Kritik an Corona-Apps

Wissenschaftler warnen vor beispielloser Überwachung der Gesellschaft

Uhr
von Daniel Schurter, Watson

Renommierte Forscher und IT-Experten von vier Kontinenten schlagen Alarm. Ihre Kritik richtet sich auch gegen das europäische Software-Projekt PEPP-PT.

Über 300 Wissenschaftlerinnen und Wissenschaftler aus 26 Ländern warnen vor einer "nie dagewesenen Überwachung der Gesellschaft" durch staatliche Corona-Warn-Apps, die den Datenschutz nicht vollumfassend gewährleisten.

"Die gegenwärtige COVID-19-Krise ist beispiellos, und wir brauchen innovative Wege, um aus den derzeitigen Blockaden herauszukommen. Wir sind jedoch besorgt, dass einige 'Lösungen' für die Krise, über Mission Creep, zu Systemen führen könnten, die eine noch nie dagewesene Überwachung der Gesellschaft als Ganzes ermöglichen würden."

Zwar würden einige der auf Bluetooth basierenden Contact-Tracing-Konzepte die Privatsphäre der User achten, andere hingegen könnten eine Überwachung durch staatliche Akteure oder Privatunternehmen ermöglichen. Dies könnte das Vertrauen der Bevölkerung und die Akzeptanz für solche Anwendungen auf katastrophale Weise beschädigen, heisst es in dem am 20. April veröffentlichten Statement.

An wen richtet sich die Kritik konkret?

Auch wenn es nicht namentlich genannt wird im Aufruf, handelt es sich um unverhohlene Kritik an dem paneuropäischen Software-Projekt PEPP-PT, das unter anderem von der deutschen Bundesregierung unterstützt wird. Das angeblich gemeinnützige Projekt und dessen Hauptverantwortlicher, der deutsche IT-Unternehmer Chris Boos, steht vor allem wegen mangelnder Transparenz unter Beschuss.

Was bedeutet "Mission Creep"?

Der ursprüngliche Militärbegriff bedeutet so viel wie die schleichende Erweiterung und Aufweichung von Projekten bis hin zur Gefährdung der ursprünglichen Ziele.
Konkret ist damit gemeint, dass Staaten über Corna-Warn-Apps versuchen könnten, sensitive Daten zu sammeln und so letztlich die Bevölkerung zu überwachen.

Die Forschergemeinschaft schreibt: "Obwohl die Wirksamkeit von Contact-Tracing-Apps umstritten ist, müssen wir sicherstellen, dass die implementierten Apps die Privatsphäre ihrer Nutzer schützen, um so vor vielen anderen Problemen zu schützen. Solche Apps könnten anderweitig verwendet werden, um ungerechtfertigte Diskriminierung und Überwachung zu ermöglichen."

Konkret wird befürchtet, dass einzelne Staaten und Privatunternehmen die Verwaltung von User-Daten auf einem Server anstreben, um so die Kontrolle darüber zu haben.

Was war der Auslöser für den Aufruf?

Die Verantwortlichen von PEPP-PT versprechen zwar volle Transparenz, haben bis jetzt jedoch Grundlagen wie den Quellcode geheim gehalten. PEPP-PT teile die Informationen nicht mit der Öffentlichkeit, aber mit einer Reihe von Firmen, die auf der Website als Mitglieder aufgeführt sind, berichtete die "Schweiz am Wochenende". Dazu gehöre die AGT International, ein IT-Konzern aus Zürich, den die Handelszeitung in einem Bericht als Datenkrake bezeichnet hatte.

Beim europäischen Konsortium PEPP-PT ist letzte Woche ein Richtungsstreit eskaliert. Die Verfechter von dezentralen Lösungen vertreten öffentlich die Haltung, dass zentrale Lösungen den Datenschutz nicht ausreichend gewährleisten.

Dies sei nur mit dezentralen Lösungen möglich, bei denen alle sensitiven User-Daten ausschliesslich auf den Smartphones verarbeitet würden (Privacy by Design).

Nachdem auf der PEPP-PT-Website Informationen zur dezentralen Lösung des Konsortiums DP-T3 entfernt wurden und der deutsche Projektverantwortliche auf Tauchstation ging, erklärte der Schweizer Forscher Marcel Salathé den Rückzug. Ihm schlossen sich bis zum Wochenende die Eidgenössisch-Technischen Hochschulen Lausanne (EFPL) und Zürich an, sowie weitere Institutionen in mehreren Ländern.

Das CISPA Helmholtz Center for Information Security will sich ebenfalls bei PEPP-PT zurückziehen und sich auf die Arbeit beim DP-3T-Konsortium konzentrieren. Eine Wissenschaftlerin erklärte gegenüber dem Techportal Heise: "Die am Wochenende bekannt gewordenen Ergebnisse können wir nicht mittragen, weil es sich um einen zentralen Ansatz mit unrealistischen und risikoreichen Vertrauensannahmen handelt. Ausserdem ist nicht klar, ob tatsächlich der gesamte Code veröffentlicht werden wird."

Ebenfalls am Wochenende veröffentlichte eine französisch-deutsche Forschergemeinschaft das erste Dokument zum Contact-Tracing-Protokoll Robert Die Verantwortlichen stammen vom französischen Institut Inria und vom Fraunhofer-Verbund IUK-Technologie, gehören zu PEPP-PT und verfolgen ebenfalls einen zentralen Ansatz.

Welche Rolle spielen Apple und Google?

