Viele Menschen sind wegen einer möglichen Überwachung durch Contact Tracing Apps beunruhigt. Spoiler: Zum Glück ist es nicht so schlimm. Hier will ich versuchen Licht ins Dunkel zu bringen. Erst geht es um Contact Tracing Apps und inwieweit sie die Privatphäre bedrohen könnten. Abschließend geht es darum, wieviel so eine App so bringt.
Gerade habe ich mit Florian Metzger-Noel geschrieben. Der ist nicht nur mein Kindergartenkumpel, sondern wir haben auch 8 Jahre lang die Computerspiele Firma Neokolor betrieben. Florian ist ein sogenanntes Scriptkiddy. Er ist programmierend aufgewachsen. Außerdem ist er ein kritischer Geist mit dem ich gerne über Politik diskutiere. Was Flo zum Thema Android Update für die Tracing Apps meinte fand ich interessant:
Update: Die Corona app ist veröffentlicht.
16.6.2020 wurde die #CoronaWarnApp veröffentlicht.
Den Installationsprozess der App habe ich in einem Video Schritt-für-Schritt erklärt. Dabei lese ich (fast) alle Texte und versuche auf Hintergründe einzugehen.
Update Ende ////////
Warum Tracing App?
Covid-19 ist nicht nur eine Grippe sondern eine weltweite Pandemie mit hunderdtausenden Toten. Und das trotz der vorher undenkbaren Maßnahmen um die Pandemie zu verlangsamen. Ohne diese sähe es VIEL schlimmer aus. Wer mehr zum Thema „Informieren in Zeiten von Corona“ oder Fake News wissen will, dem lege ich meinen Artikel zu Herzen.
Damit die einschneidenden Maßnahmen möglichst zielgenau und effizient ergriffen werden können (und nicht einfach ALLE nicht mehr raus dürfen), ist es wichtig, dass Menschen wissen, dass sie möglicherweise Covid-19 haben und Gegenmaßnahmen ergreifen können. Denn sonst gefährden sie sich und vor allem Andere. Um in solchen Fällen zu unterstützen haben wir in Deutschland Gesundheitsämter. In einem Pandemiefall versuchen die herauszufinden wer genau infiziert ist. Und dann versuchen sie die Kontaktpersonen der Corona-Infizierten zu ermitteln und zu kontaktieren.
Das ist bei so vielen Infizierten eine Riesenaufgabe. Zwar wurden die Gesundheitsämter in letzter Zeit massiv ausgebaut aber trotzdem sind sie mehr oder weniger überlastet. Aber zum Glück haben wir heute technische Möglichkeiten zur Verfügung sie bei ihrer Arbeit unterstützen könnten. Viele davon bündeln sich in den Smartphones, die wir (fast alle) ständig dabei haben.
Aber führt Contact Tracing per App nicht zu mehr Überwachung?
Nicht unbedingt. Eine Kontaktnachverfolgung von möglichen Covid-19-Infizierten mit Handydaten muss nicht zu mehr Überwachung führen, sondern kann auch datenschutzfreundlich ausgestaltet werden. Warum das so ist haben Netzpolitik.org sowie Linus Neumann, der Sprecher des Chaos Computer Club erklärt. Die „Aktuelle Stunde“ des WDR hat die Thematik in einem Video anschaulich und Kompakt zusammengefasst:
Wer es ausführlicher will, dem empfehle ich das Jung und Naiv Interview von Constanze Kurz (ehrenamtliche Sprecherin des CCC und Autorin bei Netzpolitik):
Alternativ kann man sich auch hier auf Deutsch und Englisch über die Funktionsweise der geplanten App informieren.
Die Bundesregierung ist (nach etwas Widerstand) auf die Forderungen des ccc und anderer Datenschützer eingegangen. Die App wird zwar von Telekom und SAP entwickelt aber
- die Daten werden anonym erhoben und dezentral verwaltet
- die App soll Open Source sein
- die Installation und die Angabe, dass man positiv auf Corona getestet wurde, muss aktiv durch die Handynutzer erfolgen.
Ob die App all das auch wirklich erfüllt wissen wir aktuell natürlich noch nicht. Denn sie ist noch nicht fertig. Also heißt es weiterhin: Wachsam bleiben.
