- DAZ.online
- DAZ / AZ
- DAZ 18/2020
- Der Weg aus der Sackgasse
DAZ aktuell
Der Weg aus der Sackgasse
Ist ein Ende des Streits über die „Corona-Apps“ in Sicht?
Bei der Diskussion ging und geht es vordergründig um die Frage, wo die gesammelten Kontaktdaten einer Tracing-App gespeichert und verarbeitet werden sollen. Es gibt den dezentralen Ansatz, bei dem die gesammelten Kontaktdaten lokal auf dem jeweiligen Smartphone des Anwenders verbleiben. In der letzten DAZ wurde dieses Konzept bereits näher beschrieben („App-stand halten!“, DAZ 2020, Nr. 17, S. 24). Die Projektgruppe PEPP-PT, ein Konsortium aus Wissenschaft und Industrie, hatte einen Protokollentwurf für einen dezentralen Ansatz mit dem Namen DP-3T auf ihrer Website veröffentlicht [2]. Dieser verschwand jedoch auf wundersame Weise und scheinbar nicht abgestimmt vor rund zwei Wochen wieder. Selbst Projektmitglieder, die aktiv an dem Papier mitgearbeitet hatten, waren über die Löschung nicht informiert. So wird am 16. April der Sicherheitsforscher Kenny Paterson von der ETH Zürich wie folgt zitiert: „Bislang hat uns niemand erklärt, warum die Informationen zu DP-3T von der Webseite entfernt wurden.“ [3]
Projektgruppe zerstritten
Nur wenige Stunden später meldete sich einer der Projektmitbegründer und Betreiber der Projektseite, Chris Boos, zu Wort: Seiner Meinung nach, hätte der Eindruck entstehen können, das Projekt PEPP-PT verfolge lediglich den dezentralen Ansatz einer App. Er ist der Ansicht, dass auch das zentrale Konzept einer App gleichberechtigt betrachtet werden müsse, weshalb der Entwurf zu DP-3T vorerst entfernt worden sei [3].
Ein Konflikt in der Projektgruppe schien sich anzubahnen und kurz darauf wenden sich einige Mitglieder und Organisationen offiziell vom Projekt ab – neben dem CISPA Helmholtz-Zentrum für IT-Sicherheit auch der Epidemiologe Marcél Sathe der ETH Lausanne. Seine Kritik besteht darin, dass der zentrale Ansatz nicht ausreichend transparent entwickelt werde, während hingegen das von ihm vorangetriebene dezentrale Konzept offen publiziert worden sei [4].
Zwei Lager: zentral vs. dezentral
Die sich entwickelnde Diskussion ist aufgeladen: Eine große Anzahl Politiker, Wissenschaftler und IT-Experten meldet sich zu Wort, die Medien schreiben von einer „Schlammschlacht um die Corona-App“, es wird auf die Dringlichkeit einer schnellen Umsetzung verwiesen und es fallen einzelne Aussagen unter anderem dazu, dass der Datenschutz einer App nicht im Wege stehen dürfe.
Auf der einen Seite sind die Anhänger einer dezentral arbeitenden App, die ein großes Risiko und Missbrauchspotenzial der hochsensiblen Gesundheits- und Kontaktdaten sehen. Auf der anderen Seite stehen die Befürworter des zentralen Ansatzes. Zum Gesicht dieses Lagers wird der bereits erwähnte Chris Boos, geboren 1972, Gründer der Firma Arago GmbH und Mitglied des Digitalrats der Bundesregierung [5]. Seine Firma beschäftigt sich mit der Erforschung und Anwendung künstlicher Intelligenz (KI). Er meldet sich in einem FAZ-Interview zu Wort, in dem er den Anhängern des dezentralen Ansatzes „ein quasi-religiöses Verhältnis zu Anonymität und Datenschutz“ vorwirft. Aus seiner Sicht sei eine öffentliche Diskussion zum technischen Konzept schädlich und unerwünscht, da hieraus kein Erkenntnisgewinn entstehe. Es fällt eine weitere bemerkenswerte Aussage in diesem Interview: „[Dass die App ...] auch Risikoanalysen erstellen soll, die sich im Laufe der Zeit durch Machine-Learning verfeinern könnten. Auf Basis dieser Analysen lassen sich beispielsweise epidemiologisch sinnvolle Quarantänemaßnahmen gezielt anpassen.“ Machine-Learning ist ein Teilbereich von KI und gehört somit auch zum Kernbereich der Firma Arago.
Als am 22. April das Bundesgesundheitsministerium im Digitalausschuss des Deutschen Bundestags verkündet, dass man sich für den zentralen Ansatz entschieden habe und am selben Tag das Fraunhofer-Institut als Mitglied von PEPP-PT ein Projektpapier [6] zu diesem Ansatz veröffentlicht, wird klar, dass die geplante App mehr können soll als ursprünglich geplant: Es wird, wie bereits in dem Interview von Chris Boos angesprochen, eine zentrale Analyse der Daten angestrebt, um z. B. der Bundesregierung und dem Robert Koch-Institut eine Optimierung der Quarantänemaßnahmen zu ermöglichen.
