Corona-Warn-App: Mehr als nur Virus-Tracken

Bild: Pixabay-License

Wirtschaftliche Interessen und fragwürdige Aspekte beim Datenschutz. Eine Einschätzung

Mit großem Aha und Applaus wurde die Corona-Warn-App (CWA) am 16.7.2020 in Deutschland eingeführt und entgegen den ursprünglichen und erklärten Hoffnungen und Prophezeiungen, hat die Einführung der Applikation nicht dazu geführt, dass die alte "Normalität" wiederhergestellt wird. Social Distancing und Lockdown-Szenarien bleiben bis auf weiteres und möglicherweise für eine sehr lange Zeit integraler Bestandteil unseres Lebens.

Trotz der relativ niedrigen Akzeptanz der App, knapp 19,8 Millionen Downloads letzte Woche (SZ) - und dies ist nicht gleichbedeutend mit der Nutzung -, und der relativ mageren Anzahl der gemeldeten Infektionen ist, trotz der Kritik ("zahnloser Tiger", Söder) bleibt sie weiter beliebt in Kommentaren und politisch wichtig. Gerade geht es um die europaweite Interoperabiltät.

Es ist offensichtlich, dass die deutsche wie auch andere europäische Regierungen beabsichtigen, an der App festzuhalten, egal wie effektiv sie zur Pandemie-Bekämpfung wirklich beiträgt, und es ist auch nicht auszuschließen, dass Regierungen langfristig eine Nutzung der App effektiv erzwingen könnten, so dass sie für Teile der Bevölkerung zur Pflicht wird.

Da die Corona-App uns für eine lange Zeit begleiten wird, lohnt es sich, ihre Notwendigkeit, Verlässlichkeit und Sicherheit (z.B. vor staatlicher Überwachung) noch einmal zu begutachten. Obwohl es klare Hinweise darauf gab, dass die App nicht so effektiv zur Pandemie-Bekämpfung beiträgt wie versprochen, und die Einführung der App mit den Interessen einiger digitaler Großkonzerne verwoben ist, obwohl Zweifel geäußert wurden, ob sie trotz ihrer "dezentralen" Architektur gegen den Missbrauch durch private oder staatliche Akteure abgesichert ist, gab es zur Einführung der App "den Ritterschlag" vom Chaos Computer Club, wie es das ZDF formulierte. Zwar keine Empfehlung, aber ein Lob.

Unklare medizinische Grundlagen

Anfang Mai 2020, während der ganzen Diskussion um die CWA, erschien eine medizinisch-statistische Studie der Universität Oxford im renommierten Fachmagazin Science, die zwar im Titel scheinbar die Nutzung einer solchen App begünstigt, sich aber im Inhalt (siehe Abschnitt "Discussion") etwas differenzierter über die Effektivität der App äußert:

Eine Übertragung, die, wie wir festgestellt haben, rasch und vor dem Auftreten von Symptomen stattfindet, impliziert, dass die Epidemie höchst unwahrscheinlich allein durch die Isolierung von Individuen mit Symptomen eingedämmt werden kann (...) Wir kalibrierten unsere Schätzung der Gesamtmenge der Übertragung auf der Grundlage der Wachstumsrate der Epidemie, die in China nicht lange nach Beginn der Epidemie beobachtet wurde. Das Wachstum in den westeuropäischen Ländern scheint bisher schneller zu sein, was entweder kürzere Intervalle zwischen der Ansteckung und der Weiterverbreitung von Individuen oder einen höheren R0 impliziert (...)

Wenn dies ein genaues Bild der Virusausbreitung in Europa und kein Artefakt eines frühen Wachstums ist, erscheint eine Epidemie-Bekämpfung mit lediglich einer Fallisolation und Quarantäne der zurückverfolgten Kontakte in dieser Lage, die eine nahezu universelle Anwendung und eine nahezu perfekte Befolgung erfordert, unplausibel. Die App sollte ein Instrument unter vielen allgemeinen präventiven Maßnahmen für die Bevölkerung sein, wie z.B. körperliche Distanzierung, verbesserte Hand- und Atemwegshygiene und regelmäßige Dekontamination.

Luca Ferretti, Chris Wymant, Michelle Kendall et.al.

Bemerkenswert am Befund der Studie ist nicht nur, dass sie der konventionellen Meinung, wonach sich Kontakteinschränkungen durch die App aufheben lassen, widerspricht ("...one tool among many...such as physical distancing…" - "Die App sollte ein Instrument unter vielen wie z.B. körperliche Distanz sein"), sondern dass sie eine der Grundstrategien der Pandemie-Bekämpfung, nämlich generell die Kontaktverfolgung und Quarantäne, nicht als ein Allheilmittel betrachtet.

