Contact-Tracing-App: Das Nichts-zu-verbergen-Argument

Wie wichtig ist Ihnen Ihre Privatsphäre?

Die Schweizer Contact-Tracing-App soll am 11. Mai 2020 einsatzbereit sein. In ganz Europa wird gerade über die Frage diskutiert, wie genau Apps zur Nachverfolgung von Infektionsketten die Daten der Betroffenen am besten schützen sollten, so, als gebe es nur die Optionen Überwachung oder Isolation. Wir haben in vielen Kommentarspalten Schweizer Zeitungen die Stimmung der Befürworter und Gegner beobachtet. Toleranz und Verständnis für die jeweilige Gegenseite sucht man lange. Befürworter sind offen dafür, dass der Staat die Benutzungen dieser Apps erzwingen sollte. Die nationale Ethikkommission (NEK) hat jedoch in einer Stellungnahme Anfang April gefordert, dass die staatliche Corona-Warn-App auf Freiwilligkeit basieren müsse:

 

Weil Contact Tracing wichtige Rechtsgüter und Interessen des Individuums tangiert und die Gefahr besteht, dass eine staatliche Teilnahmepflicht die Solidarität und Kooperationsbereitschaft der Bevölkerung bei der Pandemiebekämpfung beeinträchtigen würde, muss es auf Freiwilligkeit beruhen. Bei der Nutzung einer Tracing-App müssen die Individuen umfassend informiert werden und ohne äusseren Druck zustimmen können.

Nationale Ethikkommission (NEK)

Gegner der Apps argumentieren mit Datenschutzängsten und Überwachung durch den Staat. Die Antwort der Befürworter lässt oft nicht lange auf sich warten: «Ich habe doch nichts zu verbergen! »Haben Sie das auch schon mal gesagt? Dann gehen Sie bitte auf Ihren Google Account, wählen Sie Einstellungen / Daten & Personalisierung. Sehen Sie sich Ihre Verläufe an und drucken Sie Ihre Web-Aktivitäten sowie Ihren Standortverlauf aus.  Gleiches gilt für die Facebook-Likes und die Privatnachrichten. Und nun geben Sie diesen meterhohen Stapel an Blättern Ihrem Partner oder Ihrer Partnerin, Ihren Freunden, Ihren Kollegen, Ihren Vorgesetzten. Einfach jeden der Ihnen über den Weg läuft. Oder ist Ihnen das unangenehm, weil Sie mit Schrecken festgestellt haben, dass Ihr Partner bemerken könnte, dass Sie vorletzten Monat gar nicht nur bei Ihrem Kollegen ein Bier trinken waren, sondern im Nachtclub? Ihr bester Freund und der Barkeeper würden Sie nie verraten. Ihr Standortverlauf schon! Sind Sie jetzt immer noch der Meinung, dass Sie nichts zu verbergen haben? Einzelpersonen konnten schon immer gezielt ausspioniert werden und mit etwas Willen, findet man im Leben jedes einzelnen Menschen etwas, was dieser lieber geheim behalten möchte. Daten sind in den richtigen Händen viel wert. Und zu Geld sagen die wenigstens Menschen nein. Wenn derjenige, der Ihre Daten und die von vielen anderen besitzt, dann auch noch über die Fähigkeit verfügt, diese logisch zusammenzufassen, dann verdient er sich damit eine goldene Nase. Zum Beispiel, in dem er eine geheime Militärbase herausfindet und preisgibt. Halten Sie nicht für möglich? Die Fitness-App Strava ist ein Beweis dafür, was mit der richtigen Auswertung von Daten passieren kann. Strava sammelte die Daten aller sportlichen Aktivitäten seiner Mitglieder in einer Datenbank und bot diese anschliessend zum Verkauf an. Zudem veröffentlichte Strava eine extrem genaue digitale «Heatmap», die die Aktivitäten der Nutzer weltweit auf einer zoombaren Weltkarte vor schwarzem Hintergrund anzeigte. Je mehr Nutzer in einer Gegend Sport trieben, desto heller wurden sie in der Karte angezeigt. Diese Daten stellten sich als Gefahr für die Operationssicherheit westlicher Militärs heraus, denn Sie enttarnten deren Militärbasen.

Ihre Daten gehören zum grossen Ganzen.

Auch wenn Sie Ihre eigenen Daten für nicht wichtig genug halten, gebündelt und mit den Daten Millionen anderer, sind sie das Werkzeug für eine automatisierte und grossflächige Überwachung. Sie und Ihre Daten gehören zum grossen Ganzen:  Zu den Rechenzentren gewinnorientierter Unternehmen, zu den Überwachungssystemen staatlicher Institutionen und zu all jenen, die Profile anlegen von Personen, die sich online bewegen. Und vielleicht zur neuen Tracing App DP-3T. Damit die Pandemie eingedämmt werden kann, muss die Zahl der Ansteckungen so gering wie möglich sein. Menschen, die Husten oder sichtbare Symptome einer Krankheit zeigen, können sich selbst isolieren oder von der Umwelt gemieden werden, um eine Übertragung zu verhindern. Doch bei Covid 19 entstehen die Infektionen, bevor Symptome offensichtlich sind. Daher richtet sich nun alle Hoffnung auf Proximity Tracing. Die App DP-3T wird in etwa wie folgt funktionieren:

  • Jede App-Installation generiert beim ersten Start eine lange, zufällige Zeichenkette und speichert diese lokal auf dem Smart­phone ab.
  • Nachdem die App gestartet wurde, sendet sie alle paar Sekunden per Bluetooth ein Datenpaket in die nahe Umgebung aus.
  • Empfängt eine andere App ein solches Datenpaket schickt sie eine Antwort an den Absender zurück – und bittet diesen um zwei Angaben, um sich den Kontakt merken zu können: um einen sogenannten Zeitstempel und eine Kombination aus dem Zeitstempel und der zufälligen Zeichenkette.
  • Das Ganze findet umgekehrt genauso statt und bei jeder Begegnung. Die Daten werden lokal auf dem Handy gespeichert sowie werden sie an den zentralen Server gesendet. Nach xy Tagen werden sie automatisch wieder gelöscht.

