Suchen

Telekom und SAP entwickeln mit dezentraler Softwarearchitektur Anhaltende Diskussion um Corona-Tracing

| Autor / Redakteur: M.A. Dirk Srocke / Peter Schmitz

Das Ringen um die geplante Tracing-App zur Eindämmung des Corona-Virus geht weiter. Das Bundesministerium für Gesundheit (BMG) setzt mittlerweile auf Freiwilligkeit und verschlüsselte Identitäten; der Deutsche Landkreistag fordert dagegen verpflichtende Installationen und Tracking per Geodaten für die Gesundheitsämter.

Firmen zum Thema

Bis die Corona-Tracing-App fertig ist, wird es laut Jens Spahn noch mehrere Wochen dauern.
Bis die Corona-Tracing-App fertig ist, wird es laut Jens Spahn noch mehrere Wochen dauern.
(Bild: © Вячеслав Чичаев - stock.adobe.com)

Wie schwer wiegt das Gut Gesundheit? Diese Frage stellt sich dieser Tage immer wieder aufs Neue und statt finaler Antworten sehen wir, wie Wirtschaft und Gesellschaft ihr Wertesystem tagtäglich neu austarieren. Das zeigt sich insbesondere an der von der Bundesregierung geplanten Corona-Tracing-App – einer mobilen Anwendung, die mögliche Infektionsketten per Bluetooth nachvollziehen und so die Pandemie eindämmen soll.

Kritik an zentralem Ansatz

Der zunächst vom Bundesgesundheitsministerium verfolgte Ansatz stieß dabei auf deutlichen Gegenwind. In einem offenen Brief vom 24. April bezeichneten mehrere netzpolitische Organisationen die geplante Corona-App dabei noch als „höchst problematisch“. Unterzeichnet ist das Schreiben von D64 – Zentrum für digitalen Fortschritt e. V., Chaos Computer Club e. V. (CCC), LOAD e. V., Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e. V., Gesellschaft für Informatik (GI) e. V. und Stiftung Datenschutz.

Die Kritik richtete sich dabei insbesondere gegen das Softwaregerüst der Initiative PEPP-PT (Pan-European Privcay-Preserving Proximity Tracing). Die nutze ein zentrales Matching und sei nicht in der Lage gewesen, „schnell eine halbwegs funktionierende und datenschutzfreundliche Lösung zu liefern“.

Alternativ empfehlen die Verfasser des offenen Briefes einen dezentralen Ansatz wie DP-3T (Decentralized Privacy-Preserving Proximity Tracing). Dies ist freilich nicht der einzige dezentrale Ansatz. In einem weiteren offenen Brief vom 19. April bringen zahlreiche internationale Wissenschaftler ebenfalls die Methoden der TCN Coalition sowie PACT (MIT) und PACT (UW) ins Gespräch.

Einlenken der Regierung

Der Kritik haben nun anscheinend auch Kanzleramtsminister Helge Braun und Bundesgesundheitsminister Jens Spahn nachgegeben. Laut einer gemeinsamen Mitteilung vom 26. April setze die Bundesregierung auf „temporäre verschlüsselte Identitäten“ und „eine dezentrale Softwarearchitektur, die die in Kürze zur Verfügung stehenden Programmierschnittstellen der wesentlichen Anbieter von mobilen Betriebssystemen nutzt und gleichzeitig die epidemiologische Qualitätssicherung bestmöglich integriert.“

Ausgleichender Ansätze

Beim Namen genannt wird dieser zentrale Ansatz jedoch weder in der Mitteilung noch auf unsere explizite Nachfrage hin. Ganz aus dem Rennen könnte damit auch PEPP-PT noch nicht sein. Denn auf der Homepage gibt sich die Initiative offen für dezentrale Techniken:

„In accordance with the recently published EU Toolbox, PEPP-PT currently considers two privacy-preserving approaches: “centralized” and “decentralized”, and continues to be open for further ideas for improvement that support PEPP-PT goals.“

Um einen ausgleichenden Ansatz der verschiedenen Ansätze bemüht sich auch Professor Thorsten Strufe, Leiter der Forschungsgruppe „Praktische IT-Sicherheit“ am Karlsruhe Institut für Technologie (KIT). Gemeinsam mit seinem Team hat Strufe untersucht, wie datenschutzkonform dezentraler und zentraler Ansatz tatsächlich sind.

Seine vorläufige Einschätzung: „Bisher hat man den Eindruck, dass es ein Wettlauf unterschiedlicher Initiativen war. Es wäre aber besser, zunächst die notwendige Funktion zu verstehen, die potenziellen Bedrohungen klar zu benennen und anschließend gemeinsam ein umfassend sicheres System zu entwickeln.“ Dabei gelte es darauf zu achten, dass keine großen Firmen als Treuhänder der Daten auftreten.

Kritische Geister könnten Strufe jedoch eine gewisse Nähe zu PEPP-PT unterstellen. Bis 2019 begleitete laut Vita er eine Professor für Datenschutz und Datensicherheit (W3) an der TU Dresden – die wird von PEPP-PT als Mitglied geführt. Gleiches gilt für verschiedene Institute der Fraunhofer-Gesellschaft; für die trat Strufe schon als Vortragender auf.

