Das Thema Corona-App schlägt in Deutschland hohe Wellen. Verschiedene Möglichkeiten zur Konzeption und Nutzung stehen im Raum – Einigkeit besteht jedoch nicht. Unsere sechste Folge des Tekkie Tables fragt: Wie gefährlich sind Corona-Tracking Apps?
Tim Berghoff, Security Evangelist bei G DATA CyberDefense, spricht in der aktuellen Tekkie Table Episode 006 mit Patrick Grihn, Datenschutzexperte und CEO bei nextindex – spezialisiert auf technischen Datenschutz und Cyber Security – und Stefan Mutterlose, Product Owner für Mobile Apps bei G DATA CyberDefense, über die Möglichkeiten und Probleme von Corona-Tracing-Apps. Die Experten diskutieren im Gespräch Fragen, die sich bei der Umsetzung stellen und derzeit noch diskutiert werden.
Mit der Hilfe von Corona-Apps sollen sich Kontaktketten von Covid-19-Infizierten rekonstruieren lassen. Ist eine Person positiv auf das Corona-Virus getestet worden, soll es durch die App möglich sein, auch unbekannte Kontaktpersonen zu ermitteln. Somit kann eine Warnung erfolgen, sodass sich die Personen in häusliche Quarantäne begeben können. Die Idee dahinter: Frühzeitige Unterbrechungen der Infektionsketten sollen auf diese Weise erfolgen. Ein zentraler und ein dezentraler Ansatz standen bei der Frage nach dem Umgang mit den persönlichen Daten zur Diskussion. Bei der zentralen Lösung gibt es einen Server, auf dem alle Informationen zusammenlaufen, bei der dezentralen Lösung bleiben die Informationen auf den Geräten der Nutzer – letztendlich hat sich die Bundesregierung für die dezentrale Lösung entschieden. Die deutsche Tracing-App soll Mitte Juni an den Start gehen.
Patrick Grihn: Vor allem muss man zwischen der Datenspende-App des Robert-Koch-Instituts (RKI) und den wirklichen Corona-Tracking-Apps unterscheiden. Die App des RKI sammelt Fitnessdaten und will so Rückschlüsse auf mögliche Erkrankungen ziehen.
Bei den Tracking-Apps ist es etwas anders. Hier ist zwischen der dezentralen und zentralen Lösung zu unterscheiden. Bei der dezentralen Lösung sammeln die Handys kleine Bluetooth-Schnipsel von jedem, den ich in meinem Umkreis habe. Bei der zentralen Lösung wiederum werden die Bluetooth-Daten von allen, die sich die App installiert haben, auf einem Server gesammelt. Da wird es dann sehr kritisch, da alle Daten an einer Stelle zusammenlaufen.
Stefan Mutterlose: Die Begrifflichkeiten Tracking und Tracing werden häufig in der IT verwendet. Im Alltag würden wir eher Begriffe wie Nachverfolgung und Rückverfolgung wählen. Tracking bedeutet, dass der aktuelle Standort in Echtzeit übermittelt wird und Tracing, dass sich eine Route erst im Nachhinein nachvollziehen lässt. Außerdem gibt es neben der App des RKI noch eine Pan-Europäische Initiative, kurz PEPP-PT, die sich aus mehreren hundert Wissenschaftlern gebildet hat. Sie haben ein Konzept entworfen, wie Kontakte möglichst anonym bzw. pseudonym nachverfolgt werden können.
Patrick Grihn:Ein Pseudonym ist zum Beispiel eine Kundennummer. In einer anderen Liste steht dann neben der Kundennummer der dazugehörige Name. Die Kundennummer lässt sich also ohne Probleme zu einer bestimmten Person zurückverfolgen. Bei der Anonymisierung ist keine Rückverfolgung möglich, da der Personenbezug entfällt. Dann gibt es auch nicht den Bezug zur EU-Datenschutz-Grundverordnung (DSGVO), die sich ausschließlich mit personenbezogenen Daten befasst.
Die Frage ist aber: Wo hört Pseudonymisierung auf und wo beginnt Anonymisierung? Das diskutiert die Fachwelt, da es immer wieder gelingt, aus eigentlich anonymisierten Datensätzen Rückschlüsse über einzelne Personen zu ziehen. Im konkreten Fall würde eine korrekt durchgeführte Anonymisierung bedeuten, dass ich eine ID nicht quer durch die Republik verfolgen kann. Das lässt sich umsetzen, indem die ID der jeweiligen Smartphone-Nutzer sich einmal täglich oder aber alle viertel Stunde ändert.
