Ob Corona-Tracing-Apps mit zentralem oder dezentralem Prinzip arbeiten sollen, ist keine rein technische Frage. Es ist auch eine Frage von Vertrauen. Politisch verantwortungsvolles Handeln heißt, die Unterschiede zu verstehen und ernstzunehmen.

Samuel Brack und Leonie Reichert sind wissenschaftliche MitarbeiterInnen am Institut für Informatik der Humboldt-Universität zu Berlin. Jeanette Hofmann ist Forschungsdirektorin am Alexander von Humboldt Institut für Internet und Gesellschaft (HIIG), Professorin für Internetpolitik an der Freien Universität Berlin und leitet die Forschungsgruppe Politik der Digitalisierung am Wissenschaftszentrum Berlin für Sozialforschung. Björn Scheuermann ist Forschungsdirektor am HIIG und Professor für Technische Informatik an der Humboldt-Universität zu Berlin. AutorInnen in alphabetischer Reihenfolge.

Es passiert eher selten, dass die Spezifikation einer Smartphone-App über mehrere Tage einen solch zentralen Platz in den Nachrichten einnimmt: Die Kontaktverfolgung ist zwar ein bewährtes Mittel in der Infektionsbekämpfung, aber ihre Digitalisierung ist in den letzten Wochen zum Politikum geworden. Von „religiösen“ Auseinandersetzungen ist da die Rede, und von der Gefahr, dass der Streit ums Technische die Existenz des gesamten Projekts verschleppe.

Die in solchen Äußerungen mitschwingende Unterscheidung zwischen dem eigentlich Relevanten – nämlich dem Ziel, Infektionsketten effektiver aufspüren zu können – und dem zu vernachlässigenden Modus seiner Umsetzung ist nicht nur falsch, sondern auch gefährlich. Wie so oft heiligt der Zweck eben nicht die Mittel; und dies gilt erst recht, wenn mehrere Möglichkeiten zur Wahl stehen.

Statt die technischen Details als Lappalie abzutun, sollten wir die Möglichkeit bedenken, dass Tracing-Apps womöglich keine temporäre Erscheinung sind, die wieder verschwindet, sobald die Pandemie unter Kontrolle gebracht ist. Tracing-Apps könnten sich als bewährtes Instrument der Gesundheitspolitik oder in anderen Bereichen verstetigen, und deshalb ist es so wichtig, dass sie unsere Freiheitsrechte respektieren und nicht unterlaufen. Politisch verantwortliches Handeln in Zeiten von Corona verlangt deshalb, die grundlegenden Unterschiede zwischen den Tracing-Apps zu verstehen und ernst zu nehmen.

Während Pionierländer wie China, Israel und Südkorea erste Tracing-Apps per Beschluss von oben eingeführt haben, wählte Europa den umgekehrten Weg: Eine paneuropäische Initiative von WissenschaftlerInnen und Unternehmen begann im März an einer gemeinsamen Plattform zu arbeiten, die es jedem Land ermöglichen sollte, eine nationale, aber grenzüberschreitend kompatible App zu entwickeln. Im Unterschied zu den Vorläufermodellen aus Asien hat sich das europäische Graswurzelprojekt den Datenschutz ausdrücklich auf die Fahnen geschrieben. Epidemiekontrolle und Privatsphäre sollten, ganz im Einklang mit den europäischen Grundrechten, nicht gegeneinander ausgespielt, sondern technisch miteinander kombiniert werden.

Aus dieser Initiative sind nun zwei Lösungswege hervorgegangen, deren friedliches Nebeneinander leider nur von sehr kurzer Dauer war. Beide streiten augenblicklich darum, die Rolle des europäischen Standards einzunehmen. Einige Länder wie die Estland, Spanien, Schweiz, Österreich, und jetzt auch Deutschland, haben sich für das dezentrale Modell entschieden. Andere wie zum Beispiel Frankreich und Italien halten momentan noch an einer zentralisierten Lösung fest. Auch wenn das Ringen um die beiden Modelle auf den ersten Blick als rein technische Frage erscheinen mag, sind die politischen Implikationen doch nicht zu unterschätzen.