Android / iOS Updates
Für die Tracing App die Bluetooth LE Technologie zu nutzen war eine clevere Idee, da so keine Standortdaten erhoben werden müssen. So eine Nutzung von Bluetooth LE ist aber in den Betriebssystemen nicht vorgesehen. Wenn jemand jetzt eine App entwickelt, wie erwünscht funktionieren soll, dann würde die se nur richtig funktionieren, wenn die App aktiv ist. Das heißt (etwas verkürzt) der Bildschirm müsste fast die ganze Zeit an sein. Wenn das Handy im Ruhezustand ist, so wie meistens in der Hosentasche, dann würde zumindest iOS die App nach kurzer Zeit pausieren. Unter Anderem da einzelne Apps nicht die den ganzen Akku leersaugen sollen. Das heißt, die App würde dann nicht funktionieren und Kontakte werden nicht erfasst. Ausserdem wäre es ein großer Aufwand, dass so eine App auch zwischen Google und Apple Geräten Daten austauschen könnte.
Daher haben sich Google (Android) und Apple (iOS) anfang April zusammen gesetzt und eine ungewöhnliche Kooperation angekündigt. Seitdem haben sie in Zusammenarbeit mit zahlreichen Gesundheitsbehörden, Nichtregierungsorganisationen, Wissenschaftler*innen, Regierungen und Datenschutzexpert*innen einen gemeinsamen Standart entwickelt und diesen in ihre Betriebssysteme integriert. Damit können sich die Smarphones beider Anbieter grundsätzlich untereinander „verstehen“ und zwar auch, wenn sie im Ruhemodus sind.
Seit wenigen Tagen ist die Bluetooth Schnittstelle nun fertig. Auf Apple Smartphones kann seit 20.5.20 die Version 13.5. installiert werden. Auf Android Geräten wird die Schnittstelle automatisch installiert.
Warum automatische Installation bei Android Geräten?
Diese automatische Installation beunruhigt viele Menschen, die das Gefühl haben, hier keine Kontrolle ausüben zu können. Es gibt aber handfeste und gute Gründe dafür, warum es gut ist, dass Google nicht wie Apple ein Update zur manuellen Installation zur Verfügung stellt.
Wenn Apple ein Update für iPhones zur Verfügung stellt, dann können dies die Endkunden sofort installieren. Bei Android ist das Anders. Hier müssen die Gerätehersteller wie Samsung, LG und co. die Updates erst an ihre vielen Smarphonevarianten anpassen. Und das machen sie in der Regel nur für Geräte, die noch recht aktuell sind. Ich habe mir mal ein Motorola (damals Teil von Google) Tablet gekauft. Für das gab es nie die beim Verkaufstart eigentlich aktuelle Android Version. Und auch wenn ein Gerätehersteller das Update angepasst hat, müssen die Netzanbieter (Telekom, Vodafone und Telefonica) dieses noch mal abnicken. Und das dauert auch noch mal. Erst dann können das die Endkunden installieren.
Und das wäre für die deutsche Contact Tracing App, die Mitte Juni erwartet wird einfach zu spät. Und nur wenn diese von vielen Menschen installiert und genutzt wird hilft sie beim Nachvollziehen der Infektionsketten wirklich weiter.
Google hat aber die Möglichkeit Updates auch direkt über die „Playstore Services“ einzuspielen. Diese automatischen Updates passieren ohne Hinweis für die Nutzer. Dieser hat also keine Möglichkeit zu widersprechen. Auf der anderen Seite funktioniert das Contact Tracing nach dem Update gar nicht eigenständig. Denn jetzt ist erst eine Schnittstelle vorhanden um Contact Tracing mittels Bluetooth LE zu ermöglichen. Bei Android und iOS können die Schnittstellen nur durch bestimmte Apps genutzt werden. Und für diese haben Google und Apple hohe Hürden gelegt.
- Die Schnittstelle darf nicht in Zusammenhang mit Ortsdaten verwendet werden.
- Eine Contact Tracing App muss vom Handybesitzer aktiv heruntergeladen und dem Tracing explizit zugestimmt werden.
