Der Experte für "Digitale Epidemiologie" Marcel Salathé, Professor an der Eidgenössischen Technischen Hochschule Lausanne (ETHL/EPFL) verließ am Freitag das PEPP-PT-Projekt. Das 'Pan-European Privacy-Preserving Proximity Tracing' ist ein multinational entwickeltes Softwaresystem (Contact-Tracing-App), auf dem große Hoffnungen ruhen, da es dabei helfen soll, die Covid-19-Pandemie einzudämmen.

Kritik an PEPP-PT: mangelnde Transparenz

heise online daily Newsletter Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden. Newsletter jetzt abonnieren

Der Hauptgrund für die derzeit wachsende Kritik an dem PEPP-PT-Projekt und die Absetzbewegungen sind laut verschiedenen Medienberichten und Twitter-Threads eine vermutete Ausrichtung von PEPP-PT hin zu einer zentralen Lösung sowie eine bemängelte intransparente Kommunikation und Projektunterlagen. Salathé machte seinen Entschluss ebenfalls per Twitter öffentlich: "Da ich fest an die Kernideen wie Internationalität und Schutz der Privatsphäre glaube, kann ich mich nicht hinter etwas stellen, wo ich nicht weiss, für was es steht. Im Moment ist PEPP-PT nicht offen genug, und es ist nicht transparent genug.“

Salathé ist neben dem Project Lead, der EPFL-Professorin und Leiterin des Security and Privacy Engineering Laboratory Carmela Troncoso, eine der Galionsfiguren für das ebenfalls internationale Projekt DP3T, dessen Team neben Experten aus der Schweiz rund 25 Forscher aus Belgien, Deutschland, Großbritannien, Italien, der Niederlande und Spanien angehören.

Richtungsstreit über Privatsphären-Modell

DP3T (Decentralized Privacy-Preserving Proximity Tracing) startete ursprünglich an der EPFL und der ETH Zürich und ist ein offenes Protokoll für Open-Source-Apps und Server, die auf Bluetooth-Basis 'COVID-19 Proximity Tracing' zur Verfügung stellen wollen. DP3T ist (vermutlich muss man inzwischen sagen: war) laut seinem Projektteam ursprünglich eines der Protokolle "unter dem weiten Schirm" von PEPP-PT "und nicht das einzige“, so die Verfasser eines DP3T-Projektdokuments.

Doch offenbar ist mittlerweile nicht nur hinter den Kulissen der App-Entwicklung ein grundsätzlicher Richtungsstreit darüber ausgebrochen, welches "Privatsphären-Modell" bei der Realisierung einer PEPP-PT-Anwendung letztendlich favorisiert werden solle. Das DP3T-Projekt für ein digitales Contact Tracing arbeitet strikt unter den Vorgaben von Dezentralität, Anonymität, Wahrung der Privatsphäre, Verschlüsselung von Daten und Open Source. PEPP-PT hingegen unterstützt sowohl einen zentralisierten als auch einen dezentralisierten Ansatz, je nachdem, welche Implementation die jeweiligen Anwender-Länder wünschen, heißt es auf der Website von PEPP-PT.

Dezentrales Protokoll verworfen?

Direkt an diesen Satz anschließend wurde aber – bis vor wenigen Tagen – explizit das DP3T-Protokoll als die Implementation einer dezentralisierten kryptologischen Umsetzung bezeichnet, welche derzeit vom PEPP-PT-Team begutachtet werde. Auf einmal aber fehlt diese Aussage im Text auf der PEPP-PT-Website. Die Formulierung wurde angeblich entfernt, ohne Rücksprache mit den Verantwortlichen des DP3T-Teams zu nehmen, so ein Vorwurf von Seiten DP3T.

Verschiedene weitere Vorhaltungen via Twitter, etwa vom DP3T-Entwickler Kenneth Paterson, Professor und Leiter der "Applied Cryptography Group" an der ETH Zürich, lauten: "Ihr System [d.i. PEPP-PT] ist geschlossen und kann von externen Experten nicht begutachtet werden. Wir können uns keine Spezifikation anschauen, keinen Code. Das System könnte also auch voller Bugs sein. Es könnte eine Hintertür für Geheimdienste haben. Niemand ausserhalb ihres geschlossenen Projekts kann das beurteilen."