Datenschützer scheinen weitgehend zufrieden zu sein: Die Art, wie die für den Kampf gegen die Ausbreitung von Covid-19 konzipierten "Contact Tracing"-Apps implementiert wurden, fand bislang aus dieser Richtung größtenteils Zuspruch. Im Detail mag es noch einzelne Kritik an der technischen Implementation geben, der generelle Konsens ist aber durchaus positiv. So bemäkelte etwa die Datenschutz-NGO Epicenter Works zwar in einer ersten Analyse der "Stopp Corona"-App des Roten Kreuzes das Fehlen einer Veröffentlichung des Quellcodes sowie eine Anbindung an die Cloud von Microsoft. Gleichzeitig attestierte man den Entwicklern aber, dass die App einen "guten Ansatz" verfolge und "einige Dinge richtig gemacht" habe.

Erleichterung

Die positiven Reaktionen liegen wohl nicht zuletzt daran, dass man in der aktuellen Situation wesentlich Schlimmeres erwartet hatte: Ideen wie eine Totalüberwachung mithilfe von Mobilfunkdaten oder Gesichtserkennung wurden in den meisten westlichen Demokratien rasch verworfen. Stattdessen betonen die meisten "Contact Tracing"-Projekte einen expliziten Fokus auf die Wahrung der Privatsphäre: Die Aufzeichnung von Kontakten funktioniert ausschließlich via Bluetooth von Smartphone zu Smartphone, und das noch dazu pseudonymisiert. Auch sonst hat man einiges unternommen, um die Erstellung von Bewegungsprofilen auf Basis dieser Daten zu verhindern. Persönlich zuordenbare Daten fallen erst bei einer Infektionsmeldung an – und auch dieser Schritt ist freiwillig.

Hoffnungen

Gleichermaßen angetan scheint man von der Kontaktnachverfolgung in der Politik sowie unter Virologen zu sein, wo man hofft, auf Basis dieses Datenmaterials besser verstehen zu können, wie sich das Virus verbreitet. Dies immer mit dem Auge darauf, dass ein kompletter Lockdown auch aus wirtschaftlichen Gründen nicht lange aufrechtzuerhalten ist. Die Hoffnung: Solche Daten könnten dabei helfen, die Beeinträchtigung des öffentlichen Lebens auf einem niedrigeren Niveau zu halten. Gerne wird dabei auf eine Ende März publizierte Studie der Universität Oxford verwiesen, in der die Autoren tatsächlich zu dem Schluss kommen, dass solche Apps bei ausreichender Verbreitung ein effektives Tools zur Eindämmung von Covid-19 sein könnten.

Sinnfragen

Und doch: Ganz so einfach ist die Frage nach der Sinnhaftigkeit dann auch wieder nicht zu beantworten. Immerhin ist die Theorie das eine – die Praxis aber oft etwas ganz anderes. Klar ist derzeit eigentlich nur eines: Wirklich belastbare Daten zum Erfolg solcher Maßnahmen gibt es bislang nicht. So hat etwa Singapur lange auf "Contact Tracing" gesetzt. Dies mit dem Ergebnis, dass man unlängst eingestehen musste, dass man damit eine neue Infektionswelle nicht verhindern konnte – und prompt auf klassische Lockdown-Maßnahmen wechselte. Ein weiteres gerne genanntes Beispiel ist Südkorea. Was dabei aber oft zu erwähnen vergessen wird: Das Land setzt nicht einfach auf eine simple Kontaktnachverfolgung, sondern kombiniert diese mit zahlreichen anderen Daten. Dazu gehören etwa über Mobilfunknetze erstellte Bewegungsprofile, flächendeckende Gesichtserkennung mithilfe von Videoüberwachung oder auch der Zugriff auf Kreditkartendaten. Eine Art Totalüberwachung, die in vielen anderen Ländern wohl auf starken Widerstand stoßen würde.

Labor vs. technischer Realität

Die Spannbreite zwischen Theorie und Praxis offenbart sich aber auch einem Punkt, der in der Diskussion nur allzu oft übersehen wird: der technischen Realität. Und diese zeigte sich spätestens in der Vorwoche bei der Vorstellung einer neuen Version der "Stopp Corona"-App deutlich: Der angekündigte automatisierte "Handshake" zwischen Smartphones funktioniert nämlich nur äußerst begrenzt – weshalb die Entwickler schlussendlich auch weiterhin empfehlen, längere Kontakte manuell einzutragen.