- Pro Land darf es nur eine Contact Tracing App geben, die von den jeweiligen Regierungen zertifiziert ist.
- Google und Apple behalten sich vor die Schnittstelle nach Abklingen der Epidemie für einzelne Länder wieder zu deaktivieren.
Telekom und SAP können nun die App für Deutschland fertigstellen. Sie haben auch schon ersten Code als Open Source veröffentlicht.
Installieren oder nicht? Das ist hier die Frage.
Erst mal gibt es noch keine App, die man installieren könnte. Diese soll aber mitte Juni kommen. In meinem Bekanntenkreis gibt es viele, die großes Misstrauen gegenüber Google/Apple und teilweise auch Bundesregierung hegen.
Vor allem diejenigen unter ihnen die keine bis wenig Ahnung von Programmierung und Computern haben sind gerade sehr skeptisch und lehnen Tracing Apps ab.
Interessant finde ich aber, dass die, die Ahnung von Programmieren und Datenschutz haben die Vorgehensweise von Google, Apple und der Bundesregierung sehr begrüssen. Ein Beispiel ist der oben erwähnte Florian Metzger-Noel.
Einem anderen Freund ist Datenschutz noch wichtiger und er verzichtet bewusst auf Facebook, Whatsapp und co. und blockt deren Skripte auf Webseiten konsequent. Dafür nimmt er Nachteile in Kauf (selbst Ausschluss aus sozialen Netzwerken, viele Webseiten funktionieren nicht einwandfrei). Er hat ein Android Telefon, aber eines ohne Google Services. Bei ihm gibt es also kein Google Maps oder keinen Playstore. Mit so einem Android Telefon ohne Google ist man zwar viel Sicherer vor Überwachung, dafür ist es aber auch weniger komfortabel. Dieser Freund würde gerne die Tracing App nutzen (natürlich nur nachdem Expertenorganisationen wie der ccc oder Netzpolitik sie überprüft haben). Das wird für ihn aber gar nicht so einfach, da das Update eben über einen der Google Services passiert ist, die er ja normalerweise blockiert. Er wird also auf ein Update des Android Systems warten müssen, dass aber frühestens in einigen Monaten erscheint.
Fazit: Ja seid kritisch bei Themen wie Datenschutz. Aber bitte gebt der Tracing App eine Chance. Die App scheint* wirklich sehr sensibel mit euren Daten umzugehen und gibt euch auch anscheinend* alle Kontrolle über die Verwertung dieser.
Wie effektiv wird die Tracing App?
Das ist leider noch nicht so klar. Hier gibt es zwei Punkte zu beachten.
Wie gut misst die App?
Bluetooth LE ist nicht perfekt und es wird zu falsch positiven Ergebnissen kommen. Also dass die App denkt, ihr wärt jemand zu nahe gekommen, obwohl ihr z.B. durch eine Wand getrennt wart. Wie gut die App hier hilft wissen wir nicht. Wenn sie von vielen Menschen genutzt wird, kann sie aber die Arbeit der Gesundheitsbehörden stark vereinfachen.
Nutzen ausreichend viele Leute die App?
Genau das ist der Knackpunkt. Wie viele Leute
- haben ein Handy,
- werden die App installieren,
- sie dann auch öffnen,
- haben das Handy immer dabei und
- lassen dauerhaft Bluetooth an?
Tomas Pueyo hat das exemplarisch an Singapur (sehr hohes Vertrauen in die Behörden) exerziert. Dort haben ende April weniger als 30% die Corona App installiert und nur ein Teil nutzt die App aktiv. Eine so geringe Penetration hilft nur sehr bedingt bei dem Nachverfolgen der Infektionsketten.
Die Zusammenarbeit zwischen Google, Apple ist und den Gesundheitsbehörden ist hier positiv anzumerken. Aber auch sie hilft nichts gegen die Trägheit der Menschen. Auch hier ein Beispiel von Tomas Pueyo.
In Deutschland muss man sich aktiv darum bemühen (opt-in), dass man nach seinem Tod als Organspender in Frage kommen kann (12% entscheiden sich dafür). In Frankreich geht man davon aus, dass die Leute Widersprechen, wenn sie etwas gegen Organspende haben. Hier kommen mehr als 99% als Organspender in Betracht.
