Planspiele

Corona-Tracking? Hilfe beim Ausstieg aus dem Lock Down?

Um die dras­tischen Einschrän­kungen lockern zu können, werden Tracking-Apps ange­priesen. Welche Vor- oder Nach­teile es gibt, haben die Kollegen von Connect unter­sucht.

Das Pepp-PT Konzept: Mit Bluetooth LE werden nur Handys in unmittelbarer Umgebung erfasst, der Rest aber nicht. Das Pepp-PT Konzept: Mit Bluetooth LE werden nur Handys in unmittelbarer Umgebung erfasst, der Rest aber nicht.
Foto: Pepp-PT.org Screenshot: teltarif.de
Soll Deutsch­land über Millionen von Smart­phones die Infek­tions­wege des Corona-Virus verfolgen können, wie es in Singapur oder Südkorea schon der Fall ist? Welche Vari­anten sind denkbar und wie weit müssten die teil­nehmenden Nutzer sensible Daten preis­geben?

Ist Pepp-PT die Lösung?

Das Pepp-PT Konzept: Mit Bluetooth LE werden nur Handys in unmittelbarer Umgebung erfasst, der Rest aber nicht. Das Pepp-PT Konzept: Mit Bluetooth LE werden nur Handys in unmittelbarer Umgebung erfasst, der Rest aber nicht.
Foto: Pepp-PT.org Screenshot: teltarif.de
Vor wenigen Tagen stellte ein Team aus 17 Insti­tuten, Orga­nisa­tionen und Firmen unter Führung des Hein­rich-Hertz-Insti­tuts die Refe­renz- Imple­mentie­rung für eine daten­schutz­konforme Tracking-App vor. Sie haben das Konzept „Pepp-PT“ (Pan European Privacy Protec­ting Proxi­mity Tracing) getauft. Es basiert auf frei­williger Nutzung und der Erken­nung anderer App-Nutzer mittels Blue­tooth Low Energy, eine Vari­ante des Blue­tooth Stan­dards mit beson­ders wenig Sende­leis­tung.

Tempo­räre Kennungen

Dabei erzeugt die App tempo­räre Kennungen (IDs), damit die Nutzer nicht direkt iden­tifi­zierbar werden. Heißt: Das Handy sendet „Ich bin 4711“, aber nicht „das Handy gehört Marvin Maier“. Mit anderen Nutzern derselben App (bezie­hungs­weise einer anderen auf der Pepp-PT-Platt­form basie­renden) werden diese IDs ausge­tauscht und auf dem Smart­phone verschlüs­selt gespei­chert.

Wenn bei einem Nutzer eine Coro­navirus-Infek­tion fest­gestellt wird, soll dieser diese gesam­melten IDs in die Cloud über­tragen. Aus der Cloud soll dann eine Warnung der Besitzer aller dort notierten tempo­rären IDs über den Zeit­punkt des Kontakts erfolgen. Der Nutzer des Smart­phones wüsste dann, dass er oder sie am Datum/Uhrzeit einen andere/n Nutzer/in der App getroffen hat, der oder die positiv getestet wurde. Nun müsste die infor­mierte Person einen Test machen lassen (wenn es einen gäbe) oder auf Verdacht in Quaran­täne gehen.

Tech­nisch machbar - prak­tisch sinn­voll?

Rein tech­nisch gesehen, sollte das Konzept in ganz Europa funk­tionieren. Damit es Wirkung zeigen kann, müssen möglichst viele Nutzer die entspre­chende App instal­lieren. Deshalb sollte (euro­paweit?) eine einzige Platt­form etabliert werden.

Wie setzen andere Länder das Corona-Tracking ein?

Einige Staaten gehen bereits deut­lich weiter.

So greift die staat­liche Gesund­heits­behörde der Slowakei auf die Loka­lisie­rungs­infor­mationen aller Mobil­funk­nutzer zu. Sie hat sich per Gesetz dazu ermäch­tigt, auf dieser tech­nischen Basis Bewe­gungs­profile zu erstellen und zu verfolgen, wo sich Infi­zierte bewegen und mit wem sie sich treffen.

