zurück zum Artikel

Corona-Tracing-App: Absetzbewegungen beim multinationalen Projekt PEPP-PT

Tom Sperlich
Corona-Tracing-App: Absetzbewegungen beim multinationalen Projekt PEPP-PT

(Bild: ra2studio/creativeneko/Shutterstock.com)

Beim Projekt PEPP-PT für eine Coronavirus-Tracing-App gibt es offenen Streit. Ein Experte kritisiert mangelnde Offenheit und wechselt zur Konkurrenz.

Der Experte für "Digitale Epidemiologie" Marcel Salathé, Professor an der Eidgenössischen Technischen Hochschule Lausanne (ETHL/EPFL) verließ am Freitag das PEPP-PT-Projekt. Das 'Pan-European Privacy-Preserving Proximity Tracing' ist ein multinational entwickeltes Softwaresystem (Contact-Tracing-App), auf dem große Hoffnungen ruhen, da es dabei helfen soll, die Covid-19-Pandemie einzudämmen.

Mehr zum Coronavirus:

Der Hauptgrund für die derzeit wachsende Kritik an dem PEPP-PT-Projekt [20] und die Absetzbewegungen sind laut verschiedenen Medienberichten und Twitter-Threads eine vermutete Ausrichtung von PEPP-PT hin zu einer zentralen Lösung sowie eine bemängelte intransparente Kommunikation und Projektunterlagen. Salathé machte seinen Entschluss ebenfalls per Twitter öffentlich: "Da ich fest an die Kernideen wie Internationalität und Schutz der Privatsphäre glaube, kann ich mich nicht hinter etwas stellen, wo ich nicht weiss, für was es steht. Im Moment ist PEPP-PT nicht offen genug, und es ist nicht transparent genug.“

Salathé ist neben dem Project Lead, der EPFL-Professorin und Leiterin des Security and Privacy Engineering Laboratory Carmela Troncoso, eine der Galionsfiguren für das ebenfalls internationale Projekt DP3T, dessen Team neben Experten aus der Schweiz rund 25 Forscher aus Belgien, Deutschland, Großbritannien, Italien, der Niederlande und Spanien angehören.

DP3T (Decentralized Privacy-Preserving Proximity Tracing) startete ursprünglich an der EPFL und der ETH Zürich und ist ein offenes Protokoll für Open-Source-Apps und Server, die auf Bluetooth-Basis 'COVID-19 Proximity Tracing' zur Verfügung stellen wollen. DP3T ist (vermutlich muss man inzwischen sagen: war) laut seinem Projektteam ursprünglich eines der Protokolle "unter dem weiten Schirm" von PEPP-PT "und nicht das einzige“, so die Verfasser eines DP3T-Projektdokuments.

Doch offenbar ist mittlerweile nicht nur hinter den Kulissen der App-Entwicklung ein grundsätzlicher Richtungsstreit darüber ausgebrochen, welches "Privatsphären-Modell" bei der Realisierung einer PEPP-PT-Anwendung letztendlich favorisiert werden solle. Das DP3T-Projekt für ein digitales Contact Tracing arbeitet strikt unter den Vorgaben von Dezentralität, Anonymität, Wahrung der Privatsphäre, Verschlüsselung von Daten und Open Source. PEPP-PT hingegen unterstützt sowohl einen zentralisierten als auch einen dezentralisierten Ansatz, je nachdem, welche Implementation die jeweiligen Anwender-Länder wünschen, heißt es auf der Website von PEPP-PT.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung [21].

Direkt an diesen Satz anschließend wurde aber – bis vor wenigen Tagen – explizit das DP3T-Protokoll als die Implementation einer dezentralisierten kryptologischen Umsetzung bezeichnet, welche derzeit vom PEPP-PT-Team begutachtet werde. Auf einmal aber fehlt diese Aussage im Text auf der PEPP-PT-Website. Die Formulierung wurde angeblich entfernt, ohne Rücksprache mit den Verantwortlichen des DP3T-Teams zu nehmen, so ein Vorwurf von Seiten DP3T.