Google und Apple favorisieren dezentrale Lösung
Dabei stellt sich die grundsätzliche Frage, ob eine Contact-Tracing-App mit ihren sensiblen Daten in Kombination mit der zentralen Erfassung epidemiologischer Daten sinnvoll ist. Dabei geht der Entwurf des Fraunhofer-Instituts noch weiter: Es wünscht sich eine direkte Anbindung von Untersuchungslaboren in der App, um Ergebnisse aus Corona-Testungen an die untersuchten Personen zu übertragen. Diese Funktion bindet zusätzliche sensible persönliche Gesundheitsdaten in die App ein, obwohl die App im Kern auf anonymisierten Daten aufbauen soll. Jegliche Form zusätzlicher personalisierter Daten und Prozesse erhöht das Risiko der Deanonymisierung und des Datenmissbrauchs. Es geht also in dem vorgelegten Konzept um deutlich mehr, als nur um die Frage, wo Daten der App gespeichert werden.
Eine weitere elementare Frage bleibt ebenfalls unbeantwortet: Eine Realisierung einer Tracing-App ist ohne die Unterstützung der Hersteller Google und Apple aus technischen Gründen kaum möglich. Diese hatten allerdings zentralisierten Lösungen aus Datenschutzgründen bereits eine Absage erteilt. Die Hersteller können den Zugriff auf die neu konzipierten Schnittstellen zum Tracing mit Bluetooth für nicht autorisierte Entwickler und deren Apps einschränken.
Richtungswechsel und Vertrauensverlust
Die Reaktion auf die Entscheidung des Bundesgesundheitsministeriums für eine zentrale Lösung ließ nicht lange auf sich warten. In einem offenen Brief verschiedener netzpolitischer Organisationen, darunter der Chaos Computer Club, wird die Bundesregierung aufgefordert, das zentrale Konzept zu stoppen und auf eine dezentrale Lösung zu setzen, nicht zuletzt aufgrund der Erfahrungen mit der Datenspende-App des Robert Koch-Instituts. In einer ausführlichen Blackbox-Analyse wurden erneut problematische Bereiche identifiziert und der Umgang mit dem pseudonymisierten Datenzugriff des RKI auf die gespendeten Daten kritisiert [7].
Auch hatte sich das Europäische Parlament in einer Resolution im Vorfeld für dezentrale Konzepte bei Tracing-Apps ausgesprochen [8].
Mit der Entscheidung am Samstagabend versuchen nun das Ministerium und die Bundesregierung, den Weg aus der Sackgasse zu finden – der zentrale Ansatz war aufgrund mangelnder Unterstützung bei Wissenschaftlern, Herstellern und der Zivilgesellschaft zum Scheitern verurteilt, leider hat man die offensichtlichen Zeichen nicht wahrnehmen wollen und verließ sich mehr auf seine Berater. Es stellt sich die Frage, ob die Wahrung der Grenze zwischen Beratung und privatwirtschaftlichen Interessen immer ausreichend gegeben war. Der entstandene Flurschaden durch den intransparenten Entscheidungsprozess und der teils unsachlich und emotional geführten Diskussion dürfte erheblich sein. Die grundsätzliche Bereitschaft zur Nutzung einer Corona-App auf dem eigenen Smartphone zur Bewältigung der Pandemie dürfte deutlich gesunken sein und genau das galt es ja eigentlich mit allen Mitteln zu verhindern. |
Literatur
[1] Tagesschau.de vom 26.04.2020: Corona-Tracing Bundesregierung denkt bei App um. https://www.tagesschau.de/inland/coronavirus-app-107.html
[2] Pan-European Privacy-Preserving Proximity Tracing. https://www.pepp-pt.org/
[3] Golem Media GmbH. Golem.de vom 16.04.2020: Streit beim Corona-App-Projekt. https://www.golem.de/news/pepp-pt-streit-beim-corona-app-projekt-2004-147925.html [4]
[4] Neue Züricher Zeitung vom 17.04.2020: Streit um das Corona-Tracing: Der Schweizer Epidemiologe Salathé verkündet den Ausstieg aus dem paneuropäischen Projekt. https://www.nzz.ch/technologie/streit-um-das-corona-tracing-der-schweizer-epidemiologe-salathe-verkuendet-den-ausstieg-aus-dem-paneuropaeischen-projekt-ld.1552279
[5] Die Bundesregierung. Expertengremium Die Gesichter des Digitalrates. https://www.bundesregierung.de/breg-de/themen/digitalisierung/chris-boos-1504580
[6] Fraunhofer. Proximity-Tracing im Corona-Kontext. Der Fraunhofer-Ansatz für Deutschland. https://www.fraunhofer.de/content/dam/zv/de/presse-medien/2020/april/Fraunhofer_Paper_Der-deutsche-Anti-Corona-App-Ansatz.pdf
[7] Tschirsich M, Jäger P, Zilch A. Blackbox-Sicherheitsbetrachtung Corona-Datenspende-App des RKI. Selektive Analyse und Empfehlung für Verantwortliche. Version 1.0, 19. April 2020. https://www.ccc.de/system/uploads/297/original/CCC_Analyse_Datenspende.pdf
[8] abgeordnetenwatch.de vom 16.04.2020. Europaweite Maßnahmen gegen die COVID-19-Pandemie. https://www.abgeordnetenwatch.de/eu/9/abstimmungen/europaweite-massnahmen-gegen-die-covid-19-pandemie
0 Kommentare
Das Kommentieren ist aktuell nicht möglich.