Contact Tracing scheint das technologische Mittel der Wahl, um COVID19-Neuinfektionen effektiv zu kontrollieren: Apps identifizieren und protokollieren Kontakte via Bluetooth und speichern diese Daten temporär. Im Falle einer Infektion können darüber potenziell Infizierte zeitnah informiert und die Infektionsketten unterbrochen werden. Soweit die Theorie der EntwicklerInnen.

Österreich war mit der „Stopp Corona„-App des Roten Kreuzes einer der Pioniere im europäischen Umfeld. Schnell fand die Diskussion rund um technische Realisierbarkeit und Datenschutz international statt. Einfache Bedienung und weite Verbreitung, die Vernetzung über Landesgrenzen hinweg sowie eine flexible Anpassung an neue Anforderungen waren weitere Diskussionspunkte. Besonders bei der Datenverarbeitung und -auswertung schieden sich die Geister.

„Pan-European Privacy-Preserving Proximity Tracing“ (PEPP-PT)

Die zentrale Variante „Pan-European Privacy-Preserving Proximity Tracing“ (PEPP-PT) wurde unter anderem vom deutschen Robert-Koch Institut mitentwickelt und setzt auf eine zentrale Lösung der Datenauswertung.[1] Wegen Datenschutzbedenken musste sie einiges an Kritik einstecken. Zwar sind die Daten am zentralen Server verschlüsselt und anonymisiert. Es blieben jedoch Bedenken, dass sich die Anonymisierung durch die Verknüpfung mit anderen Daten aushebeln lassen könnte.

„Decentralized Privacy-Preserving Proximity Tracing“ DP3T

Bei der rivalisierenden Version „Decentralized Privacy-Preserving Proximity Tracing“ (DP3T) wird auf eine vollständig verteilte Datensammlung und Auswertung gesetzt. Diese Methode wurde öffentlich von mehreren Stellen entwickelt und versucht durch lokale Sammlung und Verarbeitung keine Rückschlüsse auf mögliche Nutzer zuzulassen.[2] Ein Nachteil ist, dass am Smartphone mehr Daten verbleiben und auch eine mögliche Auswertung lokal erfolgen muss. Das Datenvolumen ist entsprechend erhöht und die Anpassung an neue Anforderungen erschwert.

Für mehr Zuverlässigkeit und Sicherheit haben Google und Apple gemeinsam Schnittstellen entwickelt. Ein neues Konzept sieht außerdem vor, plattformübergreifend temporäre Identifikationsnummern auszutauschen, die täglich neu generiert werden, sowie auch Metadaten zu verschlüsseln, um z.B. Bewegungsprofile oder die Identifizierung von Gerätemodellen zu verhindern.[3] App-Hersteller testen derzeit.

IT-Security-Experte meldet sich zu Wort

Nach mehreren Wochen Konzeptions- und Entwicklungsarbeit und vielen Diskussionen rund um die technische Umsetzung meldet sich nun IT-Security-Koryphäe Bruce Schneier mit einem ernüchternden Kommentar zu Wort: „Mein Problem mit Contact Tracing Apps ist, dass sie absolut keinen Wert haben.“ Und das habe nichts mit Datenschutz zu tun.

Das Problem sei ein klassisches Identifikationsproblem und die Wirksamkeit hänge von zwei Faktoren ab: False Positives und False Negatives. GPS und Bluetooth seien nicht präzise genug, um jeden Kontakt zu erfassen, außerdem lasse die App jegliche äußere Umstände wie Mauern oder Trennwände außer Acht. Zudem resultiere nicht jeder Kontakt in einer Infektion. Entsprechend hoch könnte die False Positive-Rate ausfallen.

Umgekehrt werde die App wegen Schwierigkeiten mit den Standort- und Näherungssystemen nicht alle Infizierten erfassen, und nicht alle Übertragungen stammten tatsächlich vom definierten Kontakt. Dazu kämen Übertragungen von Infizierten, die keine App verwenden. Viele Gründe für eine entsprechende False Negative-Rate.

„Nehmen wir an, Sie nehmen die App zum Einkaufen mit und werden anschließend über einen Kontakt informiert. Was sollten Sie tun? Das Tracking ist nicht präzise genug, um sich für zwei Wochen in Quarantäne zu begeben. Und ohne allgegenwärtige, billige, schnelle und genaue Testverfahren kann die Diagnose der App nicht verifiziert werden. Somit sind die Warnungen nutzlos“, schreibt Schneier in seinem Blog: „Vergleichbar: Nehmen wir an, Sie nehmen die App zum Einkaufen mit und werden nicht über einen Kontakt informiert. Sind sie auf der sicheren Seite? Nein, sind Sie nicht. Sie haben in Wahrheit keine Ahnung, ob Sie infiziert sind. Das Endergebnis ist, dass die App nicht funktioniert.“

[1] https://www.pepp-pt.org/

[2] https://github.com/DP-3T/documents/

[3] https://www.derstandard.at/story/2000117111694/google-und-apple-bessern-bei-datenschutz-fuer-corona-warn-system