Verschiedene weitere Vorhaltungen via Twitter, etwa vom DP3T-Entwickler Kenneth Paterson, Professor und Leiter der "Applied Cryptography Group" an der ETH Zürich, lauten: "Ihr System [d.i. PEPP-PT] ist geschlossen und kann von externen Experten nicht begutachtet werden. Wir können uns keine Spezifikation anschauen, keinen Code. Das System könnte also auch voller Bugs sein. Es könnte eine Hintertür für Geheimdienste haben. Niemand ausserhalb ihres geschlossenen Projekts kann das beurteilen."

Die Gerüchteküche brodelt: Es gibt Stimmen unter den Projektmitarbeitern von DP3T und externen Beobachtern, die davon ausgehen, dass PEPP-PT einen "undurchsichtigen, zentralisierten Ansatz bezüglich Contact Tracing verfolge". So twitterte der EPFL-Forscher Mathias Payer, Teammitglied bei DP3T, am Freitag, es gebe Gerüchte, dass PEPP-PT-Mitglieder für ein nicht-öffentliches Design lobbyierten, für das deutlich mehr Vertrauen in die Regierungen erforderlich sei.

Dabei betont aktuell selbst das EU-Parlament in einer Entschließung vom 17. April (PDF-Datei) [22] seine Festlegung für eine dezentrale offene Lösung: "Das Europäische Parlament, (...) fordert, dass die gesamte Datenspeicherung dezentralisiert erfolgt, dass für vollständige Transparenz in Bezug auf die (nicht in der EU zu verortenden) kommerziellen Interessen der Entwickler dieser Anwendungen gesorgt wird und dass klare Prognosen darüber vorgelegt werden, wie die Verwendung von Apps zur Ermittlung von Kontaktpersonen durch einen Teil der Bevölkerung in Verbindung mit spezifischen anderen Maßnahmen zu einer deutlich geringeren Zahl infizierter Personen führen wird; fordert, dass die Kommission und die Mitgliedstaaten hinsichtlich der Funktionsweise von Apps für die Ermittlung von Kontakten uneingeschränkt transparent sind, damit die Anwender sowohl das zugrunde liegende Protokoll für Sicherheit und Schutz der Privatsphäre als auch den Programmcode selbst überprüfen können, um festzustellen, ob die Anwendung so wie von den Behörden behauptet funktioniert (...)“.

Marcel Salathé will nun seine "gesamte Energie" in das DP3T-Projekt geben. Dort sollen Daten dezentral und anonym gespeichert, Ideen könnten offen diskutiert werden, schreibt Salathé. Die Entwicklergruppe von DP3T hat am Freitag auf Github weitere Testversionen [23] ihrer Contact-Tracing-App zur Erprobung veröffentlicht. Währenddessen von PEPP-PT bislang noch eher wenig zu finden ist – zumindest gibt es inzwischen bei Github eine erste Dokumentation [24].

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung [25].

Die wiederum am Karfreitag von Apple und Google bekanntgegebene gemeinsame Contact-Tracing-Strategie [26] helfen dem dezentralen Ansatz von DP3T, glaubt Marcel Salathé. "Aus meiner Perspektive begrüsse ich das sehr. Es gibt uns Unterstützung für den dezentralen Ansatz, den wir als DP3T-Gruppe vorgeschlagen haben. Und es wird sicher einfacher, mit einem Standard zu arbeiten", sagte der EPFL-Epidemiologe gegenüber dem Schweizer Online-Medium Watson. Davon abgesehen wiesen Google und Apple darauf hin, dass bei heutigem Stand der technischen Dinge ausschließlich echte dezentralisierte Contact-Tracing-Apps Bluetooth im Hintergrund geöffnet haben können.

