Offener Brief zu Kontaktverfolgungs-Apps beim Coronavirus

20.04.2020

Am 20. April 2020 wurde ein offener Brief von über 300 Wissenschaftlerinnen und Wissenschaftlern aus den Bereichen der IT-Sicherheit und Privatsphäre veröffentlicht, der Stellung nimmt zur aktuellen Diskussion um den Einsatz von Apps zur Eindämmung und insbesondere zur Kontaktverfolgung bei COVID-19 (siehe Primärquelle).

Die Autoren betonen, dass auch Bluetooth-Ansätze, wenn sie nicht richtig umgesetzt werden, zu Überwachung und/oder der Ansammlung von Daten führen können, die die Privatsphäre verletzen. Daher sei es jetzt besonders wichtig, darauf zu achten, dass nicht im Zuge der Krise ein Tool eingesetzt wird, das Daten der Bevölkerung im großen Stil sammeln kann. Zu diesem Zweck müsse wahrscheinlich ein dezentraler Ansatz zur Verwaltung der Daten verfolgt werden.

Die Empfehlungen der Autoren: Die Ansätze und der Code der Apps sollten öffentlich überprüfbar sein und standardmäßig die Privatsphäre der Nutzer bestmöglich schützen. Die Daten sollten nur zur Eindämmung von COVID-19 verwendet werden und es sollten nur die zu diesem Zweck nötigen Daten gesammelt werden. Außerdem sollte klargemacht werden, welche Daten gesammelt werden. Zuletzt sollte die Benutzung der App freiwillig sein.

Übersicht

Prof. Dr. Eric Bodden, Professor für Softwaretechnik, Heinz Nixdorf Institut, Universität Paderborn und Direktor für Softwaretechnik und IT-Sicherheit, Fraunhofer IEM, Paderborn

Prof. Dr. Konrad Rieck, Institutsleiter Systemsicherheit, Technische Universität Carolo-Wilhelmina zu Braunschweig

Prof. Dr. Thorsten Holz, Professor für Systemsicherheit, Horst-Görtz-Institut für IT-Sicherheit (HGI), Ruhr-Universität Bochum

Prof. Dr. Dominik Herrmann, Professor für Privatsphäre und Sicherheit in Informationssystemen, Otto-Friedrich-Universität Bamberg

Dr. Martin Degeling, Postdoc, Horst-Görtz-Institut für IT-Sicherheit (HGI), Ruhr-Universität Bochum und Christine Utz, Wissenschaftliche Mitarbeiterin, Horst-Görtz-Institut für IT-Sicherheit (HGI), Ruhr-Universität Bochum

Prof. Dr. Tibor Jager, Professor für IT-Sicherheit und Kryptographie, Bergische Universität Wuppertal
mit Ergänzung von Prof. Dr. Cas Cremers, CISPA – Helmholtz Center for Information Security, Saarbrücken

Prof. Dr. Mathias Fischer, Juniorprofessor für IT-Sicherheit und -Sicherheitsmanagement, Fakultät für Mathematik, Informatik und Naturwissenschaften, Universität Hamburg

Prof. Dr. Jörn Müller-Quade, Professor für Kryptographie und Sicherheit, Institut für Theoretische Informatik (ITI), Karlsruher Institut für Technologie (KIT)

Prof. Dr. Felix Freiling, Professor für Informatik, Friedrich-Alexander-Universität Erlangen-Nürnberg

Statements

Prof. Dr. Eric Bodden

Professor für Softwaretechnik, Heinz Nixdorf Institut, Universität Paderborn und Direktor für Softwaretechnik und IT-Sicherheit, Fraunhofer IEM, Paderborn

Zu den Vor- und Nachteilen von dezentralen und zentralen Ansätzen:
„Ein zentraler Ansatz ist nicht generell von der Hand zu weisen, erfordert aber, je nachdem welche Daten zentral vorgehalten werden, generell ein gewisses Vertrauen in den Betreiber der Infrastruktur. Wenn ein zentraler Ansatz, wie in Deutschland vorgesehen, dartensparsam ausgelegt ist, dann ist es dort, wie auch im dezentralen Ansatz, nicht sehr einfach, Bluetooth-IDs Personen zuzuweisen. Hierzu müssten dann die pseudonymisierten IDs mit Metadaten wie IP-Adressen abgeglichen werden, was in Deutschland ohne richterlichen Beschluss so eigentlich nicht realistisch machbar ist. In anderen Ländern ist dies aber durchaus anders. Es ist ja nicht auszuschließen, dass die App auch in Ländern zum Einsatz käme, in denen Grundrechte nicht so gut gesichert sind.“

„Für Deutschland sehe ich also auch einen zentralen Ansatz gut machbar, da man einerseits den Betreibern wohl schon ein Stück weit trauen könnte und andererseits nur sehr minimale Daten erhoben werden sollen.“

Zur Frage nach möglichen Problemen der App, wie Berichten, dass einige Tracking-Apps im Vordergrund auf dem Handy aktiv sein müssen:
„Das hat meines Wissens nach nichts mit dem Design der App zu tun, sondern mit einer Limitierung des Betriebssystems iOS. Apple arbeitet daran, diese zu beheben.“

Zur Frage, wie der Ansatz von Google und Apple zu beurteilen ist:
„Generell ist der Ansatz lobenswert, jedoch hätte ich persönlich arge Probleme damit, insbesondere Google in der Sache vertrauen zu müssen, denn deren Geschäftsmodell ist das Sammeln und Auswerten von Daten. Ich fände daher eine gut gemachte staatliche Lösung sinnvoller, aber auch hier gehen die Meinungen auseinander. Man muss ehrlich sagen, dass Google durch solche Daten vermutlich nicht viel gewinnen würde, da es ohnehin Standort- und somit Kontaktdaten der meisten Deutschen kennt.“

