Sonntag, 26. April 2020

Der Weg zur Corona App


Zwei Wege führen derzeit nach Rom. Besser gesagt, zur bundeseinheitlichen Tracing-App für Covid-19 Infektionen (PEPP-PT). Nachdem die App bereits seit Wochen in aller Munde ist und andere Länder wie China oder Südkorea auch bereits eigene Lösungen präsentiert haben, wird in Deutschland noch diskutiert: Da ist die Frage des technischen Datenschutzes, die ja in asiatischen Ländern eher keine so große Rolle spielt. „Privacy by design“ ist ein Grundsatz, der durch die DS-GVO eigentlich für jedes Projekt vorgegeben wird, aber nur selten konsequent verfolgt wird. 

Anders soll es nun bei der Corona-App werden. Zunächst ist es so, daß die App nicht über die Ortungsfunktionen des Smartphones arbeiten soll, also etwa über GPS, Auslesen von WLAN-Standorten oder Funkzellenabfrage. Sie basiert vielmehr auf Nahbereichskommunikation, also der dezentralen peer-to-peer Abfrage zwischen den Smartphones. Hier soll nicht etwa NFC genutzt werden - da wäre wohl die Reichweite etwas sehr gering - sondern BLE, also bluetooth low energy. Dieses Verfahren wird auch schon erfolgreich in der Werbewirtschaft für zahlreiche Apps genutzt, etwa im iBeacon-Standart oder bei Eddystone, der Google-eigenen Lösung. 
Diese Verfahren kennen prinzipiell nur drei Ortungsergebnisse, bezogen von einem Smartphone auf die BLE-Quelle (das „Beacon“): IMMEDIATE (innerhalb weniger Zentimeter), NEAR (innerhalb einige Meter) und FAR (mehr als 10 Meter entfernt). 
Wenn man sich nun vorstellt, daß das Handy eines Infizierten ein Beacon sendet und dieses „NEAR“ dem eigenen Handy vorbeiläuft, ohne jemals „IMMEDIATE“ zu kommen, kann man allerdings immer noch nicht genau entscheiden, ob eine Infektion wahrscheinlich oder unwahrscheinlich gewesen ist. Dieses Moment wird über den Zeitfaktor korrigiert: Wer längere Zeit „NEAR“ war, hat ein gleich hohes Risiko wie jemand, der kurze Zeit „IMMEDIATE“ war. Und wenn sich jemand gar längere Zeit „IMMEDIATE“ aufgehalten hat, ist die Ansteckungswahrscheinlichkeit sogar sehr hoch. 
Man muß sich vor Augen führen, daß eine solche App letztlich nur Wahrscheinlichkeiten berechnen kann. Diese könnten allerdings - wenn man es der App erlaubt, mittels KI zu lernen - zu ganz passablen Ergebnissen führen. 

Hinsichtliche des Datenschutzes kommt es nun auf die Datenbasis an: Hier ist die Bundesregierung heute von einer Präferenz des zentralen zum dezentralen System gewechselt. 
Beiden Systemen ist gemein, daß sie zunächst nur mit einem anonymen „Identifier“ arbeiten, in dem keine personenbezogenen Daten gespeichert werden. Diese IDs wechseln alle 24 Stunden. Ein Smartphone hält immer die letzten 14 dieser IDs vorrätig, da man nach bisherigem Wissen nach 14 Tagen nicht mehr ansteckend sein kann. Nähert sich nun ein anderes Smartphone mit einer Pepp-PT-App, tauschen beide ihre jeweiligen IDs aus und speichern sie verschlüsselt und lokal, also nicht in einer Cloud/Server. Wurde nun bei einem Nutzer eine Coronavirus-Infektion diagnostiziert, bittet erst dann der Arzt den Nutzer, seine Kontaktliste an den zentralen Server zu übertragen. Der sieht nur die IDs in der Liste und kann diese dann über die App warnen, dass sie Kontakt zu einer mittlerweile als infiziert erkannten Person hatten.
Die Identität der betreffenden Person wird dabei nicht offenbart. Allerdings könnte man diese natürlich leicht raten, wenn man z.B. an einem bestimmten Tag vormittags nur mit einer einzigen anderen Person Kontakt gehabt hat. 
Ob der Betroffene danach die „richtigen Maßnahmen“ einleitet, bleibt ihm überlassen: Anders als in Asien muß der Betreffende selbst entscheiden, ob er sich in Quarantäne begibt oder testen läßt. Standortdaten oder Bewegungsprofile werden bei der App generell nicht erhoben, da diese medizinisch irrelevant sind. Es handelt sich lediglich um einen „digitalen Zollstock mit Speicherfunktion“. 
Sowohl Apple, als auch Google, scheinen diesen dezentralen Ansatz stark zu favorisieren. Da man bei der API für die BLE-Technik sonst wohl nicht helfen will, ist die Antwort in Richtung „dezentral“ damit auch bereits gegeben. 
Möglicherweise bekommt Europa damit tatsächlich einen technischen Gegenentwurf zu all den asiatischen Tracing-Apps, die neben dem gläsernen Patienten auch gleich den gläsernen Nutzer implementieren. Mal sehen, ob sich dieser Entwurf auch in der Praxis bewährt. Ein Problem könnte die Tatsache sein, daß die benötigten Smartphones in der älteren Risikogruppe eher weniger verbreitet sind. 


