Österreichs Coronavirus-App sorgt für Verblüffung in Europa

Der positiv verlaufene Datenschutzaudit der App des Roten Kreuzes platzt mitten in einen erbittert geführten europäischen Richtungsstreit um eine zukünftige Corona-App. Nur Österreich verfügt bereits über eine solche Applikation.

Von Erich Moechel

Das am Mittwoch präsentierte Datenschutzaudit der österreichischen Coronavirus-App wird in Europa teils mit Verblüffung, teils mit Erleichterung aufgenommen. Die App des Roten Kreuzes ist nicht nur die allererste nationale Corona-App in Europa, sie wird auch Open Source und damit allen interessierten Staaten unter einer freien Lizenz zur Verfügung gestellt.

Diese Nachricht kam wie ein Paukenschlag im einigermaßen erbittert geführten EU-internen Richtungsstreit um den richtigen Ansatz. Während Deutschland & Frankreich ein stark zentralisiertes Modell für Datenspeicherung vorantreiben (PEPP-PT), verlangen immer mehr akadamische Technikteams aus anderen EU-Staaten einen dezentralen Ansatz (DP-3T). Das ist der Ansatz der österreichischen App. Die Schweiz ist bereits darauf umgeschwenkt, weitere Staaten werden folgen.

Zur generellen Sinnhaftigkeit von Apps bei der Bekämpfung einer Pandemie - Disclaimer Hier ist ein ein großes „Caveat“ unerlässlich. Für keinen dieser beiden Ansätze zur Verarbeitung so heikler Datensätze wie diese Kombination aus Gesundheits- und Bewegungsdaten mit Personenbezug, gibt es bisher einen Nachweis, dass eine App tatsächlich einen Mehrwert bei der Bekämpfung einer Pandemie erbringt. Austrian Corona App: Data protection audit of the results in English, audit performed by NoYB.eu and Epicenter.Works. Source code analysis courtesy SBA Research

PEPPT PT

Aussteiger und Proteste

Die beiden Ansätze auf EU-Ebene sind das zentralisierte PPEP-PT bzw. DP-3T mit Datenverarbeitung und -speicherung auf den Smartphones der Benutzer. Zu letzterem gehört die Rotkreuz-App

Das von Deutschland und Frankreich vorangetriebene Projekt PEPP-PT der EU-Kommission für Bluetooth-Tracing gegen die Coronapandemie ist binnen weniger Tage stark erodiert. Bis Montag war fast ein Dutzend europäischer Forschungsinstitute und Universitäten aus Belgien, der Schweiz, aber auch Deutschland ausgestiegen. Es handelt sich um Universitäten von Rang und Namen, wie das Polytechnikum Lausanne, die ETH Zürich, ISI (Italien), die Universität Leuven (Belgien) oder die deutschen Helmholtz-Forschungsinstute (CISPA). Der Projektleitung von PEPP-PT werden Intransparenz, willkürliche Entscheidungen und fehlende Kompetenz in Datenschutz- und Verschlüsselungsfragen vorgeworfen.

Am Montag erschien ein von dreihundert Professoren europäischer Universitäten unterzeichneter offener Brief mit einer Warnung an die Politik. Gewarnt wird da vor zentralisierten Lösungen wie PEPP-PT, die „Formen staatlicher oder privater Überwachung mit verheerenden Folgen ermöglichen würden“. Der daraus resultierende Vertrauensverlust zerstöre jede Akzeptanz der App in der Bevölkerung. Die Liste der Unterzeichner liest sich wie ein europäisches „Who is Who“ der Forschung in den Gebieten IT-Sicherheit und Verschlüsselung. Aus Österreich sind drei Professoren der TU Graz und eine Professorin der Uni Klagenfurt mit dabei.

PEPPT PT

Allmächtige Behördenserver

Auslöѕer des Protests war ein am Freitag veröffentlichtes Protokoll mit dem Akronym ROBERT, das den zentralisierten Ansatz in seiner ganzen Gefährlichkeit zeigt. Alles beginnt mit einem Login eines Smartphones am Backend-Server des jeweiligen PEPP-PT-Projekts, worauf ein permanenter Identifikator (PUID) des Smartphones erstellt wird. Aus denen generiert der Server eine Bluetooth-Identität (EBID). Mit der melden sich alle Smartphones permanent und zeichnen alle EBIDS auf.

Wird ein Patient Corona-positiv getestet, dann lädt die App sämtliche empfangenen Bluetooth-Identitäten (EBIDs)- einen mehrstelligen gemischten Zahlenbuchstabensalat samt Zeitstempel und weitere Metadaten - auf den Backend-Server. Der wiederum verknüpft alle EBIDS in die UBIDS und sendet eine Nachricht an die Corona-Apps aller Smartphones, die einen Bluetooth-Handshake mit dem Smartphone der infizierten Person durchgeführt haben. All das macht im wesentlichen der Backend-Server und den kontrolliert eine nationale Behörde. Die kann den Server nach Belieben konfigurieren und neue Funktionen einbauen, heikle Datensätze mit intimem persönlichen Bezug abziehen und verarbeiten, ohne dass die betroffenen Benutzer davon auch nur erfahren müssen.

PEPPT PT

Big Brother durch Big Data vorerst abgesagt

Das DP-3T-Konzept und da eben die Coronavirus-App des Roten Kreuzes folgen hingegen dem Prinzip „Privacy by Design“, die Anwendungen kommen quasi mit eingebautem Datenschutz auf der technischen Ebene. Die weitgehend dezentrale Verarbeitung und Speicherung aller dabei anfallenden Metadaten auf den Smartphones aller Teilnehmer lässt erst gar keine Begehrlichkeiten von Behörden aufkommen, diese Menge an „Big Data“ mit „künstlicher Intelligenz“ einem behördlichen „Datamining“ zuzuführen. Genau das ist nämlich das bis jetzt nicht öffentlich als solches deklarierte Ziel des PEPP-PT Projekts.

Im Fall von DP-3T und der Rotkreuz-App hat Big Behörde nämlich diese hochsensiblen Datensätze nicht. Der Backend-Server ist hier ein Instrument zur Unterstützung der Datenverarbeitung auf den Smartphones. Die persönlichen Daten sind dabei dort, wo persönliche Daten in erster Linie hingehören, bei der betreffenden Person, die diese Metadaten laufend produziert.