Ich persönlich sehe eine ähnliche Situation bei einer Contact Tracing App. Zwar gehe ich davon aus, dass eine Große Mehrheit grundsätzlich für die Nutzung der App ist. Aber nur wenige werden sie wirklich installieren.
Im sehr datenschutzsensiblen Deutschland wird es nicht zu einer Opt-Out Regelung kommt. Also dass die App (nicht nur die Schnittstelle) automatisch installiert wird und man aktiv einer Nutzung Widersprechen muss. Das haben nicht nur die Bundesregierung, sondern auch Apple und Google ausgeschlossen. Eine Diskussion wie von Tomas Pueyo angestossen macht hier daher wenig Sinn.
Was bleibt also zu tun?
Bitte informiert euch, ob ihr eine Contact Tracing App nutzen wollt oder nicht. Fragt gerne eure Tech-Freunde, was sie dazu meinen oder recherchiert bei kritischen Datenschutzexperten wie dem ccc Oder Netzpolitik.
Wenn ihr wie ich zu dem Ergebnis kommt, dass es für euch ok ist eine Tracing App zu nutzen* und ihr euch damit aktiv an der Bekämpfung der Pandemie beteiligen wollt, dann installiert und nutzt die Tracing App auch.
Denn wenn das viele machen, dann rettet ihr nicht nur Menschenleben, sonder dann klappt das auch mit der Lockerung der Corona Maßnahmen.
Bleibt gesund!
*Vorbehaltlich des Tests der fertigen App durch Experten wie CCC und Netzpolitik.
Hallo,
guter Artikel. Aber mit etwas Abstand zur Sache betrachtet:
Wie sinnvoll ist die App vor dem Hintergrund, dass das Ziel nach wie vor ist, die Bevölkerung zu „durchseuchen“ (schreckliches Wort). Es müssen die Kinder und Erwachsenen, die sowieso aktiv und unterwegs sind, also gesund genug sind, dem Virus widerstehen zu können, nach und nach mit dem Virus konfrontiert werden. Das Motto „flatten the curve“ bedeutet ja nicht, dass man alle Kontakte vermeiden bzw. (da soll die App ja helfen) alle Kontaktpersonen in Quarantäne steckt.
Gedanke Nr. 2: Wäre ich nicht ein bisschen irre, wenn ich die App installieren würde, wenn ich befürchten muss, dass ich dann aufgrund eines zufälligen Kontaktes in Quarantäne muss?
Just my 2 ct.
Ted
Ich habe sehr wenig Vertrauen in die Bundesregierung an dieser Stelle, die Bundesregierung kauft Sicherheitslücken an und bezahlt dubiose Unternehmen dafür, unsere IT-Sicherheit zu untergraben („Bundestrojaner“).
Umgekehrt ist die Tracing App nach dem was jetzt bekannt ist, das erste Mal, dass da etwas genau richtig gemacht wird.
– Apple stellt die selbe dezentrale Schnittstelle bereit, und Apple vertraue ich mehr als jeder Regierung (seit sie sich geweigert hat, dem FBI eine Sicherheitslücke für den Shooter von San Bernardino zu geben); ich gehe also davon aus dass die Schnittstelle genau das kann, was sie soll, und nicht mehr – also die nahen Kontakte per Bluetooth erkennen und anonym auf dem Handy speichern.
Ich gehe davon aus, dass Google das genau so macht, weil beide Unternehmen hier miteinander gearbeitet haben. Das ist aber tatsächlich nur eine Hoffnung.
– das Konsortium von Telekom und SAP hat den Code offengelegt. Das ist das erste Mal, dass ich soetwas erlebe. Als ich das gestern gelesen habe, musste ich fast weinen. Weil es ist der richtige Weg. — Damit ist die Benachrichtigung zwischen den Usern ohne Versuche, die Anonymisierung zu unterlaufen. Und klügere Leute als ich können das prüfen.
Das ist genau wie das sein muss. Das ist der Grund warum ich Signal als Messenger benutze, der genau so sicher ist, den Sicherheitsforscher loben und den Edward Snowden benutzt.