Zwei Vertrauensmodelle

Vorbild für beide Lösungen ist TraceTogether, ein zunächst von Singapur entwickeltes Verfahren zur Kontaktverfolgung, das auf die Funktechnik Bluetooth Low Energy setzt. Sie ermöglicht Geräten, zum Beispiel Smartphones, sich wechselseitig zu registrieren, indem sie untereinander eine Kennung oder ID austauschen. Dabei kann zugleich, mehr oder weniger genau, der räumliche Abstand zwischen ihnen abgeschätzt werden. Auf diese Weise kann ein Telefon bemerken, wenn mit einem anderen ein längerer Kontakt im Zug, im Supermarkt oder beim Schlangestehen bestand. Das legt die Grundlage für eine Information und Reaktion, wenn sich später herausstellt, dass einer der Beteiligten infiziert ist.

Solche Informationen sind allerdings hochsensibel sowie fehler- und missbrauchsanfällig. Nicht nur individuelle Bewegungsprofile, sondern auch sondern auch soziale Kontakte lassen sich mithilfe der Tracing-Daten potenziell rekonstruieren. Hinzu kommt die Gefahr von Fehlalarmen, die sich von den Nutzenden der Tracing-Apps nicht immer beurteilen lassen.

Beide Ansätze unterscheiden sich nun grundsätzlich darin, wie sie die allgemein bekannten Risiken gewichten und zu minimieren versuchen. Im Ergebnis entstehen zwei verschiedene Vertrauensmodelle, deren technische Umsetzungen in beiden Fällen spezifische Stärken und Schwächen aufweisen.

Ein erster Ansatz der Kontaktverfolgung, PEPP-PT genannt, welcher lange Zeit als Favorit für eine deutsche Lösung galt, legt vor allem Wert darauf, dass Informationen über Kontakte mit Infizierten gezielt versendet werden. Aus diesem Grund sieht PEPP-PT ein zentrales, von einer Gesundheitsbehörde wie dem Robert-Koch-Institut betriebenes System der Kontaktverfolgung vor. Dieses generiert für alle Menschen, die die Corona-App installiert haben, zunächst eine anonyme Kennung oder ID, die zentral gespeichert wird.

Für alle registrierten Nutzenden erstellt das System dann sogenannte Pseudonyme, die man sich in etwa wie ständig wechselnde Autokennzeichen vorstellen kann. Diese wechselnden Pseudonyme senden sich die Endgeräte über Bluetooth Low Energy zu, wenn sie sich in räumlicher Nähe zueinander bewegen, und speichern sie auf ihrem Telefon ab. Wenn eine Person amtlich als infiziert gemeldet wird, werden die Pseudonyme, die das eigene Telefon in der Vergangenheit empfangen hat, nach Bestätigung durch die betreffende Person automatisch zur Gesundheitsbehörde hochgeladen.

Dieses Modell der Kontaktverfolgung beruht folglich auf einer zentralen Informationsverwaltung, die in der Lage ist, alle relevanten Personen per App darüber zu benachrichtigen, dass sie sich möglicherweise infiziert haben. Auch wenn die Behörde nicht über Klarnamen, sondern nur über die Kennung der App verfügt, lassen sich die Individuen dahinter doch recht leicht ermitteln – nicht zuletzt, weil Covid-19 laut Infektionsschutzgesetz meldepflichtig ist. PEPP-PT informiert die App-Nutzenden zwar über das Risiko einer Ansteckung, nicht aber darüber, wer sie infiziert haben könnte. Auch wenn dies aus Datenschutzgründen durchaus sinnvoll ist, bleibt das Problem, dass die Betroffenen die Plausibilität von Infektionswarnungen, die sie erhalten, nicht selbst überprüfen können.

Das zweite Modell betrachtet die große Informationskonzentration bei den Gesundheitsbehörden, die PEPP-PT mit sich bringen würde, selbst als Risiko. Statt darauf zu vertrauen, dass der Staat mit diesem Wissen und diesem Informationszugang dauerhaft verantwortungsvoll umgeht, setzt der im europäischen Kontext vor allem von einem Konsortium namens DP-3T vorangetriebene Ansatz auf Informationsvermeidung.

