Es ist schönes Wetter. Draussen treibt der Frühling seine Blüten. Und Corona irgendwie auch noch immer. Und wir sitzen zu Hause. Die Energie lässt sich nicht mehr unter dem Deckel halten. Und sie entlädt sich in Form von Tausenden Stunden von Freiwilligenarbeit in Hackathons sowie im
Projekt PEPP-PT, das am 1. April 2020 lanciert wurde.
Das Virus hat ein besonderes "Feature". Erst ist man ansteckend und überträgt auf andere, und dann erst wird man krank. Leute, die man potentiell angesteckt hat, soll man informieren können. Daten, Applikationen und Protokolle sollen es richten. Tracing Apps, um genauer zu sein. Doch dazu mehr weiter unten. Corona ist jedenfalls auch ein IT-Thema.
Kommunikation, Verbindungsunterbruch und -wiederaufnahme
Die Behörden und namentlich das Bundesamt für Gesundheit (BAG) haben eigentlich lange Zeit souverän informiert. Immer wieder dieselben Fragen. Sie wurden geduldig beantwortet. Heute sehen Viele Versäumnisse bei den Behörden. Das ist eine ziemlich strenge Haltung. Hätte man bei der ursprünglich vorherrschenden Tonalität ("ganz ein normales Virus" und "Mundschutz braucht es nicht") einen Lockdown angeordnet, es wäre mit Sicherheit Unverständnis zurückgekommen. Bundesrat Alain Berset hat das mehrfach betont.
Der Ruf nach punktgenauen Datenquellen wurde derweil immer lauter. Namentlich von der Opendata-Community, die sich im Verein
Opendata.ch organisiert. Dieser wurde 2011 initiiert, zunächst als Initiative des
Vereins /ch/open (ab 2013 als eigener Verein), und fordert seither von den Behörden die Öffnung von Daten in strukturiertem Format, über Schnittstellen etc., zur leichteren Automatisierung.
Die Antwort des BAG bestand aus einem Wort, das man jedenfalls bei
Opendata.ch schon in die Enzyklopädie vergessen geglaubter Begriffe verbannt hatte: Telefax. Es ist das Etikett, das zum Ausdruck bringt, dass das Gros der Bundesverwaltung lange Zeit alles andere als Feuer und Flamme war für Open Data. Im Angesicht des Flächenbrands Corona ändert sich das hoffentlich. Man spricht schon von "Nachlese". Auch Open Data wird dabei zur Sprache kommen.
Dann kamen erste Meldungen, dass ein Einzelner eine Datensammlung von besserer Tagesaktualität bereitstellen konnte als das BAG. Und das Schweizer Fernsehen vermeldete, sich fortan lieber auf die Daten des Open Data Team im Statistischen Amt des Kantons Zürich zu verlassen.
Heute ist die Verbindung zwischen BAG und der
Opendata.ch-Community wieder hergestellt. Der
Hackathon VersusVirus, der von Opendata.ch organisiert wird und heute mit rund 4000 Teilnehmenden aus aller Welt begonnen hat, steht unter der Schirmherrschaft des BAG.
Private Initiativen für Tracing Apps
Schon
letzte Woche hat HackZurich unter dem
Titel #CodeVsCovid19 einen Hackathon durchgeführt, ebenfalls mit überwältigender internationaler Beteiligung. Am Ende kamen mehrere Tracing-Apps heraus. Sie haben Namen wie
VirusTracker,
WeTrace und
Next Step. Sie füllen ein Vakuum, das in den Europäischen Staaten anders als z.B. in Singapur besteht: Singapur hat schon seit der Sars-Epidemie an seiner
Tracing App TraceTogether gebaut.
Dieses Vakuum hat offenbar auch eine Gruppe von Wissenschaftern erkannt. Am 1. April 2020 hat eine Initiative mit der Bezeichnung PEPP-PT gerade auf einen Schlag das gesamte Feld des Contact Tracing bzw. Proximity Tracing besetzt. Etwas sperrig, der Name. Aber der Name ist Programm: Pan-European Privacy Preserving Proximity Tracing – breit angelegt und schützend. Beim Namen dürfte es sich um ein bewusst gesetztes Marketingsignal handeln: Die Protokolldefinition so unangreifbar gut, die Technik so überlegen – da sind Namen doch nur Schall und Rauch.
Seither spricht man nur noch von PEPP-PT. Die Bereitschaft, sich darauf einzulassen, ist dem Vernehmen nach bereits bei vielen Regierungen mindestens in Europa vorhanden. Die Schweiz hat sich
interessiert abwartend gegeben. Im Resultat: Jetzt übernimmt die Wissenschaft das Szepter.
