Zentrale vs. dezentrale Corona-Tracing-Apps. Welche Technologie bietet den besseren Datenschutz?

[ Original @ Netzpolitik ]

Smartphones sollen bei der Kontaktverfolgung von Covid-19-Infizierten helfen. Das Potential solcher Technologie zur Eindämmung der Pandemie ist enorm. Doch Fachleute streiten sich derzeit öffentlich um die Frage, welche Technologie zum Standard wird, um die hochsensiblen Daten bestmöglich zu schützen. Ein Rekonstruktionsversuch.

Es kommt selten vor, dass sich ein Problem mit einer rein technologischen Lösung beheben lässt. Im Fall der Kontaktverfolgung von Covid-19-Infizierten könnte eine Technologie die Arbeit aber zumindest stark vereinfachen, darin sind sich Expert:innen einig. Die derzeitige Praxis der Gesundheitsämter, Kontakte mit Hilfe von Stift, Papier und Telefon nachzuzeichnen, sie mutet archaisch an und ist vor allem zu langsam.

Denn das Virus wartet nicht aufs Amt. Bisherige Daten legen nahe, dass knapp die Hälfte der Infektionen passieren, noch bevor man überhaupt anfängt zu husten oder fiebern. Wenn es darum geht, mögliche Infizierte zu isolieren und damit Infektionsketten zu unterbrechen, richten sich die Hoffnungen derzeit vor allem auf eines: Apps, die räumliche Nähe automatisiert nachverfolgen könnten.

Vergangene Woche hat eine Allianz von mehr als 130 Forscher:innen und IT-Expert:innen eine mögliche Lösung dafür vorgestellt: eine Art Baukasten, mit dem solche Apps betrieben werden können. Ihre Technologie nennen sie Pan European Privacy Preserving Proximity Tracing (Pepp-PT) – und obwohl sie noch nicht fertig ist, setzen jetzt schon viele ihre Hoffnungen in ihr Versprechen von Erlösung. Deutschlands bekanntester Virologe Christian Drosten sprach in seinem Podcast von seiner „Faszination“.

Wir haben ausführlich erklärt, wie Pepp-PT funktioniert. Die Idee: Nutzer:innen laden sich freiwillig eine App auf das Telefon. Die App zeichnet auf, welche anderen Smartphones mit App in den vergangenen 21 Tagen in der Nähe des eigenen Smartphones waren – für mehr als 15 Minuten. Im Fall einer bestätigten Infektion teilen die Infizierten diese Informationen und alle relevanten Kontakte können binnen Sekunden benachrichtigt werden. Wozu das Gesundheitsamt Tage benötigt, passiert in Sekunden.

Der bestmögliche Datenschutz für alle

Klar ist, darin sind sich die Beteiligten einig: All das muss komplett entkoppelt von persönlichen Daten passieren. Eine zentrale Datenbank, in der die Identitäten oder Standorte von Infizierten gesammelt werden, so ein Szenario wäre in der EU nicht umzusetzen – nicht mal in Zeiten von Covid-19. Außerdem ist die Installation der App freiwillig. Wer würde eine solche Software noch herunterladen, wenn er oder sie fürchten müsste, später doch noch als rote Flagge auf einer Karte der eigenen Stadt aufzutauchen? Schon allein aus strategischen Gründen muss eine Lösung, die auf die freiwillige Teilnahme von Millionen setzt, für Vertrauen werben.

Uneinigkeit besteht allerdings noch in der Frage, wie dieser bestmögliche Datenschutz aussehen wird. Und dieser Graben zieht sich derzeit mitten durch die Gruppe derjenigen, die an Pepp-PT arbeiten. Während die Forscher:innen des Fraunhofer Heinrich-Hertz-Instituts hinter den Kulissen noch mit Hilfe der Bundeswehr an der Kalibrierung der Entfernungsmessung arbeiten, ist in den vergangenen Tagen eine öffentliche Diskussion über den richtigen Weg entbrannt, unter anderem auf Twitter. Es ist eine Diskussion unter Fachleuten für Kryptografie, aber sie wird noch entscheidend werden.