Pati­enten, die in der zu China gehö­renden Sonder­verwal­tungs­zone Hong­kong in Quaran­täne geschickt werden, müssen eine App instal­lieren, die bei den Behörden Alarm schlägt, wenn der Nutzer seine Wohnung verlässt oder die App deak­tivieren möchte.

In China setzen die Corona-Apps der Inter­netkon­zerne Alibaba und Tencent auf dem soge­nannten Social Scoring auf. Ein ausles­barer QR-Code in den Farben Grün, Gelb oder Rot gibt Auskunft darüber, ob sich die jewei­lige Person an Orten mit hohem Infek­tions­risiko aufge­halten hat oder nicht. In mehreren Groß­städten ist das Vorzeigen des QR-Codes Pflicht beim Betreten von öffent­lichen Verkehrs­mitteln oder Bahn­höfen.

Taiwan greift auf Daten­banken der Kran­kenkassen und anderer Behörden zu, um Bürgern bei erkanntem Infek­tions­risiko eine SMS-Warnung zu schi­cken. Bei Pati­enten unter Quaran­täne loka­lisieren die Behörden deren Smart­phone und kontrol­lieren, ob die Betrof­fenen ihr Haus verlassen.

Es geht auch libe­raler

Libe­ralere Länder sind mit ihren Maßnahmen zurück­haltender: In Singapur, Südkorea und Israel kommen Apps zum Einsatz, deren Funk­tions­prinzip weit­gehend dem Pepp-PT-Konzept entspricht – aller­dings teil­weise mit zusätz­lichen Funk­tionen:

So sind in Südkorea die frei­willig nutz­baren Tracking-Apps an das Portal Coro­naita ange­bunden, das bekannte Infek­tions­herde anzeigt und Hotspots iden­tifi­ziert – also Orte, an denen sich beson­ders viele Betrof­fene aufge­halten haben.

In Israel scheint sich die offi­zielle App nach aktu­ellem Kennt­nisstand beim Eingriff in Persön­lich­keits­rechte zurück­zuhalten. Dies hindert die Regie­rung jedoch nicht daran, Bewe­gungs­profile aus Mobil­funk­daten zu erstellen und den Inlands­geheim­dienst für das Aufspüren und Über­wachen von Corona-Infi­zierten einzu­setzen.

Deut­lich ziviler verhält sich die App „Coro­navirus Australia“: Sie versorgt Einwohner in Down Under mit offi­ziellen Infor­mationen und Gesund­heits­empfeh­lungen der Behörden sowie zeitnah aktua­lisierten Updates über die Verbrei­tung des Virus.

Welche Tracking-Vari­anten wären in Deutsch­land denkbar?

Die Kollegen der Fach­zeit­schrift „Connect“ haben sich dazu genau infor­miert und stellen das im Detail vor:

Vari­ante 1: Annä­herungs-Erfas­sung (Proxi­mity Tracing) per Blue­tooth

So funk­tioniert es: Erfassen von Kontakten per Blue­tooth LE mit Vergabe einer zufällig erzeugten eindeu­tigen ID. Lokale Spei­cherung aller Kontakte zu anderen AppNutzern, aber keine Aufzeich­nung des Aufent­halts­ortes. Daten werden ins „Backend“-System nur zur Alar­mierung bei einer Infek­tion geladen, die Spei­cher­dauer ist auto­matisch begrenzt oder durch den Nutzer oder die Behörden konfi­gurierbar.

So könnte es genutzt werden: Infor­mation der Nutzer im Verdachts­fall. Teil­nahme frei­willig und ohne Zuord­nung von Namen/Iden­titäten zu der verge­benen ID-Nummer. Im System wird nur gespei­chert, welche ID-Nummern es schon gibt. Vorteile: Die Daten bleiben anonym. Kontakte ersten Grades können alar­miert werden. Nach­teile: Iden­tifi­kation der Kontakte nur auf frei­williger Basis. Einen Nutz­wert gäbe es nur bei hoher Verbrei­tung der App, aber keiner Orts­infor­mationen. (wo haben sich die Leute getroffen)

Wo wird das einge­setzt? z.B. in: Singapur, Israel, Deutsch­land (geplant)

Vari­ante 2: Tracking in Basis-Vari­ante

Diese Vari­ante wird z.B. in Südkorea einge­setzt.