Zum einen lässt sich daraus schließen, dass die Kontaktverfolgung uns auf lange Sicht hinaus begleiten wird, und zum anderen, dass auch ein politischer Druck da sein wird, die Kontaktverfolgung weiter notfalls auch unfreiwillig auszuweiten mit dem Argument, dass dadurch die Pandemiebekämpfung effektiver wird ("...requiring near-universal app usage and near-perfect compliance...", "was eine nahezu universelle Anwendung und eine nahezu perfekte Befolgung erfordert").

Dass schon sehr früh mit der Arbeit begonnen wurde, Lösungen (Beispiel: siehe Suche nach "Grandcentrix" im Link) für Menschen ohne Smartphone (über 27% in Deutschland) anzubieten, ist ein Schritt in diese Richtung.

Digitalisierung und Corona-App: Ein Grauwal unter den Orcas?

Ebenso wichtig wie die Fragen zur Effektivität der Corona-Warn-App (CWA) sind solche, die sich mit den wirtschaftlichen und staatlichen Interessen, die seine Einführung unterstützen, befassen. In Europa wurde die CWA als Initiative unter der Schirmherrschaft des sogenannten PEPP-PT ("Pan-European Privacy-Preserving Proximity Tracing"), einem Konsortium von beteiligten wissenschaftlichen Institutionen und Unternehmen, dargestellt. Offiziell wird das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) als Institution und Hans-Christian Boos als Person mit Sitz in München als Schirmherr des PEPP-PT aufgeführt. Allerdings scheint seine im Impressum angezeigte Adresse nur eine Postadresse zu sein (Anm. d. A.: bis vor kurzem war der Link www.pepp-pt.org noch aktiv, jetzt nur noch seine Dokumentation und Quellcode-Seite).

Hans-Christian Boos, der auch mal Gastredner bei der berühmten Bilderberg Konferenz war, ist Inhaber des Software-Unternehmens Arago mit einer kolumbianischen Websitedomäne und sitzt auch noch im sehr renommierten Digitalrat der Bundesregierung, wo er an zweiter Stelle nach der Vorsitzenden Katrin Suder aufgeführt wird.

Wie berichtet wird, ist unklar, welche Fähigkeiten das KI-Produkt ("HIRO") seiner Firma hat und wie viel Geld er wirklich damit verdient. Zumindest bis Mai 2020, und seit er im August 2018 von der Kanzlerin in den Digitalrat berufen wurde, war das amerikanische Hedgefond-Investment-Unternehmen, Kohlberg Kravis Roberts & Co. mit über 50% Anteileigner seiner Firma. Im Mai, nachdem ein Ordnungsgeld-Verfahren durch das Bundesamt für Justiz gegen Boos und die Firma Arago u.a. wegen nicht offen gelegter Geschäftszahlen eingeleitet worden war, verkaufte KKR seine Anteile.

Katrin Suder war vor ihrer Berufung zur Vorsitzenden des Digitalrats, Staatsekretärin im Bundesministerium der Verteidigung, berufen durch die damalige Verteidigungsministerin Ursula von der Leyen. Zuvor hatte sie einen Job als Top-Managerin beim amerikanischen Konzern McKinsey, bekannt u.a. für überzogene Beratergehälter und dafür, dass er die amerikanische Regierungsorganisationen und Staatsregierungen für ihre Covid-19-Maßnahmen berät.

Es hat eine eigene Note, dass im Zuge der sogenannten laufenden Berateraffäre, wo es um u.a. (und das ist nur die Spitze des Eisbergs) überzogene Beratergehälter im Verteidigungsministerium geht und um gelöschte Handydaten, Katrin Suder zur Vorsitzenden des Digitalrats und Ursula von der Leyen zur Chefin der EU Kommission ("Von der Leyen entschwand rechtzeitig nach Brüssel") wegbefördert wurden.

Zentralisierung, Dezentralisierung: Sicherheit für wen?

Im Vorfeld zur Einführung der App gab es eine Debatte darüber, ob die CWA zentralisiert oder dezentralisiert umgesetzt werden soll. Manche Akteure innerhalb des Projekts kritisierten den sogenannten "zentralen" Ansatz der Datenverarbeitung der CWA, weil angeblich zu viele wichtige Kontaktdaten in einem zentralen Knoten wegen der weiteren Verteilung an mögliche Infizierte gesammelt werden.