„Für mich ist der wichtigste Punkt an dem Brief der Aufruf zu Offenheit im Prozess. Deswegen habe ich ihn auch unterzeichnet. Die Frage von zentral gegen dezentral ist für mich hier in Deutschland nicht so entscheidend, jedoch sollte die Wahl eines Ansatzes gut und offen begründet werden.“

Prof. Dr. Konrad Rieck

Institutsleiter Systemsicherheit, Technische Universität Carolo-Wilhelmina zu Braunschweig

Zur Frage, wie das Anliegen des Briefes zu beurteilen ist:
„Ich halte diesen Brief und sein Anliegen für sehr wichtig. Tracing scheint ein sehr effektives Instrument gegen die Verbreitung von COVID-19 zu sein. Datenschutz und Privatheit sind aber auch elementare Grundrechte und dürfen hierbei nicht vergessen werden.“

Zur Frage, welche Probleme es beim Einsatz von Bluetooth zur Kontaktverfolgung geben kann:
„Bei allen Formen von Beobachtung besteht immer das Risiko für Datenlecks und Missbrauch. Dieses Risiko ist inhärent und lässt sich nicht wegdiskutieren. Wir sollten daher versuchen, durch Datensparsamkeit und geschickte Konzepte das Risiko von Anfang an zu begrenzen.“

„DP-3T ist eine vielversprechende Technik, die einen guten Kompromiss zwischen Tracing-Genauigkeit und Datenschutz erzielt. Ich würde mir wünschen, dass zukünftige Lösungen in diese Richtung gehen und sehr persönliche Daten wie GPS, IMEI und so weiter gar nicht erst übertragen werden.“

Zur Frage, wie der Ansatz von PEPP-PT zu beurteilen ist:
„Leider ist mir nicht ganz klar, was der Ansatz von PEPP-PT inzwischen konkret darstellt. Lange Zeit war hier von der Anwendung von DP-3T gesprochen worden. Seit ein paar Tagen sind jedoch neue zentralisierte Protokolle im Gespräch. Zentrale Ansätze sind viel anfälliger für Missbrauch und Datenlecks.“

Zur Frage, wie der Ansatz von Google und Apple zu beurteilen ist:
„Bisher habe ich hier zu wenig Informationen. Es ist aber ein gutes Signal, dass diese beiden führenden Hersteller sich öffnen und Schnittstellen anbieten wollen. Die Umsetzung muss jedoch durch offene (überprüfbar) und zweckgebundene (technische Risikobegrenzung) Anwendungen realisiert werden.“

Prof. Dr. Thorsten Holz

Professor für Systemsicherheit, Horst-Görtz-Institut für IT-Sicherheit (HGI), Ruhr-Universität Bochum

Zu den Vor- und Nachteilen von dezentralen und zentralen Ansätzen:
„Bei einem zentralen Ansatz gibt es eine große, zentrale Datenbank, in der alle Informationen über Interaktionen (beziehungsweise räumliche Nähe) gespeichert werden. Diese Datenbank kann potenziell missbraucht werden und sie stellt einen Single Point of Failure da – wenn diese Datenbank ausfällt oder kompromittiert wird, dann sorgt dies für eine Beeinträchtigung des gesamten Systems. Darüber hinaus birgt ein zentraler Ansatz immer Probleme mit dem Datenschutz, da eine zentrale Korrelation und Analyse durchgeführt werden kann. Im Gegensatz dazu hat ein dezentraler Ansatz einige Vorteile, vor allem, weil Datenschutz und Datensicherheit deutlich besser umgesetzt werden können: Jede Person hat selbst die Kontrolle über die gesammelten Daten und diese werden verteilt gespeichert, können also nicht einfach massenweise kompromittiert werden. Für Deutschland ist ein dezentraler Ansatz die deutlich bessere Wahl, weil nur so unsere hohen Anforderungen an Datensicherheit und Datenschutz sichergestellt werden können. Generell muss es sich um ein offenes, vollständig dokumentiertes System handeln, bei dem die Sicherheitseigenschaften auch von unabhängigen Parteien überprüft werden können. Privacy by Design, also die Berücksichtigung von Datenschutz von Anfang an, muss dabei eine große Rolle spielen, weil ansonsten die hohen Anforderungen und Standards in Deutschland nicht eingehalten werden können.“

Zur Frage, welche Probleme es beim Einsatz von Bluetooth zur Kontaktverfolgung geben kann:
„Momentan ist noch nicht ganz klar, wie präzise ein Contact Tracing per Bluetooth in der Praxis wirklich sein kann. Durch diese Art von Tracing wird die physische Umgebung nicht mit abgebildet, weitere Schutzmechanismen wie beispielsweise Schutzschirme, das Tragen einer Schutzmaske oder Hindernisse wie Fenster und Wände werden von solchen Apps nicht sehr präzise berücksichtigt. Allein anhand der physischen Nähe kann deshalb nicht unbedingt sicher ermittelt werden, ob potenziell eine Übertragung möglich war. Darüber hinaus kann eventuell auch schon ein kurzer Kontakt zu einer Infektion führen. Erste Ergebnisse aus Singapur zeigen, dass eine rein technische Lösung ungenau ist und sowohl zu unerkannten Infektionen als auch zu Fehlalarmen führen kann. Insofern ist Contact Tracing per App nur ein Puzzleteil und muss ergänzt werden durch die Analyse von Kontaktketten durch Gesundheitsbehörden. Dennoch liefert Contact Tracing wertvolle Daten, die zur Eindämmung der Pandemie beitragen können.“