(In diesem Artikel wurde die verwendete Technik etwas vereinfacht dargestellt. Strenggenommen werden nicht die IDs ausgetauscht, sondern ein aus diesen erst noch errechneter „Rolling Proximity Identifier“, der sich innerhalb weniger Minuten ändert. Ein Empfänger der Daten könnte also nicht einmal sehen, ob man 2 x mit derselben Person in Kontakt war. Außerdem strahlt BLE noch Metadaten aus, durch die eine Entschlüsselung der eigenen Schlüssel erst nach Empfang eines „positiven“ Schlüssel durch einen AEM-Key ermöglicht wird.)

Quelle: 
Golem News, Dezentrale Lösung
Spiegel online: Pepp-PT Warn-App 

Donnerstag, 9. April 2020

Betrugsverdacht - Coronahilfen in NRW ausgesetzt


Die aktuelle Episode der Corona-Krise zeigt einmal wieder, warum es keine gute Idee ist, Menschen zu sehr an die Benutzung von Suchmaschinen zu gewöhnen: 
Wie heute bekannt wurde, hat das Land NRW vorläufig die Auszahlung von Corona-Hilfen für Kleinunternehmen ausgesetzt, da sich gezeigt hat, daß durch mißbräuchliche „Fake-Seiten“ ein Teil der Beihilfen offenbar auf falsche Konten verschoben wurde. Und das funktioniert so:

Das Land hat ja bekanntlich am Freitag, den 27.03., ein Webformular freigeschaltet, mit dem kleine Unternehmen einen sog. „Billigkeitszuschuss“ (ugs. Corona-Soforthilfe) beantragen konnten. Hierzu mußten neben Steuernummer und verschiedenen Angaben über die Art des Unternehmens auch die IBAN für die Auszahlung des Geldes angegeben werden. Viele Menschen hatten auf die Freischaltung dieses Formulars dringend gewartet, welches unter der offiziellen Domain der Landesregierung (https://soforthilfe-corona.nrw.de) erreichbar war und ist. Es wird und wurde immer empfohlen, diese Adresse direkt in die Browser-URL-Zeile einzugeben und nicht den Weg über eine automatische Websuche zu gehen. 
Betrüger haben nun offenbar die Domain des Landes nachgebaut und durch aufwendige SEO-Optimierung erreicht, daß die Fake-Seite in Google noch vor der tatsächlichen Seite des Landes angezeigt wurde. Das hat zur Folge, daß ein Browser mit aktiver automatischer Websuche (heute Standart auf 95 % der Geräte) über die „Autocomplete-Funktion“ direkt auf die täuschend echt aussehende Fake-Seite geleitet hat - anstatt auf die des Landes. Hier haben nun Betrüger die Daten des Unternehmens abgegriffen und anschließend selbst einen Antrag auf Soforthilfe gestellt - lediglich mit dem Unterschied, daß statt der IBAN des Unternehmens eine eigene, fremde IBAN für ein unter falscher Identität eröffnetes Konto verwendet wurde. Für das betroffene Unternehmen hatte das zur Folge, daß über die - korrekt übermittelte - eMail ein Bewilligungsbescheid kam (wenn auch mit einiger Verzögerung bzw. teilweise doppelt), die Auszahlung des Geldes jedoch teilweise bis heute noch nicht erfolgt ist. 
Tatsächlich jedoch ist das Geld längst ausgezahlt, nur eben nicht auf das Konto des Unternehmens! Im Laufe dieser Woche ist die beschriebene Masche aufgefallen, da sich einige Unternehmen über die zögerliche Gewährung der Beihilfen gewundert haben und ihre Anträge teilweise doppelt gestellt haben. Das Land hat dann natürlich vor einer zweiten Bewilligung erst einmal den Verbleib des bereits gezahlten Geldes aufklären wollen. 
Es bleibt spannend zu sehen, ob das Land NRW den Verbleib der Gelder aufklären kann und ggfs. die Zahlungen doppelt vornehmen wird. 

Nachtrag:
Normalerweise läßt sich die verwendete IBAN im Bewilligungsbescheid kontrollieren.
Es ist zur Zeit noch unbekannt, ob die Betrüger auch irgend eine Form von "eMail-Proxy" verwendet haben, um in den als PDF versendeten Bescheiden die IBAN wieder zurück zu ändern. Technisch wäre dies ohne größere Probleme machbar, da bekanntlich die Absende-Adresse einer eMail keinen Anhaltpunkt für den tatsächlichen Versender bietet. 

Link:
Pressemitteilung