Das ist keinem speziellen Unvermögen der Entwickler geschuldet, sondern liegt schlicht daran, dass Smartphones auf solche Einsätze nicht ausgelegt sind und gewisse Eigenheiten der darauf laufenden Betriebssysteme dem Ansinnen der "Contact Tracing"-Apps im Wege stehen. So unterbindet etwa Apples iOS das Messen der Signalstärke von Bluetooth-Geräten im Umfeld – genau das ist aber für die Ermittlung des Abstands notwendig. Damit fallen iPhones also zunächst einmal weitgehend für den automatischen Abgleich flach. Unter Android sieht es zwar generell besser aus, hier stehen aber wiederum die Stromsparmaßnahmen diverser Hersteller im Weg, die im Hintergrund laufende Aktivitäten oft automatisch beenden. Diese Art der "Optimierungen" kann man bei einigen Geräten abdrehen – bei anderen hingegen nicht. Das Ergebnis ist jedenfalls, dass bei sehr vielen diese Kontaktverfolgung nicht zuverlässig funktionieren wird. Und damit auch die statistische Chance, dass bei einer Begegnung von zwei zufälligen Personen der Kontakt erfolgreich automatisch aufgezeichnet wird, sehr gering ist.

Bluetooth ist nicht zuverlässig für solche Messungen

Dazu kommt dann noch ein viel allgemeineres Problem, nämlich dass Bluetooth generell nicht sonderlich gut für Abstandsmessungen geeignet ist. So macht es für die Messung der Signalstärke natürlich einen Unterschied, ob das Smartphone gerade im Rucksack ist oder in der Hand gehalten wird. Für das Infektionsrisiko bei einem Kontakt ist das aber natürlich egal. Umgekehrt besteht aber auch ein nicht zu unterschätzendes Risiko für Fehlerkennungen, etwa wenn dann ein Kontakt verzeichnet wird, obwohl die betreffende Person hinter einer Wand oder gar in einem anderen Stockwerk ist. Und auch dass Bluetooth generell eine begrenzt zuverlässige Technologie ist, hilft nicht gerade bei der dauerhaften Erfassung, gerade bei älteren Smartphones mit fehlerhaften Bluetooth-Stacks könnte es in dieser Hinsicht Probleme geben.

Zuverlässigkeit und Verbreitung sind essenziell

Das mag nach Detailproblemen klingen, sind sie aber nicht: Soll so ein System halbwegs funktionieren, braucht es eine ziemlich hohe Treffsicherheit. Immerhin hat das ganze massive Konsequenzen. Wird man doch nach einer "relevanten" Begegnung mit einer Person, die sich als mit dem Virus infiziert herausgestellt hat, dazu aufgefordert, selbst in Quarantäne zu gehen. Dies ohne zu wissen, um wen es sich dabei handelt; eine Einschätzung, ob es sich um einen realen Kontakt oder einen Fehler handelt, ist also nicht möglich. Und umgekehrt wäre es natürlich auch problematisch, wenn sich Nutzer durch die Verwendung der App geschützt wähnen, aber in Wirklichkeit ihr Smartphone gar nicht korrekt aufzeichnet.

Eine ziemlich große Unschärfe also – und das selbst wenn wir einmal von der theoretischen Annahme ausgehen, dass überhaupt ein relevanter Teil der Bevölkerung davon überzeugt werden kann, eine solche App zu installieren. Denn genau das wäre notwendig. Um das vorzurechnen: In Singapur soll es die erwähnte "Contact Tracing"-App immerhin auf zwölf Prozent aller Smartphones geschafft haben. Die statistische Wahrscheinlichkeit, dass zwei sich zufällig treffende Personen jeweils die App installiert haben, beträgt damit aber nur mehr etwas mehr als ein Prozent, wie Farzad Mostashari, ehemaliger Koordinator für Informationstechnologie am Department of Health and Human Services in New York, vorrechnet. Und das eben selbst unter der Annahme des technischen Optimalfalls – also ohne die zuvor erwähnten Probleme beim automatischen Abgleich.

Die Hölle friert zu

Klingt alles eher unrealistisch, wäre da nicht eine aktuelle Ankündigung, die einige der größten Hürden aus dem Weg räumen könnte. Angesichts der aktuellen Situation haben sich zwei Firmen zusammengetan, die sich sonst spinnefeind sind: Apple und Google. Gemeinsam wollen sie ein neue Grundlage für "Contact Tracing"-Apps schaffen. Und die mit der Ankündigung verbundenen Whitepapers lesen sich durchaus vielversprechend: Das ganze System soll auch freiwillig bleiben und die Firmen garantieren, dass es in keinster Weise zur Datensammlung verwendet wird.