Anders als im zentralen Ansatz wird das Risiko einer Infektion nicht von den Gesundheitsbehörden bestimmt, sondern diese betreibt lediglich eine Art “Schwarzes Brett”, das veröffentlicht, welche Pseudonyme in der Vergangenheit von infizierten Personen verwendet wurden. Die Gesundheitsbehörden geben bei diesem Verfahren auch keine Pseudonyme aus, sondern die App erzeugt diese selbst: Niemand, auch nicht eine Gesundheitsbehörde, kann somit über einen längeren Zeitraum zuordnen, welche der wechselnden Pseudonyme zu derselben Person gehören.

Die Apps aller Nutzenden überprüfen regelmäßig selbst, gewissermaßen mit einem Blick an dieses Schwarze Brett, ob sie einem dieser Pseudonyme in der Vergangenheit begegnet sind. Die Benachrichtigung über eine mögliche Infektion wird also nicht zentral gesteuert, sondern wird dezentral mit Hilfe der öffentlich verfügbaren Daten auf jedem Handy einzeln generiert. Um gezielte Falschmeldungen zu verhindern, können nur positiv auf das Virus getestete Nutzenden entsprechende Informationen am “Schwarzen Brett” anbringen. Die Autorisierung solcher Meldungen, dass man erkrankt ist, obliegt weiterhin der Gesundheitsbehörde, die zum Beispiel einen TAN-Code zum Hochladen der in den letzten Tagen genutzten eigenen Pseudonyme an Infizierte ausgibt.

Im Unterschied zum zentralen Modell erfahren gefährdete Nutzende im Falle eines positiven Abgleichs mit den als infiziert veröffentlichten Pseudonymen zumindest die ungefähre Uhrzeit, zu der gemäß der im eigenen Smartphone aufgezeichneten Historie ein Kontakt bestand. Damit ist einerseits eine erste Plausibilitätsprüfung möglich – War ich zu besagter Zeit in der U-Bahn oder allein in meiner Küche? -, andererseits lässt sich der Personenkreis eingrenzen, der als mögliche Ansteckungsquelle in Frage kommen könnte.

Diese Variante des Entwurfs einer Tracing-App bedeutet also: Informationen über riskante Kontakte erreichen nie das Informationssystem der Gesundheitsbehörde, sondern werden ausschließlich dezentral auf den individuellen Telefonen der Nutzenden berechnet. Zwar wissen die zentralen Stellen, welche Pseudonyme die Infizierten in der Vergangenheit verwendet haben, sie können jedoch die individuellen Kontaktnetzwerke nicht rekonstruieren. Es entstehen also keine zentral gespeicherten Informationen über das soziale Umfeld der App-Nutzenden. Allerdings sind Datenspenden im Rahmen des dezentralen Ansatzes durchaus möglich. App-Nutzende können die Gesundheitsämter mit personenbezogenen Informationen unterstützen, wenn sie dies wollen. Skeptische Stimmen empfehlen aber, Datenspenden strikt von Corona-Apps zu trennen, um das Vertrauen der Bevölkerung nicht zu verspielen.

Vertrauen hin, Vertrauen her

Die beiden Modelle zur digitalen Kontaktverfolgung unterscheiden sich also sehr grundsätzlich im Hinblick auf die Kontrolle über die anfallenden Daten, den Datenschutz und nicht zuletzt hinsichtlich der Missbrauchsmöglichkeiten.

Bei PEPP-PT liegt die Kontrolle über die Daten ausschließlich bei einer zentralen staatlichen Stelle, die allein die Infektionsketten nachvollziehen kann und auch die Risikokalkulation als Grundlage für die Warnung von möglicherweise Infizierten vornimmt. Einerseits ermöglicht dieses Modell, gefährdete Personen schnell zu kontaktieren. Andererseits aber entstehen so detaillierte Abbilder des sozialen Umfelds der Nutzenden. Diese sogenannten sozialen Graphen sind zwar hilfreich für die Risikobewertung von Kontakten über die kurze Lebensdauer eines Pseudonyms hinaus. Zudem können neue epidemiologische Erkenntnisse zu Risikofaktoren leichter in der Risikoberechnung berücksichtigt werden.