Diese beschlossen wohl im Alleingang Änderungen an den technischen Spezifikationen des Projekts - mit der Begründung, diese würden die CWA sicherer machen, und veröffentlichten diese unter dem Kürzel DP-3T ("Decentralized Privacy-Preserving Proximity Tracing") zunächst als mögliche Variante auf der PEPP-PT-Website. Aber kurze Zeit später wurde dieser Link ohne Absprache entfernt und damit wurde der Streit kenntlich.

Eigentlich ist weder die "dezentralisierte" Version des Apps sicher(er), noch ist sie wirklich dezentral. Wie der kryptographische Forscher Serge Vaudenay ausführlich in einer Veröffentlichung erklärt:

Zurzeit ist es für einen Laien völlig verwirrend, harte Diskussionen über zentralisierte versus dezentralisierte Systeme zu verfolgen, da beide Lösungen normalerweise nur lokale (d.h. dezentrale) Speicherung erfordern und beide Lösungen einen zentralen Server für Alarme benötigen. Es erscheint auch paradox, ein "Kontaktverfolgungssystem" als "die Privatsphäre wahren" zu bezeichnen. Selbst für Experten ist es beunruhigend, eines der beiden Systeme als "privatsphärenschützend" zu qualifizieren, während viele Arbeiten (…) gezeigt haben, dass sie es nicht sind. Dies hinderte Hunderte von akademischen Experten nicht daran, einen Brief zu unterzeichnen, in dem sie urteilten, dass vier (dezentralisierte) Vorschläge als datenschutzfähig eingestuft werden, obwohl sie offensichtlich nicht datenschutzfähig sind. Zu unserer Überraschung loben die Datenschutzexperten nun auch Apple und Google...

Serge Vaudenay

Vielen Forschern und "Experten" ist offenbar auch nicht aufgefallen, dass die App überhaupt nicht sicher gegenüber einer umfassenden staatlichen Überwachung ist. Im Prinzip, wenn staatliche Akteure es möchten, können sie einen kompletten Einblick durch die vom CWA erfassten Kontaktdaten erhalten.

Am deutlichsten erklärt das die technische Dokumentation zur Sicherheit des PEPP-PT im Abschnitt "A7: State-level adversary (rogue state)" selbst. Dort steht explizit, dass der Schutz unserer Kontaktdaten vor staatlichem Eingriff/Einblick nicht gegeben ist oder wie vom Verfasser formuliert: "considered out-of-scope", übersetzt: "wird nicht als inhaltlicher Gegenstand betrachtet", weil staatliche Akteure so etwas nur tun würden wenn: "existing social and legal norms are abrogated and civil stakes are at risk to an extent that goes far beyond" ("bestehende soziale und rechtliche Normen aufgehoben werden und bürgerliche Anrechte in einem ungewöhnlichen Ausmaß gefährdet sind") - als ob wir uns gerade nicht in so einer Situation befinden.

Dass dieser Teil der Erklärung auch im entsprechenden Dokument des D3-PT fehlt, liegt nicht daran, dass dort auch das Problem behoben wurde, sondern weil es einfach ignoriert wurde.

Die grundsätzliche Schwachstelle in der (de)zentralen Sicherheitsarchitektur des CWA liegt nämlich darin (bestätigt auch durch die Enthüllungen von Edward Snowden), dass ein staatlicher Akteur jederzeit nach Belieben und unbemerkt auf die verschlüsselte Datei des CWA, in dem unsere Kontaktdaten auf den Handys gespeichert werden, zugreifen, diese herunterladen und entschlüsseln kann. Denn die Verschlüsselung ist ja vom Bundesamt für Sicherheit in der Informationstechnik vorgegeben und nicht von den Nutzern selbst bestimmt. Somit können die angeblich anonymen IDs den Handys zugeordnet und alle Kontaktinformationen wiederhergestellt werden.

Ein kleines Team aus Programmierern könnte diese Aufgabe im Rahmen eines geheimdienstlichen Projekts mit den entsprechenden Zugriffs"rechten" und der Hilfe von Apple und Google bewältigen. Die Tatsache, dass ein staatlicher Akteur die Entschlüsselung der Kontaktdatei vornehmen kann, wie hier behauptet wird, wird auch im Abschnitt A7 (siehe oben) erwähnt, denn dort steht (im kryptographischem Jargon formuliert): "In jedem Fall betrachten wir einen polynomisch begrenzten (rechnerisch begrenzten) Gegner (d.h., einen, der nicht in der Lage ist, aktuelle kryptographische Schemata zu brechen)."