Ganz offensichtlich hat man sich dabei von bestehenden Projekten wie DP-3T inspirieren lassen. Der Abgleich funktioniert auch hier nur über Bluetooth Beacons, andere Daten wie Standort werden ebenso wenig herangezogen wie andere identifizierende Merkmale. Dazu kommt, dass die ausgesendete Kennung eines Smartphones regelmäßig verändert wird, um ein langfristiges Tracking durch externe Geräte zu verhindern. Im Gegensatz zu etwa der "Stopp Corona"-App wird auch keine Telefonnummer benötigt, das Gerät sammelt einfach Schlüssel von anderen ein, und diese werden dann via Push-Nachricht informiert. Die ersten Reaktionen von Sicherheitsexperten auf dieses Konzept waren entsprechend größtenteils positiv.

Apple und Google können, was andere nicht können

Vor allem aber haben Google und Apple einen Vorteil, den App-Hersteller nicht haben: Sie haben auch das Betriebssystem in der Hand. Das heißt etwa, dass sie die zuvor erwähnten Probleme mit der Zuverlässigkeit deutlich besser in den Griff bekommen können. Das bedeutet vor allem, dass bei der Nutzung der offiziellen Contact-Tracing-Schnittstellen auch iPhones künftig im Hintergrund automatisch Kontakte aufzeichnen können. Außerdem haben die beiden in Kombination die Möglichkeit, entsprechende Technologien direkt auf praktisch alle Smartphones weltweit zu bringen – dominieren doch Android und iOS gemeinsam den Markt praktisch uneingeschränkt.

Der Zeitplan sieht dabei folgenden Ablauf vor: Bereits ab Mai wollen die beiden Unternehmen gemeinsam Programmierschnittstellen präsentieren, die dann andere als Basis für eigene Apps verwenden können. Irgendwann in den kommenden Monaten sollen diese Tracing-Frameworks dann direkt in die Betriebssysteme von Google und Apple aufgenommen werden. Damit können sie dann dort auch zentral über die Einstellungen verwaltet werden. Eigene Apps wollen die beiden Firmen allerdings auch dann nicht anbieten, diese Aufgabe will man lokalen Gesundheitsbehörden überlassen, heißt es. Während also das Tracing selbst – ähnlich wie andere Datenerfassungen am Smartphone – direkt vom Betriebssystem vorgenommen wird, benötigt es für die Meldung einer Infektion weiter eine entsprechende App. Um Missbrauch zu verhindern, wollen die beiden Hersteller dabei diese Apps auf lokale Gesundheitsbehörden beschränken, andere bekommen hingegen keinen Zugriff auf die "Contact Tracing"-Schnittstellen. Damit geht übrigens eine weitere, durchaus interessante Beschränkung einher: Apps dürfen diese Funktionen nämlich nur dann nutzen, wenn die Kontaktnachverfolgung freiwillig bleibt. Dass die Gesundheitsbehörden die Abwicklung der Infektionsmeldung übernehmen, bedeutet wiederum, dass Apple und Google mit der dabei realistisch gesehen unvermeidlichen Identifizierung eines Users nichts zu tun haben – und solche Daten nie erhalten.

Auslieferung

Am Rande sei erwähnt: Wer jetzt hier angesichts der bekannten Update-Problematik bei Android-Geräten ein Problem bei der Verbreitung dieser Schnittstellen erwartet – das stellt hier keine sonderlich Hürde dar. Immerhin kann Google über seine Play Services auch jenseits der Updates der Hersteller neue Funktionalitäten für Android-Geräte integrieren. Und diese laufen auf sämtlichen Smartphones mit Google-Diensten. Als Einschränkung ist zwar die Rede davon, dass Android 6.0 das Minimum für das neue Contact-Tracing-Framework sein soll. Weltweit gesehen umfasst dies aber ohnehin bereits 85 Prozent aller Geräte mit Android. Und auch den Herstellern von Android-Geräten ohne Google-Dienste will Google das entsprechende Framework zur Integration in ihre Geräte anbieten.

Kein Weg vorbei

Die Apple-Google-Lösung erscheint derzeit also aus einer technischen Perspektive die realistischste, alleine schon weil durch die Verankerung auf Betriebssystemebene eben viele Zuverlässigkeitsprobleme mit anderen Ansätzen ausgeräumt werden. Und doch gibt es auch hier viele offene Fragen. Denn Bluetooth wird als Technologie dadurch nicht magisch besser, die zuvor erwähnten Probleme mit Fehlerkennung und ungenauer Messung verschwinden nicht so einfach. Google und Apple zeigen sich aber zuversichtlich, dass man dies in den Griff bekommen kann, beziehungsweise die Fehlmeldungen statistisch irrelevant zu machen – man darf in dieser Hinsicht gespannt sein.

Was bedeutet das für die Sicherheit?