Diese Flexibilität im Warnsystem wird allerdings durch Missbrauchsmöglichkeiten wie etwa Angriffe auf die Server durch Hacker erkauft. Auch Polizeibehörden oder Geheimdienste könnten an einer Herausgabe der Daten Interesse zeigen. Genau diese Eigenschaft erleichtert es aber andererseits wiederum, die Metriken für eine Risikobewertung bei Bedarf flächendeckend zu aktualisieren. Bei neuen Erkenntnissen aus der Epidemiologie zu Risikofaktoren müsste bei einer dezentralen Lösung ein Update an alle Endgeräte verteilt werden anstatt dieses beim PEPP-PT-Modell nur auf dem zentralen Server zu installieren.

Dass einmal gesammelte Daten Begehrlichkeiten über den ursprünglichen Erhebungszweck hinaus wecken, konnte man schon oft beobachten. Ein aktuelles Beispiel ist die immer wieder aufflammende Diskussion über die Nutzung von LKW-Mautdaten für die Strafverfolgung. Auch die Vorratsdatenspeicherung stellt eine solche Zweckentfremdung dar: Daten über Telekommunikationsverbindungen, die zunächst für Abrechnungszwecke erhobenen wurden, sollen längerfristig von den Telekommunikationsfirmen für den Zugriff durch Sicherheitsbehörden vorgehalten werden.

Informationen über das eigene Kontaktnetz und Zufallsbegegnungen, wie sie bei PEPP-PT entstehen würden, existieren bislang in diesem Umfang noch nicht. Sie haben aber durchaus das Potential neuer Nutzungsszenarien, die die momentan versprochene Löschung der Daten nach dem Ende der Inkubationszeit zukünftig in Frage stellen könnten. Für eine Löschung der Daten gibt es keine technischen Garantien. Außerdem lässt sich von außen nicht zuverlässig nachvollziehen, ob sie wirklich vollständig und dauerhaft erfolgt ist. Die Gesellschaft wäre darauf angewiesen, dass alle Beteiligten sich an die Regeln halten – obgleich die Vergangenheit lehrt, dass Rufe nach Aufweichung schnell laut werden können, und dass auch bestehenden Löschungsverpflichtungen nicht immer Folge geleistet wird.

Dezentrale Ansätze wie DP-3T belassen die Verantwortung für die Meldung eines Infektionsverdachts dagegen bei den Bürgern. Der Server der Gesundheitsbehörden kann keine Abbildung des sozialen Umfelds ableiten und lernt von Verdachtsfällen nur, wenn die Nutzenden sich nach einer Aufforderung der App beim Gesundheitsamt beziehungsweise einem Arzt melden. Verglichen mit dem zentralen Ansatz bewahren die Nutzenden der App ein erhebliches Maß an Privatsphäre und Autonomie gegenüber staatlichen Stellen und deren Infrastruktur: Es ist dann Aufgabe wie auch rechtliche Pflicht der Infizierten, die Gesundheitsämter zu informieren.

Der Unterschied zwischen beiden Modellen ist auch unter demokratischen Gesichtspunkten relevant: Vertraut der Staat seinen Bürgern genug, um sich darauf zu verlassen, dass sie sich im Verdachtsfall in Quarantäne begeben und testen lassen? Oder überwiegt das Interesse an einer effizienten Pandemiebekämpfung, die dann eine amtliche Überwachung begründen hilft?

…Vertrauen everywhere?

Google und Apple haben angekündigt, das dezentrale Modell der Kontaktverfolgung zu unterstützen, indem sie entsprechende Funktionen in den nächsten Wochen in ihre Smartphone-Betriebssysteme einbauen. Auf diese Weise kann die ständige Suche nach neuen Kontakten kontinuierlich im Hintergrund der Smartphones ablaufen, ohne den Akku zu sehr zu strapazieren. Weil dies mit Apple-Geräten bislang überhaupt nicht möglich war, führte die Tracing-App in Singapur zu Problemen bei der täglichen Nutzung.

Anders als vielfach öffentlich kommuniziert, sind beide Ansätze auf eine Unterstützung durch die Betriebssysteme von Google und Apple angewiesen. Beide Unternehmen haben im übrigen versichert, dass sie keine eigene Infrastruktur betreiben wollen, sondern diese Aufgabe den Gesundheitsbehörden überlassen werden, die an der digitalen Kontaktverfolgung mitwirken möchten. Die Schnittstelle im Betriebssystem der Smartphones soll dazu dienen, die notwendigen Daten lokal zu erheben und diese dann mit dem Server der Gesundheitsbehörden auszutauschen.