Das ist ein Hinweis darauf, dass die in der CWA verwendete Kryprographie nur gegen Angreifer geschützt ist, die über begrenzte Rechner-Ressourcen verfügen. Ein staatlicher Akteur könnte die Verschlüsselung brechen.

Zwar wird hier nicht behauptet, dass dieser Eingriff in den CWA-Kontaktdaten aktuell passiert oder je passieren wird, aber wenn in der Öffentlichkeit die Sicherheit des CWA diskutiert, geprüft und abgesegnet wird, dann geschieht dies auch in Bezug auf mögliche oder potenzielle Sicherheitsrisiken. In diesem Sinne ist es fragwürdig, weshalb viele "Experten", besonders aus dem gemeinnützigen Datenschutzumfeld, nie diesen Aspekt des Sicherheitsproblems des CWA erwähnen und behaupten die CWA sei sicher. Für wen denn?

Zentralisierung, Dezentralisierung: Noch mehr Orcas?

Im Vorlauf zum Justizverfahren gegen ihn, das Ende April eingeleitet wurde, war Hans-Christian Boos als Führer der PEPP-PT-Initiative allgemein für mangelnde Transparenz auch von Mitgliedern des DP3T-Projekts kritisiert worden.

Es überrascht den Autor dieses Beitrags nicht, dass eine wesentliche Komponente der Änderungen des rivalisierenden DP3T-Ansatzes die angekündigten Schnittstellen von Google und Apple sind. Zum einen sollen die Schnittstellenänderungen laut Google und Apple die Kontaktmessung mittels "Bluetooth" robuster machen. Der zweite Aspekt der "Schnittstellenänderungen" ist laut Google sehr vage formuliert:

"...Interoperabilität zwischen Android- und iOS-Geräten mithilfe von Apps der Gesundheitsbehörden ermöglichen. Die Behörden können ihre zertifizierten Apps über die jeweiligen App-Stores zur Verfügung stellen, wo sie von den Nutzern heruntergeladen werden können."

Bei näherer Betrachtung der technischen Dokumentation des PEPP-PT und des DP3T-Projekts stellt sich heraus, dass es sich hier in Wirklichkeit um eine nicht notwendige technische Umleitung des Datenflusses zwischen den Handys und den Gesundheitsämtern handelt, damit diese Daten durch Googles und Apples Cloud-Infrastruktur fließen.

Der Haupthinweis liegt in der technischen Dokumentation des PEPP-PT-Projekts ("PEPP-PT-data-protection-information-security-architecture-Germany") im Abschnitt "5.3 On Push Notifications". Im Wesentlichen unterscheidet sich der Ansatz "zentral" und "dezentral" darin, dass die Corona App die Informationen (im Kern eine Liste der neu-infizierten IDs) entweder in "Pull-" oder im "Push"-Verfahren erhält.

Im "Pull"-Verfahren holt sich jedes Handy die Liste der Neuinfizierten aus einer zentralen Stelle im Netz und ermittelt selbst, ob es mit einem dieser in Kontakt war. Im "Push"-Verfahren wird die Neuinfizierten-Liste über Googles und Apples Cloud-Infrastruktur und entsprechende proprietäre Schnittstellen direkt an die Smartphones weitergeleitet.

Die Argumentation, die scheinbar für das "Push"-Verfahren sprechen könnte (wie es auch in der Dokumentation steht), ist, dass die Datenlast beim letzteren geringer ist - allerdings auf Kosten enger Verbindung mit Googles und Apples Infrastruktur und mehr Einsicht in unsere persönliche Daten durch sie. Dass es auch ohne den beiden geht, steht direkt am Anfang des Abschnitts, nämlich:

Hinweis: Der folgende Abschnitt beschreibt die aktuelle deutsche Umsetzung des PEPP-PT. Die korrespondierende französische Version ROBERT strebt einen rein pollingbasierten Ansatz an, um die Nutzung von Push-Benachrichtigungsdiensten zu vermeiden.

PEPP-PT Projekt

Offensichtlich haben die Franzosen einen Weg gefunden, die Datenlastprobleme des "Pull"-Verfahrens zu lösen und deshalb stellt sich die Frage, weshalb die deutschen Kolleginnen und Kollegen nicht bei den französischen nachgefragt haben?