Zur Frage nach möglichen Problemen der App, wie Berichten, dass einige Tracking-Apps im Vordergrund auf dem Handy aktiv sein müssen:
„Apple hat sich bewusst dazu entschieden, nur dezentrale Ansätze zum Contact Tracing zu erlauben. Apps mit einem zentralen Ansatz können deshalb auf solchen Handys nur im Vordergrund bei eingeschaltetem Bildschirm betrieben werden, was die Einsatzszenarien deutlich einschränkt. Falls Apple bei dieser Haltung bleibt, dürften sich zentrale Ansätze in der Praxis nicht oder nur sehr schwierig durchsetzen.“

Zur Frage, wie der Ansatz von Google und Apple zu beurteilen ist:
„Die Ansätze von Google und Apple zur dezentralen Datensammlung sind generell begrüßenswert. Aber auch hier sollte die Umsetzung unabhängig überprüfbar sein und es sich um ein offen entwickeltes Protokoll handeln, damit Sicherheitseigenschaften nachvollziehbar sind und auch Datenschutzaspekte geprüft werden können. Darüber hinaus dürfen nur solche Daten gesammelt werden, die in einem direkten Zusammenhang mit der Eindämmung der Pandemie stehen.“

Prof. Dr. Dominik Herrmann

Professor für Privatsphäre und Sicherheit in Informationssystemen, Otto-Friedrich-Universität Bamberg

Zu den Vor- und Nachteilen von dezentralen und zentralen Ansätzen:
„Im Kern geht es dabei um die Frage, wo genau die Überprüfung stattfindet, ob ein Mensch Kontakt zu Infizierten hatte. Bei dezentralen Systemen erfolgt die Prüfung auf dem Smartphone, bei zentralen Systemen auf dem Server eines Dienstanbieters. Bei dezentralen Systemen haben die Nutzer – wenn nicht nur die Infrastruktur, sondern auch die darauf aufbauenden Apps entsprechend aufgebaut sind – also prinzipiell die volle Kontrolle darüber, ob irgendjemand außer ihnen erfährt, dass sie mit einem Infizierten Kontakt haben. In erster Linie soll diese Information den Betroffenen helfen, etwa um sich selbst zu isolieren.“

„Bei zentralen Ansätzen wird diese Analyse auf einem Server des App-Betreibers durchgeführt. Dazu übermitteln die Smartphones kontinuierlich an den Betreiber, welche anderen Geräte sie in ihrer Umgebung wahrgenommen haben. Dadurch kann der Betreiber – je nach Implementierung – mehr oder weniger gut das Verhalten und die Kontakte aller Nutzer nachvollziehen. Bei zentralen Ansätzen muss man dem Betreiber wesentlich mehr Vertrauen entgegenbringen. Selbst wenn eine Beschreibung der App und der Prozesse beim Betreiber vorliegen, lässt sich nämlich von außen nicht erkennen, ob die Daten tatsächlich bestimmungsgemäß verarbeitet werden.“

„Dezentrale Ansätze setzen hingegen weniger Vertrauen in die Entwickler voraus. Anhand der Beschreibung der App und der an den Anbieter übermittelten Informationen lässt sich wesentlich genauer beurteilen, welche Informationen der Anbieter erhält und was er damit anfangen kann.“

„Solange es keinen Nachweis gibt, dass der zentrale Ansatz besser zur Eindämmung der Pandemie geeignet ist, sollten wir lediglich dezentrale Lösungen verfolgen.“

Zur Frage, welche Probleme es beim Einsatz von Bluetooth zur Kontaktverfolgung geben kann:
„Bluetooth-basiertes Tracking kann natürlich nicht hundertprozentig zuverlässig funktionieren. Aber das kann keine technische Lösung. Nur weil sich zwei Smartphones nahe waren, heißt das ja nicht, dass sich auch die Besitzer so nahe gekommen sind, dass ein Infektionsrisiko bestand – es könnte ja zum Beispiel eine Glasscheibe dazwischen gewesen sein. Um daraus resultierende Fehlalarme zu vermeiden, müssten es die Apps den Benutzern erlauben, bestimmte Situationen als ‚ungefährlich‘ zu markieren. Dass sich die Menschen über lange Zeiträume so intensiv mit einer Tracking-App beschäftigen, kann ich mir nicht vorstellen.“

Zur Frage nach möglichen Problemen der App, wie Berichten, dass einige Tracking-Apps im Vordergrund auf dem Handy aktiv sein müssen:
„Damit Apps Kontakte lückenlos erfassen können, müssen sie kontinuierlich im Hintergrund laufen, also auch wenn man ein Smartphone gerade nicht benutzt. Das funktioniert allerdings nur, wenn die Betriebssystemhersteller solche Zugriffe erlauben, was zumindest bei iOS wohl aktuell nicht der Fall ist.“

Zur Frage, wie der Ansatz von Google und Apple zu beurteilen ist:
„Grundsätzlich ist es begrüßenswert, dass Google und Apple an einer gemeinsamen Lösung arbeiten. Ohne Unterstützung durch die Betriebssystemhersteller würde es wohl kaum gelingen, eine stromsparende und gut benutzbare Tracking-App zu entwickeln. Erfreulicherweise favorisieren beide Anbieter dezentrale Ansätze. Zentrale Tracking-Konzepten, bei denen der Anbieter erfährt, wer mit wem Kontakt hatte, sollen damit gar nicht umsetzbar sein.“