Gegenüber der Neuen Zürcher Zeitung äußerte sich Salathé, dass seit der gemeinsamen Ankündigung von Google und Apple und ihrer Unterstützung für einen dezentralen Ansatz "ich das Gefühl habe, dass für den zentralen Ansatz viel Lobbying betrieben wird. So nach dem Motto: Wir lassen uns von Google und Apple nicht vorschreiben, welchen Ansatz wir zu nutzen haben."

[Update 19.4.2020 16:39 Uhr:] Hinweis zur Dokumentation von PEPP-PT bei Github ergänzt. (tiw [27])


URL dieses Artikels:
https://www.heise.de/-4705279

Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/Corona-Tracking-Wie-Contact-Tracing-Apps-funktionieren-was-davon-zu-halten-ist-4709903.html
[2] https://www.heise.de/meldung/Homeoffice-und-Steuern-Was-laesst-sich-anrechnen-4714507.html
[3] https://www.heise.de/hintergrund/Erfolgreich-im-Homeoffice-arbeiten-4681061.html
[4] https://www.heise.de/meldung/Weichzeichner-und-Chats-Erstellen-Tipps-fuer-die-Homeoffice-Software-4691199.html
[5] https://www.heise.de/meldung/Homeoffice-Software-zum-gemeinsam-Bearbeiten-4691706.html
[6] https://www.heise.de/meldung/Arbeiten-in-Zeiten-des-Coronavirus-Home-Office-als-Herausforderung-4684269.html
[7] https://www.heise.de/meldung/Arbeiten-in-Zeiten-des-Coronavirus-eine-FAQ-4675686.html
[8] https://www.heise.de/meinung/Taiwan-ein-Reisebericht-in-Corona-Zeiten-4692414.html
[9] https://www.heise.de/meldung/Infektionsgefahr-im-Netz-Corona-Malware-Teil-1-Verseuchte-Apps-und-Karten-4689902.html
[10] https://www.heise.de/meldung/Infektionsgefahr-im-Netz-Corona-Malware-Teil-2-Upcycling-alter-Huete-4689533.html
[11] https://www.heise.de/meldung/Corona-Pandemie-Die-Mathematik-hinter-den-Reproduktionszahlen-R-4712676.html
[12] https://www.heise.de/meldung/Ein-tieferer-Einblick-in-die-Infektions-Tests-gegen-Coronavirus-SARS-CoV-2-4691821.html
[13] https://www.heise.de/meldung/Coronavirus-Fallzahlen-und-der-Amtsschimmel-4683120.html
[14] https://www.heise.de/meldung/Corona-Statistik-in-Deutschland-Noch-mehr-Durcheinander-4687788.html
[15] https://www.heise.de/meldung/Corona-Kontaktverfolgung-und-PEPP-PT-Es-zaehlt-mehr-als-kryptographische-Eleganz-4708335.html
[16] https://www.heise.de/meldung/Datenschutz-in-der-Corona-Krise-4714189.html
[17] https://www.heise.de/meldung/EU-Datenschuetzer-Richtlinien-fuer-datengestuetzte-Pandemie-Bekaempfung-4707948.html
[18] https://www.heise.de/meldung/Gen-Analyse-Muenchner-Corona-Fall-war-Ausgangspunkt-fuer-viele-weitere-Laender-4676832.html
[19] https://www.heise.de/thema/coronavirus
[20] https://www.heise.de/meldung/Corona-Tracking-Apps-mit-PEPP-PT-Entscheidend-ist-fuer-uns-dass-der-Datenschutz-gewaehrleistet-wird-4700336.html
[21] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[22] https://www.europarl.europa.eu/doceo/document/TA-9-2020-0054_DE.pdf
[23] https://github.com/DP-3T/documents
[24] https://github.com/pepp-pt
[25] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[26] https://www.heise.de/meldung/Coronavirus-Kontaktverfolgung-wird-Teil-von-Android-und-iOS-4702166.html
[27] mailto:tiw@heise.de