Das klingt auf den ersten Blick nicht unvernünftig. Der Staat soll sich von Experten beraten lassen. Auch der Staat muss nicht alles wissen. Deswegen hat die Schweiz am 31. März 2020
auch ein Expertengremium eingesetzt, das Bundesrat und Regierungsstellen beraten soll. PEPP-PT wirkt aber nicht als eingesetzte Expertengruppe, sondern ist eine private Initiative. Man muss deshalb die Frage stellen dürfen, ob die dargestellte Alternativlosigkeit von PEPP-PT die Handlungsfreiheit von Regierungen faktisch beschränkt. Insofern ist zentral, dass Staaten, welche solche Protokolle einsetzen möchten, zusätzlich an einer sinnvollen, zielgerichteten und griffigen Governance arbeiten, und sich auf diesem Weg digitale Selbstbestimmung bewahren.
Wie funktioniert eine Tracing App?
Tracing Apps funktionieren in der "Basisausführung" wie folgt: Über Bluetooth wird dem Menschen in der Nähe "Proximity" mitgeteilt. Damit trägt man sich gewissermassen in den Newsletter des Gegenübers ein. Wenn dieses an Covid19 erkrankt, sendet es die Nachricht "Infected" an alle Subscriber. Je nach Protokolldefinition enthält diese Nachricht Standort des Zusammentreffens und einen Zeitstempel.
PEPP-PT definiert ein Protokoll mit Referenzimplementierung und so können auch die während #CodeVsCovid19 entstandenen Apps verstanden werden. Das Protokoll von PEPP-PT ist noch nicht öffentlich verfügbar. Es scheinen noch Abstimmungsarbeiten im Gang zu sein. Die Publikation wird mit Spannung erwartet.
Worauf wird zu achten sein?
Dieser Beitrag kann diese Frage nicht abschliessend beantworten. Ich greife hier das Thema der Verschlüsselung hervor, weil sich die Diskussion zwischen verschiedenen Akteuren derzeit um diese Frage dreht. Es gibt aber auch Fachleute, die davon ausgehen, dass die Verschlüsselungsdiskussion nicht im Zentrum stehen sollte. Es somit auf jeden Fall auch um weitere Fragen gehen. Zu nennen ist Folgendes:
- Wer hat Zugriff auf welche Informationen?
- Gibt es eine zentrale Instanz, die Zugriff hat auf mehr Informationen als sie eigentlich braucht?
- Wie lautet die Zielsetzung? An sich müssen nur die Beteiligten einer sog. "Proximity-Situation" erkennen können, dass ihr jeweiliger Gegenpart positiv getestet wurde. Auf diese Information müssen nur diese beiden Parteien zugreifen können, und sonst niemand.
- Welche Wahlmöglichkeiten gibt die App dem Nutzer und der Nutzerin? Es geht insbesondere um die Frage, welches die Minimalangaben sind, die übermittelt werden, und welche Angaben die Nutzerin bzw. der Nutzer von sich aus, also optional, zusätzlich übermitteln kann.
Zur Verschlüsselungsdiskussion
Das Protokoll einer Tracing App steht und fällt mit den Methoden, die es zum Schutz von Privaten einsetzt. In vielen Konzepten steht die gewählte Verschlüsselungstechnologie an prominenter Stelle. Diese kann Einfluss haben auf den Schutz der Privatheit der Kommunikation bzw. des Geräteinhabers. Aus Sicht verschiedener Fachleute stellt die nachfolgende Verschlüsselungsdiskussion eine wesentliche Eigenschaft des Protokolls dar.
Die gewählte Verschlüsselungstechnologie – man spricht von symmetrischer und asymmetrischer Verschlüsselung – kann Einfluss haben auf den Batterieverbrauch, weil je nach den Entscheidungen, die man in diesem Umfeld trifft, eine hohe Zahl von Rechenoperationen nötig werden. Kann man aber in das Protokoll Definitionen einfügen, die sicherstellen, dass nur selektiv entschlüsselt werden muss, dann reduziert sich der Batterieverbrauch auch bei ansonsten rechenintensiven Verschlüsselungsmethoden erheblich. Diesen Ansatz will zum Beispiel das bereits genannte Projekt WeTrace definiert haben.
Im Kern der symmetrischen Verschlüsselung stehen kleine, sich laufend ändernde Identifizierungsdateien ("Tokens"), die in rascher Zahl von einem Hauptschlüssel auf dem Handy ausgegeben werden. Das Handy sendet den jeweils aktuellsten Token laufend über Bluetooth an die Öffentlichkeit, so dass eine Person in physischer Nähe sie auf ihrem Mobiltelefon speichern kann. So wird "Proximity" als Ausgangspunkt festgestellt. Wer sich als infiziert meldet (bzw. erst nach Prüfung durch einen Arzt als infiziert melden darf), publiziert nunmehr den Hauptschlüssel ins Netzwerk. So können alle, die sich für genügend lange Zeit in der Nähe der dannzumal an Covid19 erkrankten Person aufgehalten haben, erkennen, dass sie sich ebenfalls angesteckt haben könnten. Das Problem an diesem Protokoll besteht darin, dass jeder Empfänger, der passiv einen der unzähligen Tokens erhalten hat, das Bewegungsprofil des Absenders (meist für die zurückliegenden 14 Tage) rekonstruieren kann; denn dieses hängt üblicherweise als Ganzes am Hauptschlüssel.
