Sonntag, 26. April 2020

Der Weg zur Corona App


Zwei Wege führen derzeit nach Rom. Besser gesagt, zur bundeseinheitlichen Tracing-App für Covid-19 Infektionen (PEPP-PT). Nachdem die App bereits seit Wochen in aller Munde ist und andere Länder wie China oder Südkorea auch bereits eigene Lösungen präsentiert haben, wird in Deutschland noch diskutiert: Da ist die Frage des technischen Datenschutzes, die ja in asiatischen Ländern eher keine so große Rolle spielt. „Privacy by design“ ist ein Grundsatz, der durch die DS-GVO eigentlich für jedes Projekt vorgegeben wird, aber nur selten konsequent verfolgt wird. 

Anders soll es nun bei der Corona-App werden. Zunächst ist es so, daß die App nicht über die Ortungsfunktionen des Smartphones arbeiten soll, also etwa über GPS, Auslesen von WLAN-Standorten oder Funkzellenabfrage. Sie basiert vielmehr auf Nahbereichskommunikation, also der dezentralen peer-to-peer Abfrage zwischen den Smartphones. Hier soll nicht etwa NFC genutzt werden - da wäre wohl die Reichweite etwas sehr gering - sondern BLE, also bluetooth low energy. Dieses Verfahren wird auch schon erfolgreich in der Werbewirtschaft für zahlreiche Apps genutzt, etwa im iBeacon-Standart oder bei Eddystone, der Google-eigenen Lösung. 
Diese Verfahren kennen prinzipiell nur drei Ortungsergebnisse, bezogen von einem Smartphone auf die BLE-Quelle (das „Beacon“): IMMEDIATE (innerhalb weniger Zentimeter), NEAR (innerhalb einige Meter) und FAR (mehr als 10 Meter entfernt). 
Wenn man sich nun vorstellt, daß das Handy eines Infizierten ein Beacon sendet und dieses „NEAR“ dem eigenen Handy vorbeiläuft, ohne jemals „IMMEDIATE“ zu kommen, kann man allerdings immer noch nicht genau entscheiden, ob eine Infektion wahrscheinlich oder unwahrscheinlich gewesen ist. Dieses Moment wird über den Zeitfaktor korrigiert: Wer längere Zeit „NEAR“ war, hat ein gleich hohes Risiko wie jemand, der kurze Zeit „IMMEDIATE“ war. Und wenn sich jemand gar längere Zeit „IMMEDIATE“ aufgehalten hat, ist die Ansteckungswahrscheinlichkeit sogar sehr hoch. 
Man muß sich vor Augen führen, daß eine solche App letztlich nur Wahrscheinlichkeiten berechnen kann. Diese könnten allerdings - wenn man es der App erlaubt, mittels KI zu lernen - zu ganz passablen Ergebnissen führen. 

Hinsichtliche des Datenschutzes kommt es nun auf die Datenbasis an: Hier ist die Bundesregierung heute von einer Präferenz des zentralen zum dezentralen System gewechselt. 
Beiden Systemen ist gemein, daß sie zunächst nur mit einem anonymen „Identifier“ arbeiten, in dem keine personenbezogenen Daten gespeichert werden. Diese IDs wechseln alle 24 Stunden. Ein Smartphone hält immer die letzten 14 dieser IDs vorrätig, da man nach bisherigem Wissen nach 14 Tagen nicht mehr ansteckend sein kann. Nähert sich nun ein anderes Smartphone mit einer Pepp-PT-App, tauschen beide ihre jeweiligen IDs aus und speichern sie verschlüsselt und lokal, also nicht in einer Cloud/Server. Wurde nun bei einem Nutzer eine Coronavirus-Infektion diagnostiziert, bittet erst dann der Arzt den Nutzer, seine Kontaktliste an den zentralen Server zu übertragen. Der sieht nur die IDs in der Liste und kann diese dann über die App warnen, dass sie Kontakt zu einer mittlerweile als infiziert erkannten Person hatten.
Die Identität der betreffenden Person wird dabei nicht offenbart. Allerdings könnte man diese natürlich leicht raten, wenn man z.B. an einem bestimmten Tag vormittags nur mit einer einzigen anderen Person Kontakt gehabt hat. 
Ob der Betroffene danach die „richtigen Maßnahmen“ einleitet, bleibt ihm überlassen: Anders als in Asien muß der Betreffende selbst entscheiden, ob er sich in Quarantäne begibt oder testen läßt. Standortdaten oder Bewegungsprofile werden bei der App generell nicht erhoben, da diese medizinisch irrelevant sind. Es handelt sich lediglich um einen „digitalen Zollstock mit Speicherfunktion“. 
Sowohl Apple, als auch Google, scheinen diesen dezentralen Ansatz stark zu favorisieren. Da man bei der API für die BLE-Technik sonst wohl nicht helfen will, ist die Antwort in Richtung „dezentral“ damit auch bereits gegeben. 
Möglicherweise bekommt Europa damit tatsächlich einen technischen Gegenentwurf zu all den asiatischen Tracing-Apps, die neben dem gläsernen Patienten auch gleich den gläsernen Nutzer implementieren. Mal sehen, ob sich dieser Entwurf auch in der Praxis bewährt. Ein Problem könnte die Tatsache sein, daß die benötigten Smartphones in der älteren Risikogruppe eher weniger verbreitet sind. 


(In diesem Artikel wurde die verwendete Technik etwas vereinfacht dargestellt. Strenggenommen werden nicht die IDs ausgetauscht, sondern ein aus diesen erst noch errechneter „Rolling Proximity Identifier“, der sich innerhalb weniger Minuten ändert. Ein Empfänger der Daten könnte also nicht einmal sehen, ob man 2 x mit derselben Person in Kontakt war. Außerdem strahlt BLE noch Metadaten aus, durch die eine Entschlüsselung der eigenen Schlüssel erst nach Empfang eines „positiven“ Schlüssel durch einen AEM-Key ermöglicht wird.)

Quelle: 
Golem News, Dezentrale Lösung
Spiegel online: Pepp-PT Warn-App