„Google und Apple sorgen aber lediglich für die Voraussetzungen, die für ein effizientes und datensparsames Tracking mittels dezentraler Ansätze erforderlich sind. App-Anbieter könnten die dezentral erhobenen Daten möglicherweise immer noch an einen Betreiber übermitteln. Dazu wäre zwar wohl eine Einwilligung durch den Nutzer erforderlich. Allerdings besteht hier das Risiko, dass die Nutzer nicht verstehen, welche Daten sie preisgeben und was sich daraus ableiten lässt.“

Dr. Martin Degeling

Postdoc, Horst-Görtz-Institut für IT-Sicherheit (HGI), Ruhr-Universität Bochum und

Christine Utz

Wissenschaftliche Mitarbeiterin, Horst-Görtz-Institut für IT-Sicherheit (HGI), Ruhr-Universität Bochum

Zur Frage, wie das Anliegen des Briefes zu beurteilen ist:
„Wir befürworten die Initiative. In den letzten Wochen kam der Expertise der Wissenschaftler:innen aus den Lebenwissenschaften wie den Virolog:innen und Epidemiolog:innen viel Aufmerksamkeit zu. Wie sich gezeigt hat, war es gut und sinnvoll, deren Empfehlungen ernst zu nehmen. Wenn sich nun Forscher:innen aus den technischen Wissenschaften in die Debatte der Entwicklung von Technologien zur Pandemiebekämpfung einmischen, kann das nur hilfreich sein.“

Zur Frage, welche Probleme es beim Einsatz von Bluetooth zur Kontaktverfolgung geben kann:
„Grundsätzlich ist die Kontaktverfolgung mittels Bluetooth den Ansätzen mittels GPS oder Funkzellen vorzuziehen, da sie eine größere Genauigkeit bietet und gleichzeitig datenschutzfreundlicher genutzt werden kann. Allerdings gibt es noch große Unklarheiten, was die Genauigkeit angeht. Erste Tests (von PEPP-PT) deuten auf 70-90 Prozent Genauigkeit hin, das heißt 10-30 Prozent der Kontakte werden nicht oder fälschlicherweise erkannt. Hier müssen weitere Tests mit mehr Geräten in unterschiedlichen Szenarien durchgeführt werden, um die Fehlerrate besser bestimmen zu können. Wo man sich aufhält (welches Material eine Wand hat) und wie man das Smartphone hält, ob es sich in der Hand, in der Hosen- oder Handtasche befindet und woraus diese bestehen, kann die Ergebnisse beeinflussen.“

„Darüber hinaus ist unklar, wie viele Menschen die Technik nutzen müssen, damit sie bei der Eindämmung der Pandemie helfen kann. Eingeschränkt wird die Verbreitung nicht nur durch die Freiwilligkeit, sondern auch dadurch, dass viele Personen, insbesondere in den Risikogruppen, kein Smartphone besitzen oder weil gerade ältere und günstigere Smartphones die notwendige Bluetooth-Low-Energy-Technik nicht unterstützen.“

„Viele der bekannten Sicherheitsprobleme werden in den vorgeschlagenen Protokollen berücksichtigt. Vor allem das dezentrale Protokoll DP-3T ist hier hervorzuheben. Aber auch hier gibt es Schwächen: So könnten etwa technisch versierte Endanwender:innen versuchen, herauszufinden, welche Person aus ihrem Umfeld infiziert ist, oder die Technik nutzen, um unbeteiligte Dritte in die Liste von Kontaktpersonen einzutragen, um diese in Quarantäne zu zwingen.“

Zur Frage, wie der Ansatz von PEPP-PT zu beurteilen ist:
„PEPP-PT ist mit großer Unterstützung gestartet, hat aber in der letzten Woche durch Intransparenz viel Vertrauen verspielt. Dass nun viele internationale wissenschaftliche Partner:innen das Projekt verlassen haben, da es sich scheinbar auf einen zentralisierten Ansatz festgelegt hat, lässt nichts Gutes hoffen. Die Forschung ist sich weitgehend einig, dass nur ein dezentrales Protokoll den Missbrauch durch private und staatliche Akteur:innen verhindern kann. Dies entspricht auch den Vorgaben der Datenschutzgrundverordnung nach Datenminimierung und ‚privacy-by-design‘.“

„Bis zum Einsatz jeder App, unabhängig vom technischen Protokoll, ist es allerdings noch ein langer Weg. Auch die rechtlichen Grundlagen müssen noch gelegt sowie der organisatorische Ablauf zwischen Betroffenen und den Gesundheitsämtern geregelt werden. Zum Datenschutz gehören auch die Rechte von Betroffenen, wie das Recht, Widerspruch gegen eine womöglich falsche Entscheidung zur Quarantäne einzulegen – hier ist nicht nur die Technik gefragt. Möglichst schnell eine App zu entwickeln, die dann weder technisch ausgereift noch organisatorisch eingebettet ist, kann eher zu einem Vertrauensverlust führen, als dass es uns hilft, die Pandemie einzudämmen. Wie auch bei Impfstoffen kann man versuchen, Prozesse zu verkürzen, dies darf aber nicht auf Kosten der Qualität passieren.“

„Eine ausführliche Analyse zu rechtlichen und organisatorischen Aspekten hat in der letzten Woche das FIfF veröffentlicht [1].“

Zur Frage, wie der Ansatz von Google und Apple zu beurteilen ist:
„Google und Apple übernehmen die Ideen des dezentralen Ansatzes. Die genaue technische Umsetzung wurde allerdings noch nicht offengelegt und muss überprüft werden, wenn sie vorliegt. Neben den rechtlichen und organisatorischen Fragen, die hier ungeklärt bleiben, ist es allerdings eher problematisch, dass den beiden Unternehmen hier so wichtige Kontrollfunktionen zufallen, da sie nicht demokratisch kontrollierbar sind und die Kontaktverfolgungs-Funktionen gegebenenfalls für die kommerzielle Ausbeutung öffnen könnten.“