Wenn sich nun eine Person nach einem positiven Testergebnis auf der App als infiziert meldet, schickt die App die zufällige Benutzer-Zeichenkette (ID) an einen zentralen Server. Gibt es ein Match mit den anderen gesendeten Daten, werden die Apps der Kontaktpersonen kontaktiert. Wenn die Kontaktpersonen sich dann rechtzeitig isolieren und in Behandlung begeben, könnte dadurch eine weitere Verbreitung des Virus vermieden werden. Dies funktioniert natürlich am besten, wenn so viele Benutzer wie nur möglich sich für den Einsatz der App entscheiden. Bisher gibt es aber kaum aussagekräftige Studien dazu, wie effektiv der Einsatz von Tracing-Apps ist.

Dezentral und offener Code, also alles super?

Auch wir in der IT sind uns einig, diesmal uneinig zu sein. Positiv bei DP3T ist zu erwähnen, dass seit dem 10. April die Entwickler Dokumente und Code auf GitHub veröffentlichen.  Die App ist primär ein dezentralisierter Ansatz, da die Speicherung und Auswertung der Kontaktbeziehungen ausschliesslich auf den Endgeräten erfolgt. Auf dem zentralisierten Server werden nur die IDs und die Infektionen abgelegt.  Unabhängige IT-Sicherheitsexperten sehen es jedoch als problematisch an, dass die Bluetooth-Verbindung für die Kontaktverfolgung die ganze Zeit aktiviert sein muss. Apple regulierte bisher strikt, welche Apps dieses Signal auch im Hintergrund verschicken dürfen. Somit müsste die Tracing-App auf iPhones ständig offen sein und das Smartphone ungesichert bleiben, damit die Kontaktverfolgung funktioniert. Um dieses Problem zu beheben, unterstützen nun Apple und Google DP-3T beim Contact Tracing. Dafür stellen sie Programmierschnittstellen (APIs) zur Verfügung. Nutzen die Apps die neue Schnittstelle im System, wäre das Problem gelöst. Dann würde das Betriebssystem selbst die Signale verschicken und die Kontaktliste führen. Gemäss Google & Apple sollen die Kontaktdaten nicht auf den Servern der beiden Unternehmen landen, sondern auf den Geräten der Nutzer verbleiben. Die IDs der Infizierten würden nur auf den jeweiligen Server der Behörde hochgeladen werden, die die App zur Verfügung stellt.

Google und die Anonymität.

Die beiden Unternehmen versichern, dass sie keine Daten für Werbung verwenden werden. Apple und Google wollen die Schnittstellen wieder schliessen, sobald sie nicht mehr benötigt werden. Zudem sieht es wohl so aus, dass sie diesen Mechanismus später fest in Ihr Betriebssystem integrieren wollen, sodass Nutzer in Zukunft keine spezielle App mehr herunterladen müssen. Erinnern Sie sich noch an den Anfang dieses Textes? An Web & Aktivitäten sowie Standortverlauf? Haben Sie diese Funktion weiterhin aktiviert, könnte Ihr Betriebssysteme die Signale von umliegenden Bluetooth-Sendern und damit die temporären IDs von App-Benutzern (auch mit Apple-Geräten) in der Nähe sammeln und diese an einen Google-Server senden.  Google hätte dann eine Datenbank, in der die gesamte Kontakthistorie gespeichert ist. Diese Daten könnte Google mit den hochgeladenen IDs der Infizierten abgleichen und nachbilden, welche Android-Benutzer Risikokontakte hatten. Über die Google-Konten dieser Benutzer könnte Google diese Informationen auch mit Namen, Telefonnummern und anderen Daten verbinden. Damit wäre also eine Deanonymisierung von möglicherweise Infizierten durch Google selbst möglich.

Gegenseitiges Verständnis aufbringen.

Egal wie sie sich entscheiden: haben Sie Verständnis für die andere Seite und Sichtweise. Es ist eine schwierige Zeit, in der Ängste und Schutzempfinden überwiegen und schlussendlich jeder für sich entscheiden muss, ob er sich die App downloadet oder nicht. Beide Seiten sollten dabei nicht vergessen, dass das eigene Handeln von dem Wunsch geprägt wird, richtig und zum Wohle der Bevölkerung zu agieren.

Wenn Sie übrigens der Spionage (zu mindestens bei Google) einen Riegel vorschieben möchten, empfehlen wir:

  • Gehen Sie auf https://myaccount.google.com/
  • Google-Aktivitäten löschen
  • Web- und App-Suche auf «aus» stellen
  • Standortverlauf pausieren
  • Personalisierte Werbung deaktivieren
  • Youtube-Suche nicht speichern
  • Ohne Google Anmeldung surfen
  • Inkognito-Modus nutzen

Quellen:

https://www.apple.com/covid19/contacttracing/

https://www.fiff.de/presse/dsfa-corona