Man muss sich dann aber fragen: Wie funktioniert der Abgleich hinterher mit dem Server? Auch hier bestehen zwei Möglichkeiten: Entweder ich gebe meine regelmäßig gesammelten IDs an einen Server und der prüft dann, ob eine ID mit der ID einer infizierten Person übereinstimmt. Alternativ sammele ich die ganze Zeit IDs von Leuten und frage dann einen Server regelmäßig ab, ob eine der IDs als infiziert registriert ist. Wenn ja, dann bekomme ich eine Meldung, dass die eine ID als infiziert gilt. So kann sich die Person in Selbstquarantäne begeben, wenn der Fall eintritt.
Patrick Grihn: In der Praxis oder in der Theorie? In der Praxis ist das sicherlich manchmal so, dass der Datenschutz scheinbar Pause hat – und für mich ist das auch nichts Neues. Für viele Menschen ist der Missbrauch von Daten erstmal eine abstrakte Gefahr. Ich werde häufig gefragt: Was wollen denn andere mit meinen Daten? Ihnen ist nicht bewusst, wie gefährlich es sein kann, wenn persönliche Daten in die falschen Hände geraten und beispielsweise Cyberkriminelle diese für Phishing einsetzen. Nehmen wir die Datenspende-App des RKI als Beispiel. Wenn ich dort meine ganzen Initialwerte hochlade, dann gebe ich ein sehr intimes Bild von mir preis. Sind diese Daten nicht ausreichend geschützt, wird Angreifern Tür und Tor geöffnet.
Patrick Grihn: Berechtigt, denn Standortdaten können kaum anonym sein. Jeder hat ein ganz bestimmtes Profil, das durch die Wege zur Arbeit, dem eigenen Zuhause oder beim Joggen entsteht. Da kann ich zwar anonym draufschreiben, aber richtig anonym sind diese Daten nicht. Wenn ich IDs sammele, zum Beispiel über 14 Tage hinweg und diese regelmäßig abfrage, dann würde es datensparsam funktionieren und ich wüsste niemals, wer das Gegenüber denn wirklich ist.
Stefan Mutterlose: Ich weiß nicht, was da noch für Daten mitgesendet werden. Wenn es wirklich nur die zufällig generierte ID ist, dann klingt das erstmal vertrauenserweckend. Aber wenn dann noch Zeitstempel gespeichert werden oder mehr, wird es unübersichtlich.
Stefan Mutterlose:Open Source klingt erstmal vertrauenserweckender und hat den Vorteil, dass ich da reinschauen und die App rein theoretisch auch selber bauen kann. Dann kann ich vergleichen, ob das, was ich da jetzt gebaut habe mit dem übereinstimmt, was im App Store zur Verfügung steht. Personen ohne technischen Hintergrund haben es da natürlich schwieriger. Einsehbarkeit und Nachbaubarkeit des Codes ist aber schon wichtig.
Patrick Grihn: Ich kann mich Stefan nur anschließen. Transparenz ist einer der wichtigsten Punkte überhaupt. Wenn es eine Lösung geben soll, die große Akzeptanz in Europa findet, bei Bürgern und auch bei Datenschützern, dann ist Open Source auf jeden Fall die Alternative, um allen die Möglichkeit zu geben, in den Code reinzuschauen.
Patrick Grihn: Wir müssen aufpassen, welche Daten wir von uns herausgeben. Sind die Daten einmal weg, können damit Dinge getan werden, die jetzt noch nicht absehbar sind. Die Digitalisierung wurde an vielen Stellen schmerzlich vernachlässigt. Eine datenschutzfreundliche Lösung mit der Vergabe von Codes würde sicher helfen, sodass ich zuhause bleiben kann, wenn ich Kontakt mit jemandem hatte, der infiziert ist und dadurch keine weiteren Personen anstecke. Das ist die Idee dahinter und so soll die App uns vor einer unkontrollierbaren Situation schützen.
Stefan Mutterlose:Basierend auf den Kriterien der Nachvollziehbarkeit und der Plausibilität würde ich aktuell sicherlich so eine App installieren, aber nur solange, wie es notwendig ist, sie zu nutzen. Außerdem würde ich vorher klären, welche Daten denn genau gesammelt werden und was ich da hochlade.
Patrick Grihn: Ich weiß nicht, ob ich ein Early Adopter wäre und sie direkt installiere. Wenn sie Open Source wäre, ist die Wahrscheinlichkeit bei mir höher. Natürlich würde ich kritisch prüfen, welche Zugriffe die App hat und ich würde abwarten, ob es Experten gibt, die das mal durchleuchten und gucken, ob es da Sicherheitslücken gibt. Dann aber auf jeden Fall. Es ist eine Situation, in der wir alle die Möglichkeit haben, zu helfen, indem wir zum Beispiel zuhause bleiben und die Leute schützen, die gerade besonders Schutz brauchen.
Unsere nächste Tekkie Table Folge 007 beschäftigt sich mit Mythen der IT-Sicherheit. Wenn Du einen Vorschlag für ein Thema hast, das wir am Tekkie Table aufgreifen sollen, dann schreib an presse@. gdata.de