Prof. Dr. Tibor Jager

Professor für IT-Sicherheit und Kryptographie, Bergische Universität Wuppertal

Zu den Vor- und Nachteilen von dezentralen und zentralen Ansätzen:
„Im Kern geht es aus meiner Sicht eigentlich weniger um die Diskussion, ob nun ein zentraler oder dezentraler Ansatz der ‚Richtige‘ ist.“

„Die wesentlichen Unterscheidungskriterien sind Transparenz und die Frage, inwiefern der Schutz persönlicher Daten bei der Entwicklung des Systems berücksichtigt wurden. Auch Projekte wie DP-3T, die oft ‚dezentralisiert‘ genannt werden, sind nicht völlig dezentralisiert, daher ist diese Unterscheidung zwischen zentral/dezentral sowieso ein wenig ungenau.“

„Die Kernbotschaft des gemeinsamen Statements ist, dass es wichtig ist, eine Lösung zu entwickeln und auszurollen, die bei Bürgerinnen und Bürgern maximales Vertrauen genießen kann – und das transparent und begründet. Wenn eine intransparente Lösung ausgerollt und danach dann heftig kritisiert wird, sodass das Vertrauen der Nutzer schwindet, dann haben wir damit viel Zeit, Vertrauen und Effektivität bei der Bekämpfung der Pandemie verloren.“

„Uns allen ist klar, dass wir schnell eine gut funktionierende Lösung brauchen. Zum Beispiel das DP-3T Projekt hat bislang wesentlich weiter fortgeschrittene, konkrete Ergebnisse vorgelegt als die meisten anderen Projekte. Und es hat zusätzlich den Vorteil, dass es ‚Privacy by Design‘ mitbringt.“

„Ich bin in keines der Projekte, die derzeit einen Lösungsansatz entwickeln, involviert und habe insofern auch keinen Interessenkonflikt. Das Gleiche gilt für die große Mehrheit der Unterzeichner des Briefes. Die Einigkeit, mit der so viele Kollegen dieses Statement abgeben, spricht sicher auch für sich. Es stehen viele Wissenschaftler aus Informatik, IT-Sicherheit und Epidemiologie dahinter.“

„Ein solches gemeinsames Statement gab es noch nicht einmal nach den Snowden-Veröffentlichungen. Das zeigt auch, wie ernst viele Kollegen dieses Thema nehmen.“

Zur Frage, welche Probleme es beim Einsatz von Bluetooth zur Kontaktverfolgung geben kann:
„Es ist generell schwierig, Hindernisse für Viren, wie Fenster und Wände, mit einer App zu erkennen. Das gilt für Bluetooth-basierte Lösungen ebenso wie für andere Ansätze, die zum Beispiel auf GPS basieren. Dies ist ein grundsätzliches Problem, für alle technischen Lösungsansätze. Daher wird auch argumentiert, dass eine manuelle Nachverfolgung sinnvoller sein könnte.“

„Hierzu ist es jedoch vielleicht sinnvoller, Epidemiologen zu fragen. Was ich aber als IT-Sicherheitsforscher sagen kann ist: Wenn eine technische Lösung in Betracht gezogen wird, dann denke ich, dass diese unbedingt den vier Prinzipien, die im offenen Brief genannt werden, entsprechen müssen.“

Zur Frage nach möglichen Problemen der App, wie Berichten, dass einige Tracking-Apps im Vordergrund auf dem Handy aktiv sein müssen:
„Einige Ansätze scheinen das aktuell besser zu lösen als andere. Zum Beispiel scheint es bei manchen Projekten ein großes gegenseitiges Interesse zu geben, mit wichtigen Partnern wie Google oder Apple zu kooperieren, während andere Projekte fordern, dass diese Firmen die Schutzmechanismen der Geräte schwächen.“

Zur Frage, wie der Ansatz von Google und Apple zu beurteilen ist:
„Der kooperative Ansatz von Google und Apple ist definitiv richtig. Ein Wildwuchs verschiedener Lösungen ist nicht hilfreich, das würde der Effektivität des App-basierten Ansatz sehr schaden. Ich denke, der klare Wille zur Kooperation und Interoperabilität, die die Zusammenarbeit verschiedener Ansätze ermöglicht, sollte ein weiteres wichtiges Kriterium für die Auswahl einer geeigneten Lösung sein.“

Ergänzung von Prof. Dr. Cas Cremers

CISPA – Helmholtz Center for Information Security, Saarbrücken

Zur Frage nach möglichen Problemen der App, wie Berichten, dass einige Tracking-Apps im Vordergrund auf dem Handy aktiv sein müssen:
„Smartphones von Apple verhindern derzeit, dass Hintergrund-Apps regelmäßige Signale senden. Apps können dies umgehen, indem sie die App zwingen, im Vordergrund zu sein. Das verbraucht Akkuladung und bedeutet, dass die Telefone in den Taschen der Leute nicht gelockt sind. So tut das zum Beispiel die in Singapur eingesetzte App.“

„Um die Kontaktverfolgung leichter durchführbar und sicherer zu machen, würde der Vorschlag von Google und Apple solche Hintergrundsysteme zulassen, aber nur für einige bestimmte genehmigte Apps und nur für eine begrenzte Zeit bis zum Ende der Krise. Sie haben ihren Vorschlag so gestaltet, dass er gut mit dezentralisierten Lösungen zusammenarbeitet, aber nicht wirklich für zentralisierte Lösungen geeignet ist.“