Wie funk­tioniert das? Wie in Vari­ante 1, zusätz­lich wird aber ein Bewe­gungs­profil (Loca­tion Tracking) aufge­zeichnet. Die genauere Loka­lisie­rung kann auf der Stand­ortbe­rech­nung (Trian­gula­tion) von Funk­zellen, WLAN-Ortung, GPS und/oder Beacons (Blue­tooth Baken, deren Standort bekannt ist) basieren. Die Spei­cherung erfolgt nur auf dem Endgerät, die Spei­cher­dauer begrenzt oder kann durch den Nutzer bzw. die Behörden konfi­guriert werden.

Wo könnte man das anwenden? Wie in Vari­ante 1, aber mit einer zusätz­lichen „Erin­nerungs­hilfe“ für Aufent­halts­orte (z. B. für Iden­tifi­kation mögli­cher Kontakt­personen durch Behörden, was dann außer­halb der App passieren würde). Die Entschei­dung über Nutzung und Upload läge beim Anwender. Bewe­gungs­profile wären möglich, es gäbe aber keine Daten­haltung im Backend (der Cloud) außer der verge­benen ID.

Was wären die Vorteile: Die Leute blieben zunächst anonym, aber Wege und mögliche Kontak­torte werden nicht über­sehen („Tage­buch“), Daten­hoheit verbleibt beim Nutzer, Nutzung für bereit­gestellte Daten möglich (z.B. regional für Gesund­heits­ämter).

Nach­teile: Auch hier wäre eine Iden­tifi­kation der Kontakte nur auf frei­williger Basis möglich, einen Nutzen hätte das nur bei hoher Verbrei­tung der App.

Vari­ante 3: Erwei­tertes Tracking

Diese Vari­ante wird in Taiwan einge­setzt. Wie funk­tioniert das? Wie in Vari­ante 1 und 2, aber mit regel­mäßigem Upload der Kontakte (also der Leute, denen man begegnet ist und der Orte, wo man war. Die Spei­cher­dauer wäre durch Behörden konfi­gurierbar.

Denk­bare Möglich­keiten: Wie Vari­ante 1 und 2, zusätz­lich zur Erfas­sung von Kontakten ersten Grades auch von Kontakten zweiten Grades möglich. Durch­setzung von Ausgangs­sperren / - begren­zungen, Erken­nung von Versamm­lungs­orten („Corona-Parties“), Daten­haltung über Loca­tions und IDs im Backend.

Der Vorteil: Schnelle Reak­tions­zeiten, keine Mitwir­kung des Infi­zierten oder der Kontakt­personen notwendig, auto­mati­sche Alar­mierung möglich, Nutzung und Rollen­konzepte für Backend­auswer­tung möglich.

Entschei­dender Nach­teil: Daten­hoheit bei Behörden, erheb­licher Eingriff in Persön­lich­keits­rechte, erhöhte Cyber­risiken, dass Hacker diese Daten miss­brau­chen oder sogar verän­dern.

Vari­ante 4: Perso­nali­sierte Über­wachung mit Passier­schein-Funk­tion

Sie wird in China und Hong­kong einge­setzt. Und funk­tioniert wie in Vari­ante 1-3 beschrieben, aber zusätz­lich werden noch eindeu­tige Iden­titäts­merk­male wie z. B. Perso­nalaus­weis­nummer, ein sich dyna­misch verän­dernder QR-Code den man als Passier­schein nutzen könnte, die Spei­cher­dauer durch Behörden konfi­gurierbar.

Wie würde das genutzt: Wie bei den Vari­anten 1 bis 3, zusätz­lich als elek­troni­scher Passier­schein, Check-In und Check-Out für erlaubte Orte denkbar (z. B. Arzt oder Super­markt), Kontrolle der QR-Codes über zuge­hörige Kontroll-App (z.B. Scan QR-Code und Perso­nalaus­weis). Daten­haltung über Aufent­halts­orte, -zeiten und Iden­titäts­merk­male im Backend-System von App-Anbieter oder Regie­rungs­behörde.