Zwischen Freiwilligkeit und Pflicht

Während die Bundesregierung mittlerweile mit „Freiwilligkeit“ und „dezentraler Softwarearchitektur“ um eine „Akzeptanz“ bei der Bevölkerung wirbt, betrachtet der Deutsche Landkreistag (DLT) den Datenschutz offenbar als nachgeordnete Prämisse.

So wird DLT-Präsident Landrat Reinhard Sager in einer am 26. April publizierten Mitteilung wie folgt zitiert: „Dabei sollte uns der Datenschutz zwar wie auch bei anderen Projekten beschäftigen, aber aufhalten dürfen solche Fragen die Entwicklung nicht.“

Zudem sei man skeptisch, ob eine Freiwilligkeit ausreiche: „Wir benötigen für eine wirksame Nachverfolgbarkeit nach Meinung der Experten ca. 60 % der Bevölkerung, die eine solche App nutzen müssten. Das sind 50 Mio. Menschen. Wir halten deshalb für einen vorübergehenden Zeitraum auch eine verpflichtende Installation für begründbar.“

Zwang verfassungsrechtlich zulässig

Derlei Aussagen zu einem Zwang hatten in der Vergangenheit bereits für einigen Wirbel in sozialen Netzwerken gesorgt. So soll etwa der Vorsitzende der Gesellschaft für Freiheitsrechte (GFF) Dr. Ulf Buermeyer öffentlich über „irrationale Ängste“ der Bürger und eine „Zwangsapp“ nachgedacht haben.

Auf unsere Nachfrage spricht Buermeyer allerdings von einem verkürzt und verfälscht widergegebenen Zitat. Richtig sei vielmehr Folgendes: „Ich habe der Welt gesagt, dass eine Zwangsapp zwar verfassungsrechtlich zulässig wäre, was so weit ich sehe auch juristisch nicht umstritten ist, dass ich einen solchen Zwang aber rechtspolitisch ablehne.“

Zeitplan: Mehrere Wochen

Im Gewirr guter Ratschläge will Spahn die Corona-Tracing-App nun so schnell und sicher wie möglich auf den Weg bringen. Die Entwicklung könne aber noch mehrere Woche dauern.

Telekom und SAP entwickeln, Fraunhofer und Helmholtz beraten

Weitere Details dazu gaben Bundesministeriums für Gesundheit (BMG), Bundesministerium des Innern, für Bau und Heimat (BMI) sowie Bundeskanzleramt am 28. April bekannt: „Basierend auf einer dezentralen Softwarearchitektur wird angestrebt, sie durch die Deutsche Telekom und die SAP zu entwickeln und zur Marktreife zu bringen. Die Fraunhofer-Gesellschaft und das Helmholtz-Zentrum CISPA stehen bei der Entwicklung beratend zur Seite.“

Die zitierte Formulierung um das Prädikat „anstreben“ lässt freilich Interpretationsspielraum zu Zeitplan und schließlich genutztem Framework. Wie bereits zuvor erwähnt, tat sich die beratende Fraunhofer-Gesellschaft bislang als Unterstützer von PEPP-PT hervor.

Nichtsdestotrotz wolle man auf staatlicher Seite die notwendigen Anforderungen an Datenschutz und Datensicherheit zu gewährleisten. Darum würden Bundesamt für Sicherheit in der Informationstechnik (BSI) und Beauftragte für den Datenschutz und die Informationsfreiheit (BfDI) von Beginn an eingebunden.

Funktionsweise

Die angestrebte Funktionsweise der geplanten App beschreiben BMG, BMI und Bundeskanzleramt in ihrer gemeinsamen Mitteilung wie folgt:

“Hierfür soll die Corona-App unter Nutzung von Bluetooth-Low-Energy den Abstand zwischen Personen messen und ermöglichen, dass die Mobilgeräte sich die Kontakte merken, die die vom RKI [Robert Koch-Institut] festgelegten Kriterien (Nähe und Zeit) erfüllt haben. Hierbei tauschen sie untereinander temporäre verschlüsselte Identitäten aus. Werden Nutzer der Corona-App positiv auf das Corona-Virus getestet, können sie auf freiwilliger Basis ihre Kontakte durch die App informieren lassen. Dabei werden im Infektionsfall die verschlüsselten IDs des Infizierten allen Mobiltelefonen der App-Nutzer zur Verfügung gestellt. Diese können daraufhin überprüfen, ob sie mit den übermittelten IDs in Kontakt waren. Im Falle einer Übereinstimmung wird der Nutzer über den kritischen Kontakt gewarnt.“

RKI gibt App heraus und sammelt Datenspenden

Nach Fertigstellung durch die Telekom und die SAP soll die Corona-App dann durch das Robert-Koch-Institut herausgegeben werden. In einer nachfolgenden, zweiten Stufe ist zudem geplant, einen Forschungsserver einzurichten. Der solle auf Basis freiwilliger Datenspenden der Nutzer pseudonymisierte Daten zur qualitätssichernden Analyse der Corona-App nutzen.

(ID:46547164)

Über den Autor