Prof. Dr. Mathias Fischer

Juniorprofessor für IT-Sicherheit und Sicherheitsmanagement, Universität Hamburg

Zur Frage, wie das Anliegen des Briefes zu beurteilen ist:
„Im Brief positionieren sich hunderte Wissenschaftler weltweit gegen die Implementierung von Überwachungsregimen auf dem Rücken der Corona-Pandemie und machen sich für datenschutzfreundliche Lösungen stark. Die Wissenschaftler plädieren für Lösungen die strikt zweckgebunden, also nur die für Beherrschung der Pandemie nötigen Daten erheben, komplett offengelegt sind, den größtmöglichen Privatsphärenschutz implementieren und komplett auf freiwilliger Teilnahme basieren.“

Zur Frage, welche Probleme es beim Einsatz von Bluetooth zur Kontaktverfolgung geben kann:
„Im Gegensatz zu GPS oder Mobilfunkdaten eignet sich Bluetooth und vor allem Bluetooth Low Energy (BLE) gut für die Kontaktverfolgung. GPS ist viel zu ungenau und in Gebäuden nicht verfügbar. Mobilfunkdaten sind ebenfalls ungenau, da man damit nur prüfen kann, ob Mobilgeräte in derselben Funkzelle sind. Funkzellen können aber durchaus einen Durchmesser von bis zu mehreren Kilometern haben. BLE ermöglicht die direkte Kommunikation zwischen mobilen Geräten und kann daher dafür genutzt werden, Begegnungen von Menschen für eine Kontaktverfolgung zu implementieren. Wenn bei der Implementierung einer Kontaktverfolgung über BLE hier jedoch nicht die höchsten Standards an IT-Sicherheit- und Privatsphärenschutz angelegt werden, lässt sich bei einer großflächigen Nutzung fast der komplette soziale Graph eines Menschen rekonstruieren.“

„Das Bluetooth Low Energy (BLE) Protokoll, das in den meisten bisher diskutierten Lösungen verwendet wird, bietet so gut wie keine Sicherheitseigenschaften. Die Kommunikation zwischen Geräten kann leicht abgehört und verändert werden. Das hat allerdings keine Auswirkungen auf die bisher diskutierten datenschutzfreundlichen Lösungen wie PEPP-PT oder auch den von Apple und Google verfolgten Ansatz. Dort werden lediglich anonyme und kurzlebige IDs verschickt. Natürlich muss man Bluetooth für die Kontaktverfolgung auf seinem Mobilgerät aktivieren, was jedoch die meisten Menschen schon getan haben, um die Freisprecheinrichtung im Auto oder den kabellosen Kopfhörer zu nutzen.“

„Probleme gibt es auch bei der Distanzmessung über BLE, die jedoch für eine Kontaktverfolgung sehr genau sein muss, will man nicht zu viele Fehlalarme produzieren, die die Akzeptanz des Gesamtsystems untergraben. Die Messungen können je nach Gerätemodell stark variieren, sodass eine zusätzliche Kalibrierung von Geräten in den jeweiligen Lösungen nötig ist. Das Wissen dafür haben Gerätehersteller und auch insbesondere die Hersteller mobiler Betriebssysteme, also Apple und Google.“

„Auch Hindernisse können zu Problemen bei der Distanzmessung und vor allem bei der Abschätzung der Ansteckungsgefahr führen. Insbesondere dünne Wände, Fenster, oder auch Plexiglas, wie beispielsweise mittlerweile zum Schutz von Kassierern in Supermärkten üblich, lassen sich nur schwer erkennen.“

„Fehlalarme sind vermutlich unvermeidbar, und es wird daher vor allem auf den Einzelnen ankommen, sich lieber einmal mehr als zu wenig in Quarantäne zu begeben. Dies natürlich unter der Voraussetzung, dass ein System zur Kontaktverfolgung nicht übermäßig viele Fehlalarme produziert und daher auch noch ernst genommen wird.“

Anmerkung – Prof. Fischer korrigierte sein Statement am 21.04. nachträglich, nachdem sein ursprüngliches Statement noch von einem möglichen dezentralen Ansatz bei PEPP-PT ausging, inzwischen aber bekannt wurde, dass sich PEPP-PT mittlerweile von einer dezentralen Lösung für die Kontaktverfolgung abgewendet hat und nun eindeutig eine zentrale Lösung präferiert. Er ließ uns diese berichtigte Version zukommen:

Zur Frage, wie der Ansatz von PEPP-PT zu beurteilen ist:
„Unter Berücksichtigung der neuesten Entwicklungen rund um PEPP-PT in den letzten Tagen, die auf eine Abkehr von einer dezentralen Lösung deuten, eine Richtigstellung meiner Einschätzung zu PEPP-PT.“

„PEPP-PT wird dem ursprünglichen Hype nicht ganz gerecht, da die Macher sich mittlerweile von einer dezentralen Lösung abgewendet haben und nun eine zentrale Lösung verfolgen, die ein potenzielles Einfallstor für staatliche Überwachung darstellen kann. Ein zentraler Server kann theoretisch übermittelte Bluetooth-IDs mit IP-Adressen verknüpfen und damit den versprochenen Anonymitätsschutz des Ansatzes aushebeln. Infizierten Personen lassen sich so alle Personen zuordnen, die sich innerhalb eines bestimmten Zeitraums in deren unmittelbarer Nähe aufgehalten haben. Die Verknüpfung von IP-Adressen und Pseudonymen in Form von Bluetooth-IDs ist zwar in Deutschland aufgrund rechtlicher Vorgaben nicht ohne weiteres zulässig, PEPP-PT könnte aber auch in Ländern ohne einen solchen rechtlichen Schutz zum Einsatz kommen. Vor dem Hintergrund, dass es datenschutzfreundliche Alternativen wie DP-3T gibt, die anfangs noch von PEPP-PT verfolgt und mittlerweile sogar von Apple und Google aufgegriffen wurden, sind zentralisierte Lösungen wie PEPP-PT abzulehnen.“