DenkbareVorteile wäre die Durch­setzung von Ausgangs­sperren bzw. -beschrän­kungen bei Eska­lation der Lage, die Einschrän­kung von Bewe­gungs­räumen auf erlaubte Orte. Die entschei­denden Nach­teile sind klar: Ein massiver Eingriff in Persön­lich­keits­rechte, hohes Miss­brauchs­risiko (Bewer­tung der Menschen und „gut“ und „böse“ etc.), und aller höchste Cyber­risiken, wenn Hacker diese Daten stehlen oder verän­dern oder Unbe­schol­tene damit erpressen, die Daten so zu ändern, dass die Bürger Strafe zahlen müssten oder vom Zugang zu für sie wich­tigen Orten ausge­schlossen würden.

Was wäre wenn?

Die Kollegen der Zeit­schrift Connect finden, dass das für Europa ange­dachte Funk­tions­prinzip noch am ehesten die in Daten­schutz­aspekten unbe­denk­lichste Vari­ante einer Corona-App darstelle.

Aller­dings mache der welt­weite Vergleich deut­lich, dass auch eine Eska­lation denkbar wäre. Natür­lich bietet auch ein engma­schi­geres Tracking Vorteile: Entspre­chende Apps könnten, so sieht es Autor Hannes Rügheimer, „für uns alle zur Rück­fahr­karte in die Norma­lität werden. Grund­sätz­lich vorstellbar wäre ein Nach­steuern der Inten­sität nach der Eska­lati­onsstufe des Infek­tions­gesche­hens. Dafür gibt es aller­dings in demo­krati­schen Staaten hohe Hürden – beispiels­weise die Unan­tast­barkeit von Grund­rechten, Zustim­mungs­vorbe­halt durch die Parla­mente sowie eine klare zeit­liche Begren­zung einschrän­kender Maßnahmen.“

Rügheimer kommt zu dem Schluss: „In den Apps, die das Pepp-PT-Konzept verfolgen, liegt aber zwei­fellos eine große Chance, unsere Frei­heit in der Corona-Krise schneller zurück­zuge­winnen.“

Eine Einschät­zung - von Henning Gajek

Unter Fach­leuten tobt schon länger eine inten­sive Diskus­sion, ob dieser Corona-Virus nur eine beson­ders "fiese" Vari­ante einer alljähr­lichen Influ­enza-Grippe oder doch wesent­lich gefähr­licher ist. Selbst Fach­leute sind sich dabei nicht alle einig. Bilder von zusam­menge­brochenen Gesund­heits­sytemen sind die andere Seite der Medaille.

Kritiker von allzu­vielen Einschrän­kungen haben die Hoff­nung, dass ein gut infor­mierter Mitbürger es ein Stück weit selbst in der Hand haben könnte, dem Risiko auswei­chen zu können, durch viel Hygiene (Hände­waschen, keine Hände­schüt­teln, möglichst nichts anfassen), viel Abstand halten. Doch reicht das?

Wer beispiels­weise beruf­lich gezwungen ist, z.B. auf dem Weg zur Arbeit oder am "system­rele­vanten" Arbeits­platz anderen Menschen näher kommen zu müssen, als es eigent­lich gut wäre, geht ein gewisses bis hohes Risiko ein. Und wer am Ende das Virus wirk­lich "erwischt" hat, kann Glück haben: Es verläuft milde, kann aber auch Pech haben und landet auf der Beatmungs­station, wenn dort noch ein Bett oder ein Gerät frei ist.

Andersrum ist der Kolla­teral­schaden einer auf nahe Null gebremsten Wirt­schaft nicht von der Hand zu weisen. Eine Entschei­dung für oder dagegen ist die Wahl zwischen Pest und Cholera. Möglich, dass die Politik ein Angebot macht: "Instal­liere die App und Du darfst Dich frei(er) bewegen." Welche Insti­tution wird den staat­lichen Daten­samm­lern auf die Finger schauen und die Macht haben, "bis hier und nicht weiter" zu rufen? Keine leichte Entschei­dung.

Digital hin oder her: An einem wirk­samen Impf­stoff und hilf­reichen Medi­kamenten und an viel Abstand und Hygiene führt das auf die Dauer nicht vorbei.

Mehr zum Thema Tracking