Grob heruntergebrochen dreht es sich um die Frage, ob eine solcher Standard, wie Pepp-PT ihn entwickelt, nach einem zentralen oder einem dezentralen Prinzip funktionieren soll. Ein zentrales Prinzip würde bedeuten: Irgendwo steht ein allwissender, zentraler Server, der meine geheime ID-Zahlenfolge kennt. Die einzelnen temporären Identitäten (IDs), die die App von dieser Zahlenfolge ableitet und aussendet, werden verschlüsselt auf dem Smartphone der Personen gespeichert, die meinem Telefon nahe waren – und umgekehrt. Sie ändert sich mehrmals pro Stunde. Wer mir begegnet ist, kann so niemals meine ID mit meiner Person in Verbindung bringen. Sollte ich aber mit einer anderen Covid-19-Infizierten Person in Kontakt gekommen sein, kann der Server mich benachrichtigen, denn er kennt meine geheime Zahlenfolge.

In der dezentralen Version, wie eine Gruppe von Wissenschaftler:innen um die IT-Expertin Carmela Troncoso sie favorisiert, gibt es keine solche allwissende Instanz. Alle nötigen Berechnungen würden auf den Smartphones selbst laufen. Meldet sich eine App-Nutzerin nach einem positiven Test als infiziert, würde sie ihre geheime ID im Netzwerk veröffentlichen und dieses würde die Information an alle anderen Telefone verteilen. Sie können die temporären IDs berechnen und automatisch nachschauen, ob sie mit einer dieser ID in Kontakt waren.

Beide Systeme haben Schwachstellen

Welche Version ist nun sicherer? Ein Teil der Wissenschaftler:innen, darunter der Jurist Michael Veale, die IT-Expertin Carmela Troncoso und rund 20 weitere, plädieren engagiert für eine dezentrale Variante. Sie nennen diese Decentralized Privacy-Preserving Proximity Tracing (DP-3T) und haben dazu in einem Weißbuch ausführliche Vorschläge veröffentlicht, die sie nun zur Diskussion stellen.

Ihre Befürchtung: Eine zentralisierte Lösung lädt zu Missbrauch ein. Ein allwissender Server, auf dem alle Informationen zusammenlaufen, muss von irgendjemandem verwaltet werden. Es ist die große Schwachstelle in einem solchen System, der Punkt, an dem man jemandem Vertrauen schenken muss, der diesem Vertrauen entweder gerecht wird oder nicht. In einer Demokratie mit starken rechtsstaatlichen Kontrollen könnte man solch ein Risiko vertreten. Aber Pepp-PT, so das erklärte Ziel der Entwickler:innen, soll von möglichst viele Staaten genutzt werden. Erst dann wäre eine Verfolgung über Ländergrenzen hinweg möglich. Was ist mit Staaten wie Ungarn, deren autoritäre Ansprüche zuletzt kaum noch verschleiert wurden?

Denn auch wenn Pepp-PT alle möglichen Vorkehrungen trifft, um eine einzelne ID nicht mit einer Person oder einem Gerät zu verbinden, keine Telefonnummern, nicht mal die MAC-Adressen der Smartphones speichert: Mit entsprechendem Aufwand ließen sich auch in einem solchen System einzelne Erkrankte identifizieren. Man könnte etwa nachverfolgen, welche ID welche anderen IDs infizierte, darüber so genannte Social Graphs erstellen und diese mit anderen Informationen, etwa von Facebook oder Twitter anreichern.

„So ließe sich im Zweifel rekonstruieren, wer wen angesteckt hat, und woher er sich wiederum seine Infektion hat“, sagt Michael Veale, der sich am University College London mit IT-Recht befasst. Sicher vor Missbrauch, sagt Veale, sei daher nur ein System, in dem keine zentrale Instanz die geheimen IDs verwaltet, diese potentiell sensible Information nirgends zusammen läuft außer auf den Geräten der Nutzer:innen.

Dann also unbedingt dezentral? Der Chaos Computer Club, der das Team hinter Pepp-PT in Sicherheitsfragen berät, hat gerade einen Kriterienkatalog mit 10 Punkten veröffentlicht, die Corona-Nachverfolgungs-Apps erfüllen müssen. Auch der Club fordert darin: „Keine zentrale Entität, der vertraut werden muss.“ Es sei „technisch nicht notwendig, alleine auf Vertrauenswürdigkeit und Kompetenz des Betreibers von zentraler Infrastruktur zu vertrauen, die Privatsphäre der Nutzer schon ausreichend zu schützen“. Darauf beruhende Konzepte lehne der Club von vornherein als fragwürdig ab.