Zur Frage, wie der Ansatz von Google und Apple zu beurteilen ist:
„Apple und Google verfolgen eine Lösung für die Kontaktverfolgung, die sich sehr nahe an der auch von vielen Wissenschaftlern präferierten Lösung DP-3T orientiert. Die Teilnahme ist freiwillig, zwischen den Geräten werden lediglich anonyme IDs ausgetauscht und es wird keine zentrale Stelle mit dem Wissen über menschliche Begegnungen geben. Ein weiterer großer Vorteil der Initiative von Apple und Google gegenüber PEPP-PT ist, dass deren Ansatz sich direkt in Smartphone-Betriebssysteme integrieren wird. Da Apple mit iOS und Google mit Android den Smartphone-Markt zusammen gänzlich dominieren, lässt sich darüber schnell eine flächendeckende und einheitliche Lösung anbieten.“

Aus Gründen der Transparenz können Sie hier das ursprüngliche Statement weiterhin lesen:

Zur Frage, wie der Ansatz von PEPP-PT zu beurteilen ist:
„Der Ansatz PEPP-PT bietet einen hohen Privatsphärenschutz. Es werden keinerlei persönliche Daten gespeichert und die Nutzer einer entsprechenden App können komplett anonym bleiben, da Geräte untereinander lediglich anonyme IDs austauschen. Wird jemand positiv auf das Corona-Virus getestet, erlaubt PEPP-PT, anonym alle Personen, die sich länger als eine bestimmte Zeitspanne in der Nähe der infizierten Person aufgehalten haben zu informieren. Die ausgetauschten Daten erlauben keine weiteren Rückschlüsse auf das persönliche Verhalten von Nutzern und es werden keinerlei persönliche Daten gespeichert. PEPP-PT ist daher ein gutes Beispiel für eine datenschutzfreundliche Lösung, für die die Verfasser des Briefes plädieren. Allerdings gab es zuletzt vermehrt Stimmen, die PEPP-PT Intransparenz vorwerfen. Der Code von PEPP-PT ist jedenfalls nicht einsehbar, was erst einmal negativ zu bewerten ist.“
„Auch wird PEPP-PT vorgeworfen im Hintergrund doch eine zentralisierte Lösung anzustreben, wenn auch vermutlich keine, über die sich menschliche Beziehungen und Begegnungen im Detail aufdecken lassen. Dafür sorgt der kryptographische Schutz und das Austauschen lediglich anonymer IDs.“

Zur Frage, wie der Ansatz von Google und Apple zu beurteilen ist:
„Apple und Google verfolgen hier einen ähnlichen Weg wie PEPP-PT, also dem Ansatz, der auch aktuell von der Bundesregierung präferiert wird. Die Teilnahme ist freiwillig, zwischen den Geräten werden lediglich anonyme IDs ausgetauscht und es wird keine zentrale Stelle mit dem Wissen über menschliche Begegnungen geben. Ein großer Vorteil der Initiative von Apple und Google gegenüber PEPP-PT ist allerdings, dass deren Ansatz direkt in Smartphone-Betriebssysteme integriert sein wird. Da Apple mit iOS und Google mit Android den Smartphone-Markt zusammen gänzlich dominieren, lässt sich schnell eine flächendeckende und einheitliche Lösung anbieten. Zudem haben Apple und Google das nötige Wissen über iOS- und Android-Geräte, das für eine Kalibrierung der Entfernungsmessung und damit eine höhere Genauigkeit nötig ist. Von daher ist diese Initiative von Apple und Google uneingeschränkt zu begrüßen.“

Prof. Dr. Jörn Müller-Quade

Professor für Kryptographie und Sicherheit, Institut für Theoretische Informatik (ITI), Karlsruher Institut für Technologie (KIT)

„Ein zentraler Ansatz, bei dem einer einzelnen Instanz völlig vertraut wird, ist gefährlich. Die Kontaktdaten, die erhoben werden sowie die Daten über den Gesundheitszustand erlauben weitreichende Einblicke in unsere Privatsphäre und haben ein großes Missbrauchspotenzial. Ob der zentrale Ansatz trotzdem, im Rahmen einer Abwägung von Grundrechten, verhältnismäßig ist, müssen wir gar nicht diskutieren, weil es mit dem dezentralen Ansatz eine privatsphäreschonende Lösung gibt.“

„Natürlich ist der Datenschutz selbst bei dem dezentralen Ansatz nicht perfekt, weil unter Umständen beobachtete Bluetooth-IDs, Signalstärken oder Zeitpunkte es doch erlauben, private Informationen zu erfahren. Es ist zum Beispiel prinzipiell nicht zu verhindern, dass eine Kontaktwarnung, wenn man nur einer Person begegnet ist, impliziert, dass diese Person positiv getestet wurde. Dennoch scheint mir der dezentrale Ansatz verhältnismäßig, denn der konkrete Nutzen einer Kontaktverfolgung für die Gesundheit einzelner Menschen könnte sehr groß sein.“