Offen bleibt freilich die Frage, wie die geplanten Erweiterungen der Smartphone-Betriebssystem genau umgesetzt werden; insbesondere, ob diese nicht vielleicht doch heimlich Informationen an die Konzerne zurücksenden könnten. Es ist daher essentiell, dass Google und Apple den Quellcode für ihre Erweiterungen offenlegen und damit unabhängigen Sicherheitsforschern die Möglichkeit einräumen zu überprüfen, dass keine zusätzlichen Funktionen eingebaut wurden.

Und bei aller Unterschiedlichkeit gibt es auch Risiken, die beide Ansätze teilen. Dazu gehören etwa die Gefahren, die von dauerhaft aktivierten Bluetooth-Schnittstellen ausgehen. Angreifer können versuchen, den ständigen Austausch von IDs zwischen Telefonen zu manipulieren, um etwa Nachrichten, die in einem Krankenhaus mit Covid-19 Verdachtsfällen aufgenommen wurden, nochmals an einem anderen Ort auszusenden solange sie noch gültig sind. Auf diese Weise können gezielt Personengruppen dazu gebracht werden zu glauben, sie seien infiziert. Auch sind auf Mobiltelefonen eine Vielzahl von Apps installiert, die nicht immer alle das tun, was sie vorgeben. Solche Apps könnten etwa versuchen, den Gesundheitsstatus der App-Nutzenden mitzulesen.

Schließlich wäre denkbar, dass Menschen versuchen, Pseudonyme realen Personen zuzuordnen. Das wäre zum Beispiel dann möglich, wenn zu einem bestimmten Zeitpunkt nur eine Person in der Nähe und nur ein Pseudonym sichtbar waren. Solche Angriffe ließen sich unter Umständen sogar automatisieren: Man denke beispielsweise an Smart-City-Anwendungen wie Überwachungskameras oder Zugangskontrollsysteme, die mit einem Empfänger für Bluetooth Low Energy ausgestattet sind. Zwar können beide Kontaktverfolgungsmodelle solche Angriffsszenarien technisch erschweren, aber kaum vollständig ausschließen.

Und nun? Wider das Modell Singapur

Ist denn nun offensichtlich, welches das überlegene Modell ist oder lässt sich auf eine Entscheidung zwischen beiden Ansätzen womöglich verzichten? Eine Koexistenz beider Lösungen ist derzeit nicht vorstellbar, denn selbst im Falle mehrerer Tracing-Apps müssten sie sich dennoch auf eine gemeinsame Architektur einigen, damit der Informationsaustausch zwischen allen Nutzenden, beziehungsweise Telefonen möglich ist und alle Kontakte auch tatsächlich erkannt werden können. Abzuwägen waren bei der Wahl zwischen den Ansätzen daher die unterschiedlichen Risikofaktoren, aber auch die denkbaren politischen Folgen beider Systeme.

Befürchtet wurde, dass sich aus dem zentralen Modell institutionelle Pfadabhängigkeiten ergeben, die einen Rückbau der entstandenen Kontrollinfrastruktur unwahrscheinlich machen. Wenn einmal ein großer Teil der Smartphone-Nutzenden eine solche App installiert hat und ihr Betrieb zum Normalfall geworden ist, ergeben sich womöglich weitere Anwendungsmöglichkeiten, die jetzt noch jenseits des Vorstellbaren liegen. Das Verfolgen der jährlichen Influenzawelle wäre nur ein erster Schritt.

Wichtiger aber ist vielleicht noch eine politische Bewertung der sehr gegensätzlichen Vertrauensmodelle, für die die beiden Systeme stehen. Während PEPP-PT auf ein hierarchisches, obrigkeitsstaatliches Überwachungssystem setzt, das die Sozialbeziehungen der Bürger digital erfasst und lesbar macht, vertraut DP-3T auf das verantwortliche Handeln der Beteiligten in der Annahme, dass individuelle und kollektive Freiheiten gegenwärtig noch enger als sonst voneinander abhängen. Beiden Modellen ist gemein, dass sie auf die freiwillige Kooperation der BürgerInnen angewiesen sind. Sie sind es schließlich, die ihr Smartphone mit der aktiven App im Alltag bei sich tragen müssen, um einen wirksamen Effekt gegen die Ausbreitung des Virus zu erreichen.