicherung) der Speicherung dieser Identifikationen.
Lösungen mit zentraler Speicherung aller Daten bei einer Behörde
Bei den zentralen Lösungen werden die gespeicherten Identifikationen meiner Nachbargeräte wie auch meine Identifikation sofort zu einem zentralen Server übermittelt. Falls ich einen positiven Covid-19 Befund habe, wird dieser ebenfalls zum zentralen Server übermittelt. Dieser berechnet, welche Identifikationen benachrichtigt werden müssen.
Mit dieser Lösung vertraue ich meine Daten und auch die Daten der Nachbargeräte einer zentralen Authorität an. Die Lösung in Singapur verfolgt diesen Weg. Die Pandemieforschung bevorzugt diesen Ansatz, weil so relativ viele Informationen für die Forschung zentral bereitgestellt werden.
Lösungen mit dezentraler Speicherung der Daten auf den persönlichen Handys
Bei der dezentralen Speicherung bleiben die Identifikationen auf meinem Gerät. Falls ich positiv getestet bin, übertrage ich meine Identifikation und diejenigen der Nachbargeräte, welche in den letzten 14 Tagen meine Nachbarn waren, dem zentralen Server, sofern ich das will. Jedes Gerät, auf dem die App installiert ist, fragt regelmässig den zentralen Server ab, ob seine Identifikation gemeldet wurde. Falls ja, warnt es seinen Benutzer. Mit dieser Lösung werden also keine persönlichen Informationen von mir zentral gespeichert.
Google und Apple haben speziell für Contact-Tracing-Apps basierend auf der dezentralen Speicherung einen gemeinsamen Standard entwickelt.
Datenschutzorganisationen (siehe dazu der offene Brief einiger Organisationen an die deutschen Behörden) bevorzugen diese Lösung, weil damit der Bürger nur eine kleine Datenspur hinterlässt.
Weitere Unterschiede zwischen den Lösungen gibt es auch in Bezug auf die Menge der gespeicherten Daten:
Minimale Datenspeicherung
Für das korrekte Funktionieren des Contact-Tracing-App muss nur die Identifikation eines Gerätes zentral gespeichert werden. Es sind insbesondere keine Positionsdaten und auch keine Zeitstempel notwendig. Ein Gerät kann sogar seine Identifikation regelmässig ändern, um ein Tracking fast vollständig zu verunmöglichen, ohne die Funktionsweise eines Contract-Tracing-App einzuschränken.
Maximale Datenspeicherung
Neben der Identifikation können beliebig viele weitere persönliche Informationen der Gerätebesitzer gespeichert und übertragen werden. Mit diesen Daten kann ein Persönlichkeitsprofil über mich erstellt werden. Dieses Persönlichkeitsprofil kann für gute Zwecke wie die Pandemieforschung verwendet werden. Es kann aber natürlich auch missbraucht werden.
Zusammenfassung
Vereinfacht gesagt möchte die Pandemie-Forschung eine zentrale Lösung mit maximaler Datenspeicherung und die Datenschutzorganisationen wie auch ich wünschen eine dezentrale Lösung mit minimaler Datenspeicherung.
Weil das Vertrauen der Bürger der entscheidende Faktor für den Einsatz des App ist, hat der Bund angekündigt, eine dezentrale Speicherung der Daten zu realisieren und dazu nur eine minimale Datenspeicherung vorzusehen. Da der Quellcode offen vorhanden ist, lässt sich überprüfen, ob der Bund den Worten auch Taten folgen lässt.
Gemäss meinen Informationen verfolgt das App tatsächlich weitgehend einen dezentralen Ansatz mit minimaler Datenspeicherung. Eine Ausnahme: Es werden zur Identifikation auch die zugehörigen Zeitstempel ermittelt und bei Bedarf weitergegeben, was eigentlich nicht zwingend notwendig wäre. Die minimale Datenspeicherung wird also nicht ganz umgesetzt. Hier die Zusammenfassung basierend auf meinem aktuellen Wissensstand:
Kriterium |
Meine Bewertung |
|---|---|
| Zuverlässige Funktionsweise | Da Bluetooth bisher noch nie für Distanzmessungen verwendet wurde, habe ich hier erhebliche Zweifel. |
| Dezentrale Lösung | Erfüllt |
| Minimale Datenspeicherung | Fast vollständig erfüllt. Der Zeitstempel zur Identifikation ermöglicht es theoretisch, zusammen mit anderen Daten auf die Person schliessen zu können. Der Aufwand dazu ist aber erheblich. |
| Sämtlicher Quellcode wird offen gelegt | Erfüllt |
| Auch im Krankheitsfall kann ich entscheiden, ob meine Personendaten zentral | Erfüllt |
Mein Fazit: Die Contact-Tracing-App des Bundes erfüllt meine Anforderungen an den Datenschutz. In Bezug auf die Zuverlässigkeit der Warnungen habe ich aber sehr grosse Bedenken. Hier denke ich, dass die Technologie frühestens in einem Jahr soweit erprobt ist, dass nicht zuviele falsche Alarme erfolgen.
Fragen, Anmerkungen, Korrekturen und Widerspruch sind erwünscht. Bitte verwenden Sie dazu entweder das E-Mail oder Twitter (siehe Fusszeile).