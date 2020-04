Um die verbliebenen Hauptakteure beim geplanten europäischen Vorzeigeprojekt PEPP-PT als Blaupause für eine App zum Nachverfolgen von Corona-Infektionsketten lichten sich die Reihen weiter. Das Pan-European Privacy-Preserving Proximity Tracing wird maßgeblich von Hans-Christian Boos von der KI-Firma Arago und Thomas Wiegand vom Heinrich-Hertz-Institut der Fraunhofer-Gesellschaft vorangetrieben. Übers Wochenende kündigten nun unter anderem das Helmholtz-Institut für Informationssicherheit (CISPA), die Turiner Forschungsstiftung ISI (Istituto per l'Interscambio Scientifico) und die Katholische Universität Leuven an, die Initiative nicht mehr zu unterstützen.

Öffentliche Debatte angeleiert – und verloren?

Die Absetzbewegungen eingeleitet hatten am Freitag PEPP-PT-Mitgründer Marcel Salathé, Professor an der Eidgenössischen Technischen Hochschule Lausanne (EPFL), sowie die ETH Zürich. Sie setzten auf das offene Protokoll DP3T (Decentralized Privacy-Preserving Proximity Tracing), das anfangs unter dem Dach von PEPP-PT verankert werden sollte, inzwischen auf der Projektwebseite aber nicht mehr erwähnt wird.

Am Samstag twitterte der Informatik-Professor Cas Cremers dann, dass sich CISPA ebenfalls zurückgezogen habe. Man werde aber weiter an DP3T und damit an einem Rahmenwerk mit "Privacy by Design" arbeiten. Ciro Cattuto vom ISI erklärte am Sonntag auf Twitter, PEPP-PT habe zwar die öffentliche Debatte über Contact-Tracing maßgeblich geprägt. Unklarheiten rund um die Steuerung und die Kommunikation hätten aber Bedenken hervorgebracht. In der laufenden Gesundheitskrise seien "höchste Standards für Offenheit und Transparenz" entscheidend.

Insgesamt hat sich die Zahl der Mitglieder des Konsortiums, die auf dessen Webseite gelistet sind, bereits deutlich verringert. Früher war von 130 Institutionen und Individuen die Rede, was sich nun nur noch schwer nachvollziehen lässt. Der französische Kryptologe Nadim Kobeissi warf am Freitag sogar die Frage auf, ob es sich bei PEPP-PT um einen Betrugsversuch handle. Das Vorhaben sei offenbar hauptsächlich ein Baby von Boos, der als Mitglied des Digitalrats der Bundesregierung sein Fähnlein oft um aktuelle technische "Buzzwords" in den Wind hänge.

Zentral oder dezentral

Im Zentrum des Richtungsstreits steht die Frage, ob ein zentrales oder dezentrales Architekturkonzept bei PEPP-PT gefahren werden soll. Die eine Seite plädiert dafür, die anonymisierten, über Bluetooth ausgetauschten Kennungen einzelner App-Nutzer auf einem Server, also zentral zu speichern. Diesen könnte dann der Staat oder ein Datentreuhänder betreiben. Die andere Seite will, dass alle IDs von Kontaktpersonen völlig dezentral zwischen den jeweiligen Smartphones ausgetauscht und verwaltet werden.

PEPP-PT werde weiterhin beide Ansätze unterstützen, versicherte Boos wiederholt in den vergangenen Tagen. Dabei nur DP3T zu erwähnen, verstoße aber gegen das "Neutralitätsgebot". Ein weiterer dezentraler Lösungsvorschlag kommt vom Partner TU München mit dem Konzept Digital Contact Tracing Service (DCTS). Zugleich ließ Boos in einem Interview aber durchblicken: "Für Deutschland stelle ich mir eine Server-Lösung vor."

Inzwischen haben die PEPP-PT-Macher, auf deren Erfolg hierzulande der Bund und die Länder setzen, zumindest eine Dokumentation ihrer Pläne auf Github veröffentlicht und damit auf die zunehmende Kritik an Intransparenz reagiert. Enthalten sind auch Hinweise zum Datenschutz und zur IT-Sicherheit der geplanten Architektur "am Beispiel der deutschen Implementierung". Diese orientiert sich demnach sehr eng am französischen Modell Robert ("Robust and privacy-preserving proximity tracing protocol") des Institut national de recherche en informatique et en automatique (Inria).