Die US-Techkonzerne, die die weltweit dominierenden Smartphone-Plattformen betreiben, haben vor Ostern angekündigt, dezentrale Contract-Tracing-Lösungen zu unterstützen.

In dem Schreiben weisen die Forscher nun darauf hin, dass Google und Apple von den Befürwortern zentral organisierter Lösungen unter Druck gesetzt würden, ihre Systeme für umfangreichere Datenerfassungen zu öffnen.

Wer hat den Aufruf unterzeichnet?

Es ist eine beeindruckend lange Liste von Wissenschaftlerinnen und Wissenschaftlern, die den öffentlichen Aufruf unterzeichnet haben. Sie arbeiten an renommierten Bildungs- und Forschungseinrichtungsrichtungen auf vier Kontinenten, von Europa über Nordamerika bis Asien und Australien.

Die Schweizer Vertreter sind:

  • Prof. David Basin ETH Zürich

  • Dr. Peter Berlich ZHAW

  • Dr. Jan Beutel ETH Zürich

  • Prof. Edouard Bugnion EPFL

  • Prof. Christian Cachin Universität Bern

  • Prof. Srdjan Čapkun ETH Zurich

  • Prof. Bryan Ford EPFL

  • Prof. Dennis Hofheinz ETH Zürich

  • Prof. Jean-Pierre Hubaux EPFL

  • Prof. James Larus EPFL

  • Prof. Ueli Maurer ETH Zürich

  • Prof. Adrian Perrig ETH Zürich

  • Prof. Kenny Paterson ETH Zürich

  • Prof. Mathias Payer EPFL

  • Prof. Kaveh Razavi ETH Zürich

  • Prof. Marcel Salathé EPFL

  • Prof. Carmela Troncoso EPFL

Was auffällt: Es sind sehr viele Mitglieder von vier Forschungsverbänden, die sich zum Ziel gesetzt haben, datenschutzkonforme Contact-Tracing-Apps zu entwickeln. Die entsprechenden Initiativen, die alle den dezentralen Ansatz verfolgen, sind auch im Schreiben aufgeführt. Es sind dies: DP-3T, TCN Coalition, PACT (MIT) und PACT (UW).

Dazu heisst es: "Alle diese Teams sind entschlossen, zusammenzuarbeiten, um ihre Systeme interoperabel zu machen. Sie zielen darauf ab, verschiedene dezentralisierte Methoden zur Wahrung der Privatsphäre anzubieten, die angepasst werden können durch Länder, je nach ihrer lokalen Situation."

Chris Boos, Mitinitiator von PEPP-PT und Gründer des Frankfurter KI-Unternehmens Arago, hatte den Streit mit den Verantwortlichen von DP-3T zunächst als "Sturm im Wasserglas" bezeichnet. Daraus ist nun ein gewaltiger Orkan geworden.

Wie reagiert PEPP-PT?

Das Portal Watson hat bei der PR-Agentur nachgefragt, die PEPP-PT und dessen Projektleiter Chris Boos vertritt. Zu der Befürchtung der 300 Wissenschaftler, die vor einer "beispiellosen Überwachung der Gesellschaft" warnen, heisst es in der am Montagabend zugeschickten Stellungnahme: "Das halten wir für etwas irreführend. Es geht um eine technologische Lösung zur Bekämpfung der Corona-Pandemie. Dazu gibt es unterschiedliche Ansätze. Beide jetzt diskutierten Ansätze schützen die Privatsphäre und die Daten der Nutzer. Es werden keine persönlichen Daten benutzt. Bewegungs- und Standortdaten werden ebenfalls nicht erhoben. Die App weiss also zu keinem Zeitpunkt, wer der Nutzer ist, wo sich der Nutzer befindet oder mit wem sich der Nutzer trifft. Genau deshalb steht PEPP-PT beiden Ansätzen ganz offen gegenüber. Deshalb wird PEPP-PT perspektivisch auch beide Ansätze anbieten."

Und zum Vorwurf der mangelnden Transparenz: "Diese Einschätzung teilen wir nicht. Jedes Unternehmen und jeder Wissenschaftler, der bei uns ernsthaft mitarbeiten will, hat Zugriff auf unsere Spezifikationen. Zudem haben wir auf Github erste Dokumente veröffentlicht. Den gesamten Code werden wir veröffentlichen, sobald er getestet und geprüft wurde."

Der dezentrale und der zentrale Ansatz hätten ihre Vor- und Nachteile, schreibt die PR-Agentur von PEPP-PT. "Deshalb sollten Länder sich für die Lösung entscheiden können, die besser zu ihren individuellen Gegebenheiten und Erfordernissen passen. Stand heute ist die Entwicklung des datenarmen Ansatzes deutlich weiter vorangeschritten – insbesondere mit Blick auf die Interoperabilität der Technologie."

Auf Basis der von PEPP-PT zur Verfügung gestellten Technologie könnten länderspezifische Apps entwickelt werden, die wiederum miteinander interoperabel seien, da sie auf der gleichen Plattform basieren, heisst es weiter. "Auf PEPP-PT basierende Technologie unterstützt grundsätzlich internationales Roaming. Darüber hinaus bietet der datenarme Ansatz weitere Vorteile zur Steuerung der Pandemie, da statistische Daten zur Ausbreitung und zur Wirksamkeit der Massnahmen so schneller verfügbar sind."

Im Übrigen durchlaufe jede App ohnehin eine Prüfung des deutschen Bundesbeauftragten für Datenschutz.

Dieser Artikel erschien zuerst am 20. April 2020 auf watson.ch.

Webcode
DPF8_177535