Weitere wichtige Einblicke zum sogenannten dezentralen Ansatz finden sich in einem seiner wichtigen technischen Dokumente ("DP3T - Data Protection and Security"). Her fehlt nicht unbedingt überraschend jeglicher Hinweis (nicht mal ein Treffer) zum "Pull"-Verfahren. Dort steht auf S. 6:

Der Hauptcontroller des Systems (z.B. der Koordinator des Backend-Servers und der Anwendungsbereitstellung) würde eine Standard-Datenprozessorvereinbarung mit den Betriebssystemanbietern benötigen wie bei jeder Anwendung des öffentlichen Sektors, die Push-Benachrichtigungen verwendet. Es ist unwahrscheinlich, dass das hier vorgesehene System zusätzliche Risiken für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, da die betroffenen Personen mit Smartphones diese Systeme bereits täglich benutzen werden.

DP3T - Data Protection and Security

Einfach ausgedrückt sollen die entsprechenden Behörden ("...The main controller of the system..." "Der Hauptcontroller des Systems"), etwa die jeweiligen Gesundheitsämter, mit Google und Apple ("...the OS providers..." "den Betriebssystemanbietern") entsprechende Verträge ("...standard data processor agreement … Standard-Datenprozessorvereinbarung") gemäß der Europäischen GDPR (General Data Protection Regulation) abschließen.

Fragen

Dass solche Verträge existieren, lässt darauf schließen, dass Google und Apple auch hierfür finanziell entschädigt werden könnten? Denn die Kopfzeile des Vertrags sagt schon: "This Data Processing Agreement ("Agreement") forms part of the Contract for Services ("Principal Agreement") between the ("Company") ... and the ("Data Processor") ...". Der Begriff "Company" ist stellvertretend für die Behörden und "Data Processor" ist stellvertretend für Google und Apple.

Aber nirgends in den Medien wurde bisher etwas über eine Form der Entschädigung an Google und Apple berichtet. Es ist wichtig zu wissen, welche Entschädigung Google und Apple hierfür bekommen würden, da potenziell viele Behörden in Europa mit ihnen solche Verträge schließen (werden).

Interessant ist auch der 2. Satz im obigen Zitat "...unlikely to pose additional risks..." ("Es ist unwahrscheinlich, dass dies zusätzliche Risiken für die Rechte und Freiheiten mit sich bringt").

Offensichtlich glaubt der Autor, dass Google und Apple ohnehin schon einen tiefen Einblick in unsere privaten Daten haben und dann stört es nicht, wenn sie noch mehr Einblick gewinnen werden. Das mag wohl für einige Endnutzer auch völlig in Ordnung sein. Aber ist es sicher oder gegeben, dass alle Nutzer damit einverstanden sind, dass ihre Daten, ohne jeglichen Hinweis in der Datenschutzerklärung der App über Google und Apples Infrastruktur fließen?

Dass Google und Apple vertraglich eventuell an die GDPR gebunden sind, bringt keine wirkliche Abhilfe, denn egal was amerikanische Firmen in Europa unterschreiben - mit den "Patriot"-Gesetzen in den USA hat die NSA Hoheit über diese Daten. Deshalb könnte im Grunde schon eine Verletzung des GDPR in der Installation des Apps inbegriffen sein, denn die Europäischen Behörden wissen, dass die NSA sich nicht an die europäischen Bestimmungen hält. Außerdem ist nicht jeder Nutzer eines Smartphones auch gleichzeitig ein Nutzer der Google- oder Apple-Cloud-Dienste, insofern ist die 2. Aussage faktisch inkorrekt.

Dass zu allerletzt die Unternehmen SAP und Deutsche Telekom mit der eigentlichen Umsetzung der App beauftragt wurden, kommt etwas überraschend, denn weder die Deutsche Telekom und schon gar nicht SAP sind Experten für Smartphones-Apps.

Wenn die grundlegenden technischen Spezifikationen für die App größtenteils an europäischen Universitäten und Forschungsstätten entwickelt wurden und die Entwicklung der App aus öffentlichen Geldern finanziert ist, weshalb wurden dann auch nicht diese mit seiner Fertigstellung beauftragt?

In Zeiten, wo für viele Bürgerinnen und Bürger die Einschränkungen auch finanzielle Not bedeuten, hätte man auch auf bedürftige und engagierte freiberufliche Software- Entwickler zurückgreifen können.

Gerade weil die App ein öffentliches Projekt ist und aus einem Notstand entstanden ist, warum wird dann das Unternehmen SAP der Eigentümer der CWA-App (plus Quellcode)? Für Unternehmen die jahrzehntelang Riesenprofite eingenommen haben, müsste es doch eine Ehrensache sein, bescheiden und gratis einen Beitrag für die Gesellschaft zu leisten.