Doch auch eine dezentrale Version hat einen entscheidenden Nachteil. Der IT-Unternehmer Chris Boos, der in Deutschland für die Initiative spricht und auch im Digitalrat der Bundesregierung sitzt, fasst im Gespräch mit TechCrunch zusammen: „In einem dezentralen System hat man das Problem, dass man die anonymen IDs der infizierten Personen an alle sendet (…). Das ist die einzige Möglichkeit, wie ein lokales Telefon erfahren kann: War ich in Kontakt oder nicht? (…) Die Frage ist also: Will man eine Partei mit Zugang zu den anonymisierten IDs oder will man allen Zugang dazu gewähren?“

Auch im Falle eines dezentralen Protokolls hätte das System also Schwachstellen. Auf einige weisen die Autor:innen des Whitepapers zu DP-3T bereits selbst hin: Wer sich etwa mit einem Bluetooth-Scanner vor eine Bahnhofshalle oder an einen anderen belebten Platz stellt, könnte so binnen kürzester Zeit Tausende von temporären IDs sammeln. Diese Gefahr sieht etwa Ulf Buermeyer, Vorsitzender der Gesellschaft für Freiheitsrechte und als Datenschutz-Experte selbst in die Debatte involviert. Fügt man noch eine Videokamera hinzu, ließen sich die IDs mit konkreten Personen verbinden. Es ist nicht schwer, sich als nächstes einen Covid-19-Onlinepranger für die eigene Stadt auszumalen, inklusive privater Initiativen, die überwachen, ob sich Einzelne an die Quarantäneauflagen halten.

Technische Grundlage eindeutig, politische Konsequenzen nicht

Die zentrale Informationsübermittlung über einen Server, oder die dezentrale über viele einzelne Geräte im Netzwerk: Beides bietet Vorteile und hat Schwachstellen. Deswegen wird die Entscheidung für das eine oder andere System nicht technisch zu treffen sein, sondern nur politisch, sagt Ulf Buermeyer. „Am Ende“, so Buermeyer, „läuft es auf die Frage hinaus: Welches Risiko finden wir gravierender?“ Dass womöglich ein autoritärer Staat die Daten auf einem zentralen Server für Zwecke missbrauchen könnte, denen Nutzer:innen der App nie zugestimmt haben? Oder dass die zunächst geheimen IDs von Infizierten de facto öffentlich zirkulieren und somit Angriffsfläche für Deanonymisierungsattacken bieten?

Das Konsortium hinter Pepp-PT hat nun angekündigt, beide Verfahren zu unterstützen, das zentrale und das dezentrale. „Beide Lösungen bieten einen guten Datenschutz“, sagt Boos. Man lasse derzeit beide Varianten von Hacker:innen und Informatiker:innen auf mögliche Sicherheitsrisiken prüfen. Allerdings heißt das auch: Einzelne Staaten können sich in einem solchen Szenario diejenige Lösung für ihre nationale App aussuchen, die ihnen am ehesten zusagt.

In Deutschland, sagt Boos, sei klar, dass nur eine zentralisierte Version umgesetzt werden kann. Die Gesetzgebung zum Datenschutz erlaube es gar nicht, dass Medizindaten wie eine Infektion öffentlich geteilt werden – selbst wenn diese pseudonymisiert seien, wie im Fall des dezentralen Systems. Der Jurist Michael Veale, der das dezentrale Protokoll mitentwickelt hat, argumentiert dagegen, die öffentlichen Daten seien juristisch betrachtet gar keine persönlichen Daten, da sie nur unter Einsatz von illegalen Methoden deanonymisiert werden könnten.

Offen ist noch die Frage, wie die beiden Systeme überhaupt miteinander kompatibel wären. Könnten etwa Kontaktketten zwischen Deutschland und Frankreich noch nachverfolgt werden, wenn das eine Land ein zentrales, das andere ein dezentrales System nutzt? Boos sagt, das sei möglich, das Team arbeite derzeit an einer solchen Lösung.

Wie die Technologie im Baukasten-Set von Pepp-PT genau funktioniert, das werden externe Fachleute erst überprüfen können, wenn die Allianz den Code ihrer App-Bausteine und das zugrundeliegende Protokoll wie angekündigt veröffentlicht. Das soll erst passieren, wenn die einzelnen Teile durch ein Peer Review von Expert:innen gegangen sind. Der Chaos Computer Club hat solch eine Transparenz bereits als Voraussetzung für eine vertrauenswürdige App genannt: „Der vollständige Quelltext für App und Infrastruktur muss frei und ohne Zugangsbeschränkungen verfügbar sein, um Audits durch alle Interessierten zu ermöglichen“, schreibt der Verein.

[ Original @ Netzpolitik ]