Überwachung

Überwachung

Soll ich eine Corona-App installieren?

Die Bundesregierung plant die Einführung einer „Corona-App“. Diese soll ermöglichen, Personen nach Feststellung einer Infektion zu warnen, mit denen man in den letzten 14 Tagen Kontakt hatte. Um die Einführung einer solchen App gibt es heftige Kontroversen. Staaten wie China, Südkorea oder Singapur nutzen derartige Apps bereits. Sie setzen auf die Methode, genaue Bewegungsprofile aufzuzeichnen, die direkt einer Person zuzuordnen sind.

Von ahe
Soll ich eine Corona-App installieren?

Frontale Angriffe auf den Datenschutz, wie sie die Corona-App in Südkorea darstellen, sind in der deutschen Öffentlichkeit trotz einer vorübergehenden Bereitschaft nicht durchsetzbar. Die jetzt in Regierungskreisen diskutierten Apps funktionieren so, dass beteiligte Smartphones über den Dienst Bluetooth zufällige, ständig wechselnde und anonymisierte ID-Nummern aussenden, die dann von anderen Smartphones in der Nähe empfangen und aufgezeichnet werden. Die Standort-Koordinaten, wo die IDs empfangen wurden, sollen bewusst nicht aufgezeichnet werden. Dabei wird durchaus technischer Aufwand betrieben, um ein massenhaftes Abgreifen von IDs z.B. in einem Laden zu verhindern. Die technischen Details sind hier beschrieben!

 

Das von der Bundesregierung zuerst favorisierte PEPP-PT-Projekt (Pan-European Privacy-Preserving Proximity Tracing) wurde von einer Gruppe privater Firmen entwickelt und speichert alle Daten zentral auf einem Server. Die Bundesregierung wollte diesen Server beim Robert-Koch-Institut (RKI), einer Bundesbehörde, ansiedeln. Damit wäre es möglich, durch eine zentrale Stelle auszuwerten, mit welchen anderen Personen jemand Kontakt hatte. Man müsste also großes Vertrauen in das RKI und andere Behörden haben, dass sie mit diesen Daten sorgsam umgehen.

 

Dieses Verfahren sorgte für massive Kritik. Als Reaktion setzt die Regierung nun auf das DP3T-Projekt (Decentralised Privacy-Preserving Proximity Tracing), welches in einem offenen Prozess von Wissenschaftlern und Forschern entwickelt wurde. Dieses Verfahren speichert alle Daten nur auf dem jeweiligen Smartphone. Meldet man sich selbst per App als infiziert, werden die vom eigenen Smartphone innerhalb der letzten 14 Tage ausgesendeten IDs allen anderen beteiligten Smartphones mitgeteilt. Nur diese selbst können dann auswerten, ob sie das „infizierte“ Gerät gesehen haben, und den Besitzer warnen. Dieser muss dann selbst Maßnahmen ergreifen, eine direkte Veranlassung durch zentrale Stellen ist nicht möglich.

 

Trotzdem muss man den Einsatz einer solchen App kritisch sehen. Zum einen ist man trotz des offenen Entwicklungsmodells von DP3T auf eine vertrauenswürdige und sichere Umsetzung angewiesen, die kaum jemand in so kurzer Zeit wirklich garantieren oder überprüfen kann. In Deutschland sind die internationalen Monopole Telekom und SAP mit der Umsetzung der App beauftragt, beide sind mehrfach wegen größerer Sicherheitsverstöße aufgefallen.

 

Noch wichtiger ist, dass der Nutzen der gewonnenen Daten fragwürdig ist. Bluetooth war nie für die Erfassung von Entfernungen gedacht. Die Reichweite von Bluetooth auf Smartphones beträgt ungefähr 10 Meter, durch Messung der Signalstärke soll in etwa der gewünschte Abstand von 2m errechnet werden können. Real ändern sich aber die Sende- und Empfangseigenschaften je nach Gerät, seiner Lage und der Umgebung. Bluetooth-Signale überwinden Glas und Kunststoff und z.T. auch Wände relativ problemlos. Es ist also zu erwarten, dass eine solche App andere Autofahrer an einer Ampel ebenso aufzeichnet wie die Kunden im Geschäft, wenn ich vor dem Schaufenster stehe. Genauso in manchen Mietshäusern die Nachbarn über und unter mir, die ich unter Umständen seit Wochen nicht mehr gesehen habe. Mit einiger Finesse und Praxiserfahrung gelingt es vielleicht, einen Teil der „falschen“ Signale herauszufiltern, prinzipiell lösbar ist das Problem nicht.

 

Wie werden Menschen also auf einen Alarm reagieren, wenn bekannt wird, dass ein guter Teil davon Fehlalarme sind? Und wie wird die Regierung reagieren, wenn in der Öffentlichkeit diskutiert wird, dass dieser Ansatz zu viele falsche Treffer liefert? Wird sie dann doch eine zusätzliche Aufzeichnung der GPS-Standortdaten nachfordern mit der Begründung einer „höheren Sicherheit“?

 

Das Interesse von Staatsorganen an einer App, mit der sie auch über COVID-19 hinaus mehr über ihre Bürger und deren Verhalten erfahren, ist in dem ganzen Prozess unverkennbar. Ihr Zurückrudern ist taktisch motiviert und dem aufkommenden Widerstand geschuldet. Die geplante Corona-App wird wahrscheinlich noch nicht die Überwachungs-App sein, die Staatsorgane gerne hätten. Sie wird ihnen aber wertvolle Erkenntnisse liefern, wie Menschen unter „besonderen“ Umständen bereit sind, so etwas zu akzeptieren. Stellt man dem den zu erwartenden geringen Nutzen gegenüber, muss man von der Installation einer solchen App eindeutig abraten.