Auf andere Probleme hat man hingegen derzeit keine Antworten. Etwa wie es mit Sicherheitsproblemen bei nicht mehr gewarteten Smartphones aussieht, die sich dann durch die Aktivierung von Bluetooth potenziell zusätzlichen Risiken aussetzen. Immer wieder sind in den letzten Jahren kritische Bluetooth-Lücken bei Smartphones aufgedeckt worden. Im schlimmsten Fall könnte dies dann für eine Verbreitung von Schadsoftware von Gerät zur Gerät genutzt werden. Und so gut auch die Pseudonymisierung und das grundlegende Privacy-Konzept sein mögen: Jedes solche System bietet natürlich neue Angriffspunkte – spätestens wenn man sich dann einmal als Infiziert melden muss. Eine Antwort auf die Frage, wie in einem solchen Konzept verhindert werden soll, dass "Scherzbolde" bewusst fälschlicherweise eine Infektion melden und so andere ohne Not in die Quarantäne drängen, bieten zumindest die aktuellen Dokumente von Apple und Google ebenfalls nicht. Das ist auch nicht überraschend, immerhin überlässt man – wie erwähnt – die Abwicklung dieses Vorgangs den Gesundheitsbehörden. In Österreich nutzt etwas das Rote Kreuz für diesen Schritt bisher per SMS verschickte TAN-Codes, Infizierte müssen also ihre Telefonnummer angeben. Trotzdem ist zu befürchten, dass hier manche Wege finden könnten, dieses System auszutricksen.

Eine Vertrauensfrage

Vor allem aber bleibt ein anderer Problempunkt: Damit wird eine zentrale Infrastruktur ausgerechnet in die Hände der zwei dominierenden Smartphone-Unternehmen gelegt. Und da können diese auch noch so sehr betonen, dass man diese Daten nicht missbrauchen werde: Im Endeffekt ist es eine Vertrauensfrage, dass das, was dann am Gerät läuft, auch dem entspricht, was öffentlich an Konzepten kommuniziert wurde. Umso unerfreulicher ist es, dass im Rahmen der Ankündigung kein Bekenntnis zur Freigabe des Quellcodes gegeben wurde.

Und gerade mangelndes Vertrauen könnte ein Punkt sein, der dann erst recht wieder Nutzer davon abhält, die Tracing-Funktion im Betriebssystem zu aktivieren – was die Effektivität des Systems begrenzt. Das Argument, dass die beiden Unternehmen ohnehin schon auf anderem Wege wesentlich mehr über die Nutzer in Erfahrung bringen können, ist zwar nicht ganz von der Hand zu weisen – aber für das Vertrauen auch nicht gerade förderlich.

Druck von außen

Dazu kommen dann noch andere, gesellschaftspolitische Faktoren. Denn nur weil eine solche Infrastruktur jetzt mit einem expliziten Privatsphärenfokus eingerichtet wird, bedeutet das noch nicht, dass das auch so bleibt. Die aktuelle Freiwilligkeit könnte im schlimmsten Fall langfristig den Weg für neue Datensammlungen ebnen. Und dabei muss man nicht einmal den beiden Unternehmen Argwohn unterstellen. Es ist wohl nur eine Frage der Zeit, bis der Sicherheitsapparate der ersten Staaten Zugriff auf diese Informationen einfordert. Und selbst wenn sich Apple und Google erfolgreich dagegen wehren: Dass einzelne Länder die Nutzung entsprechender Tools dann doch verbindlich machen oder zumindest an gewisse gesellschaftliche Freiheiten – wie etwa internationale Reisen – binden, können sie nicht verhindern.

Zwischenstand

Um das abschließend klarzumachen: Die vorgebrachten Argumente sind keineswegs dazu gedacht, jemanden von der Installation solcher Apps abzuhalten. Solange solch ein Kontakttagebuch freiwillig und derzeit ohnehin zumeist mit manuellen Einträgen funktionieren, ist die daraus entstehende Gefahr für die eigene Privatsphäre äußerst gering. Als private Gedächtnisstütze kann dies also durchaus hilfreich sein. Gleichzeitig gilt es aber, der von vielen Projekten genährten Erwartung, dass es schon in Kürze ein wirklich funktionierendes automatisiertes "Contact Tracing" geben wird, eine Absage zu erteilen. Dem stehen technische Hürden im Weg, die eigentlich nur Google und Apple aus dem Weg räumen können.

Das ist aber auch eine Chance: Immerhin könnte man die Zeit, die bis zur Verfügbarkeit von den in Android und iOS integrierten Lösungen verstreicht, nutzen, um einmal in Ruhe die übergeordneten Fragen zu diskutieren, die derzeit unterzugehen scheinen. Also etwa, ob so ein System in dieser Form überhaupt funktioniert. Aber vor allem, was die gesellschaftspolitischen Gefahren sind und wie man negative Folgen für die Freiheit verhindern kann. (Andreas Proschofsky, 14.4.2020)