Anders als andere Projekte fokussiert v.a. das Projekt WeTrace auf eine Methode mit asymmetrischer Verschlüsselung, das diesbezüglich den Beweis wird führen müssen, dass ein Einsatz ohne hohen Batterieverbrauch im Handy möglich ist. Asymmetrische Verschlüsselung nützt aus der Sicht der Privatheit allerdings dann nichts, wenn die Verschlüsselung über einen Schlüssel des Staates erfolgen müsste. Das sieht das Projekt WeTrace zwar nicht vor, aber es müsste bei der Umsetzung durch einen Staat darauf geachtet werden, dass nicht mit einem vom Staat kontrollierten Schlüssel gearbeitet wird (sondern bei der Installation muss für die App auf dem Handy ein zufälliges Schlüsselpaar generiert werden).
Eine Folge der symmetrischen Verschlüsselung besteht darin, dass eine leistungsfähige, in der Nähe eines öffentlichen Platzes aufgestellte Antenne den Datenverkehr über die Bluetooth-Schnittstelle passiv mitschneiden kann. Da sie somit den Token der dannzumal infizierten Person kennt, kann auch diese Antenne das Bewegungsprofil der Person rekonstruieren. Wer sich eine Antenne leisten kann, kann also reinschnüffeln.
Asymmetrische Verschlüsselung hat demgegenüber ausser der Limitierung der Batterielaufzeit im Handy Vorteile. Der Absender signiert nicht mit seinem privaten Hauptschlüssel, sondern mit dem öffentlichen Schlüssel der Proximities. Nur wer den passenden privaten Schlüssel hat, kann lesen, mit anderen Worten also jeweils nur ein Teilnehmer (nicht alle). Dies ermöglicht also statt einer One-to-Many-Verbindung eine Punkt-zu-Punkt-Übermittlung.
Dies löst das "Privatheitsproblem" allerdings erst dann, wenn der Inhalt der Nachricht auch nicht das ganze Bewegungsprotokoll der vergangenen 14 Tage mitsendet. Dies ist mit asymmetrischer Verschlüsselung möglich; das Protokoll kann dank der Punkt-zu-Punkt-Kommunikation nur jene Angaben zu seiner Person mitsenden, die der Absender über eine Benutzerschnittstelle auswählt (nur Standort, Datum und Zeit oder nichts von alledem) und das Protokoll schaut, dass nur jene Angaben mitgehen, die den Empfänger auch betreffen.
Ausschnüffeln über eine ferne Antenne ist dann aber faktisch nicht möglich, ohne dass dies dem Bundesamt für Kommunikation auffallen würde; denn die Antenne müsste über einen in der Regel grossen Abstand hinweg öffentliche Keys an Passantinnen und Passanten ausspielen. Das geht nur mit starker Leistung. Dieses Szenario kann als unrealistisch angesehen werden.
Die Zeit drängt
Wenn PEPP-PT dem Anspruch gerecht wird, transparent zu agieren, sich dem wissenschaftlichen Diskurs zu stellen und die epidemologischen Grundlagen ebenfalls transparent und plausibel offenzulegen, und wenn die Reaktionen der Expertinnen und Experten in den Bereichen Verschlüsselung, Epidemologie, Datenschutz, Freiheitsrechte sowie Schutz vor Überwachung positiv ausfallen, hat eine gebündelte Initiative wie PEPP-PT unbestreitbare Vorteile. Es braucht nicht mehr Apps, sondern weniger. Damit man sich nicht verzettelt. Und damit die Gesellschaft rasch handeln kann.
Die an #CodeVsCovid19 teilnehmenden Projekte haben gegenüber der 'NZZ' erklärt, nicht als Parallellösungen bestehen zu wollen. Entsprechend haben mindestens einzelne von ihnen ihren Code bereits öffentlich gemacht. Es kann jetzt also ausschliesslich um die transparente wissenschaftliche Diskussion gehen und darum, welche Technologie insgesamt alle sich stellenden Bedürfnisse am besten abbildet. Dass breit getragene Ansätze im Projekt PEPP-PT aufgehen, sollte von keiner Seite als Vorbehalt angemeldet werden.
Sollten die Macher von PEPP-PT aber Annahmen getroffen haben, die schwer erklärbar sind oder zu schweren Gefährdungsrisiken führen, auf Kritik dazu aber nicht eingehen oder berechtigte und umsetzbare Verbesserungen nicht adaptieren, dann ist der Aufschrei vorprogrammiert. Dann droht Zeitverlust.
Man hat hier ziemlich hohen Druck aufgebaut. Die Macher von PEPP-PT müssen in der Sache überzeugen. Hoffen wir, dass es ihnen gelingt.
Über den Autor:
Dr. Christian Laux, LL.M. ist Anwalt und fokussiert auf IT-Rechtsangelegenheiten. Für
inside-it.ch äussert er sich an dieser Stelle regelmässig zu Rechtsfragen, welche die Schweizer IT-Branche in relevanter Weise betreffen.