„Leider ist die Kontaktverfolgung mit Bluetooth nicht sehr präzise, aber sie ist viel genauer als eine Rückverfolgung von Infektionsketten mit bisherigen Methoden, etwa aus der Erinnerung. Was die ‚false positives‘ angeht, also Warnungen, die nicht nötig gewesen wären, so verursachen diese ‚nur‘ Kosten, etwa für zusätzliche Tests. Wie teuer das ist und ob es dennoch der richtige Weg ist, wird sich durch Probieren zeigen.“

„Sicherheitsprobleme gibt es leider auch, weil es Angriffe über Bluetooth geben kann. Hier hoffe ich aber, dass die Handy-Hersteller mithelfen, das Risiko zu minimieren. Toll ist es jedenfalls, dass Apple und Google sich jetzt gemeinsam darum kümmern, dass ihre Betriebssysteme solche privatsphäreschonenden Apps unterstützen.“

Prof. Dr. Felix Freiling

Professor für Informatik, Friedrich-Alexander-Universität Erlangen-Nürnberg

Zur Frage, wie das Anliegen des Briefes zu beurteilen ist:
„Ich teile das Anliegen des Briefes. Die automatisierte Kontaktverfolgung durch Smartphones hat das Potenzial, großen Schaden im Bereich der Privatsphäre anzurichten. Sie realisiert im Prinzip zwar die gleichen Mechanismen, wie sie die Gesundheitsämter aktuell händisch durchführen. Die Automatisierung erlaubt jedoch, dies in einer ganz anderen Größenordnung und mit deutlich weniger Aufwand zu tun. Dadurch entsteht die Gefahr einer vollständigen Offenlegung aller sozialen Kontakte. Diesen Verlust an Privatheit würde unsere freiheitliche Gesellschaft nicht schadlos überstehen.“

Zur Frage, welche Probleme es beim Einsatz von Bluetooth zur Kontaktverfolgung geben kann:
„Die Verwendung von Bluetooth ist deutlich besser geeignet, potenzielle Kontakte zu messen, als etwa die Verwendung von GPS-Signalen. Trotzdem bleibt eine Unsicherheit, weil das Signal auch Fenster und Wände durchdringen kann. Auch kann natürlich nicht erkannt werden, ob Personen Schutzanzüge tragen. Es ist schwierig, den Schwellwert bei der Signalstärke so einzustellen, dass er den Abstandsempfehlungen der Epidemiologen entspricht. Natürlich muss Bluetooth auf dem Smartphone auch dauerhaft angeschaltet sein, was eigentlich auch nicht einer guten Sicherheitspraxis entspricht.“

Zu den Vor- und Nachteilen von dezentralen und zentralen Ansätzen:
„Wenn man die Verfahren richtig gestaltet, kann man auch mit Bluetooth-Scannern keine Rückschlüsse auf die generierten Datensätze ziehen. Bei zentralen Ansätzen, wo alle Daten an einer Stelle zusammenlaufen, hat man im Wortsinn einen besseren Überblick und ist flexibler. Man kann dann auch Dinge analysieren, an die man vorher nicht gedacht hat. Dezentrale Ansätze sind aus Sicht der Privatsphäre prinzipiell besser, weil die Daten in ihrer Gesamtheit schwerer zu missbrauchen sind.“

„Idealerweise verlassen die Daten nie das Endgerät, auf dem sie erhoben wurden. Die Erfahrung zeigt: Sind die Daten erstmal gesammelt, so gibt es immer gute Gründe, sie nicht zu löschen.“

Zur Frage, wie der Ansatz von PEPP-PT zu beurteilen ist:
„PEPP-PT verfolgt die richtigen Ziele und es arbeiten auch die richtigen Personen an diesem Projekt. Um die Protokolle und den Quellcode einzusehen, muss man aber offenbar erst Partner in der PEPP-PT-Allianz werden. Vollkommen transparent ist das also noch nicht.“

Zur Frage, wie der Ansatz von Google und Apple zu beurteilen ist:
„Den Ansatz kenne ich noch nicht im Detail. Prinzipiell verfügen aber Apple und Google über ihre Smartphone-Plattformen bereits jetzt mehr Informationen über die Kontakte und Aufenthaltsorte vieler Personen als jede Kontaktverfolgungsapp je sammeln könnte.“

Angaben zu möglichen Interessenkonflikten

Prof. Dr. Eric Bodden ist ein Unterzeichner des offenen Briefes.

Prof. Dr. Thorsten Holz ist ein Unterzeichner des offenen Briefes.

Prof. Dr. Dominik Herrmann ist ein Unterzeichner des offenen Briefes.

Dr. Martin Degeling und Christine Utz: „Ein Professor von unserem Institut und einige unsere Projektpartner:innen sind Unterzeichnende des Briefs. Martin Degeling ist außerdem Mitglied im FIfF auf dessen Datenschutzfolgenabschätzung wir im Text verweisen. An dem Dokument haben wir allerdings nicht mitgearbeitet.“

Prof. Dr. Tibor Jager ist ein Unterzeichner des offenen Briefes und sagt weiterhin: „Ich bin in keines der Projekte, die derzeit einen Lösungsansatz entwickeln, involviert und habe insofern auch keinen Interessenkonflikt.“

Prof. Dr. Cas Cremers ist ein Unterzeichner des offenen Briefes, dort als deutscher Medienkontakt angegeben und einer der Wissenschaftler hinter dem DP-3T Vorschlag.

Prof. Dr. Jörn Müller-Quade ist ein Unterzeichner des offenen Briefes.

Prof. Dr. Felix Freiling: „Ich unterstütze auch den angesprochenen Brief. Ansonsten sind mir keine Interessenkonflikte bekannt.“

Alle anderen: Keine Angaben erhalten.