1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
|
title: 10 Prüfsteine für die Beurteilung von „Contact Tracing“-Apps
date: 2020-04-06 15:19:28
updated: 2020-05-02 22:03:25
author: linus
tags: update, pressemitteilung, anonymisierung
Als Möglichkeit zur Eindämmung der SARS-CoV-2-Epidemie sind „Corona-Apps“ in aller Munde. Der CCC veröffentlicht zehn Prüfsteine zu deren Beurteilung aus technischer und gesellschaftlicher Perspektive.
<!-- TEASER_END -->
Politik und Epidemiologie ziehen aktuell gestütztes „Contact
Tracing“ als Maßnahme in Erwägung, systematisch einer Ausbreitung von
SARS-CoV-2-Infektionen entgegen zu wirken. Dies soll der Gesellschaft
eine größere Freizügigkeit zurückgeben, indem Infektionsketten schneller
zurückverfolgt und unterbrochen werden können. Durch eine solche Lösung
sollen Kontakte von Infizierten schneller alarmiert werden und sich
dadurch schneller in Quarantäne begeben können. Dadurch wiederum sollen
weitere Infektionen ihrerseits verhindert werden. Eine "Corona-App" soll
also weder uns selbst, noch unsere Kontakte schützen: Sie soll
Infektionsketten unterbrechen, indem die Kontakte unserer Kontakte
geschützt werden.
## „Contact Tracing“ als Risikotechnologie
Für die technische Implementierung dieses Konzepts gibt es eine Reihe an
Vorschlägen. Diese Empfehlungen reichen von dystopischen Vorschlägen für
Vollüberwachung bis hin zu zielgenauen, vollständig anonymisierten
Methoden der Alarmierung von potentiell Infizierten ohne Kenntnis der
konkreten Person.
Grundsätzlich wohnt dem Konzept einer „Corona App“ aufgrund der
möglicherweise erfassten Kontakt- und Gesundheitsdaten ein enormes
Risiko inne. Gleichzeitig gibt es breite Anwendungsmöglichkeiten für
„Privacy-by-Design“-Konzepte und -Technologien, die in den letzten
Jahrzehnten von der Crypto- und Privacy-Community entwickelt wurden. Mit
Hilfe dieser Technologien ist es möglich, die Potenziale des „Contact
Tracing“ zu entfalten, ohne eine Privatsphäre-Katastrophe zu schaffen.
Allein deshalb sind sämtliche Konzepte strikt abzulehnen, die die
Privatsphäre verletzen oder auch nur gefährden. Die auch bei
konzeptionell und technisch sinnvollen Konzepten verbleibenden
Restrisiken müssen fortlaufend beobachtet, offen debattiert und so weit
wie möglich minimiert werden.
Im Folgenden skizzieren wir gesellschaftliche und technische
Minimalanforderungen für die Wahrung der Privatsphäre bei der
Implementierung derartiger Technologien. Der CCC sieht sich in dieser
Debatte in beratender und kontrollierender Rolle. Wir werden aus
grundsätzlichen Erwägungen keine konkreten Apps, Konzepte oder Verfahren
*empfehlen*. Wir raten jedoch von Apps *ab*, die diese Anforderungen
nicht erfüllen.
## I. Gesellschaftliche Anforderungen
### 1. Epidemiologischer Sinn & Zweckgebundenheit
Grundvoraussetzung ist, dass „Contact Tracing“ tatsächlich realistisch
dabei helfen kann, die Infektionszahlen signifikant und nachweisbar zu
senken. Diese Beurteilung obliegt der Epidemiologie. Sollte sich
herausstellen, dass „Contact Tracing“ per App nicht sinnvoll und
zielführend ist, muss das Experiment beendet werden.
Die App selbst und jegliche gesammelte Daten dürfen ausschließlich zur
Bekämpfung von SARS-CoV-2-Infektionsketten genutzt werden. Jede andere
Nutzung muss technisch so weit wie möglich verhindert und rechtlich
unterbunden werden.
### 2. Freiwilligkeit & Diskriminierungsfreiheit
Für eine epidemiologisch signifikante Wirksamkeit setzt eine „Contact
Tracing“-App einen hohen Verbreitungsgrad in der Gesellschaft voraus –
also Installationen auf den Smartphones möglichst vieler Menschen. Diese
weite Verbreitung darf nicht durch Zwang erreicht werden, sondern kann
nur durch ein vertrauenswürdiges, privatsphären-achtendes System erzielt
werden. Vor diesem Hintergrund verbietet sich das Erheben von Gebühren
für die Nutzung ebenso wie die Incentivierung durch finanzielle Anreize.
Menschen, die sich der Nutzung verweigern, dürfen keine negativen
Konsequenzen erfahren. Dies sicherzustellen, ist auch eine Aufgabe von
Politik und Gesetzgebung.
Die App muss von sich aus regelmäßig auf ihren Betrieb hinweisen,
einfach temporär zu deaktivieren und dauerhaft zu de-installieren sein.
Die Implementierung restriktiver Maßnahmen, bspw. die Funktion
„elektronischer Fußfesseln“ zur Kontrolle von Ausgangs- und
Kontaktbeschränkungen, halten wir für inakzeptabel.
### 3. Grundlegende Privatsphäre
Nur mit einem überzeugenden Konzept, das auf dem Grundsatz der Wahrung
der Privatsphäre beruht, kann überhaupt eine gesellschaftliche Akzeptanz
erreicht werden.
Dabei sollen belegbare technische Maßnahmen wie Kryptografie und
Anonymisierung die Privatsphäre der Nutzer zwingend sicherstellen. Es
reicht nicht, sich auf organisatorische Maßnahmen, Versprechen und
"Vertrauen" zu verlassen. Organisatorische oder rechtliche Hürden gegen
einen Datenabfluss sind im derzeitigen gesellschaftlichen Klima von
Notstands-Denken und möglichen weitgehenden Grundrechtsausnahmen durch
das Infektionsschutzgesetz nicht hinreichend.
Die Beteiligung von Unternehmen, die Überwachungstechnologien
entwickeln, lehnen wir als "Covid-Washing" grundsätzlich ab.
Grundsätzlich gilt: Die Nutzerinnen sollten keiner Person oder
Institution mit Ihren Daten "vertrauen" müssen, sondern dokumentierte
und geprüfte technische Sicherheit genießen.
### 4. Transparenz und Prüfbarkeit
Der vollständige Quelltext für App und Infrastruktur muss frei und ohne
Zugangsbeschränkungen verfügbar sein, um Audits durch alle
Interessierten zu ermöglichen. Durch Reproducible-Build-Techniken ist
sicherzustellen, dass Nutzer überprüfen können, dass die App, die sie
herunterladen aus dem auditierten Quelltext gebaut wurde.
## II. Technische Anforderungen
### 5. Keine zentrale Entität, der vertraut werden muss
Ein vollständig anonymes "Contact Tracing" ohne allwissende zentrale
Server ist technisch möglich. Es ist technisch nicht notwendig, alleine
auf Vertrauenswürdigkeit und Kompetenz des Betreibers von zentraler
Infrastruktur zu vertrauen, die Privatsphäre der Nutzer schon
ausreichend zu schützen. Darauf beruhende Konzepte lehnen wir daher von
vornherein als fragwürdig ab.
Hinzu kommt, dass die Sicherheit und Vertrauenswürdigkeit
zentralisierter Systeme – etwa gegen die Verknüpfung von IP-Adressen mit
anonymen Nutzer-IDs – für die Anwender nicht effektiv überprüfbar ist.
Die Sicherheit und Vertraulichkeit des Verfahrens muss daher
ausschließlich durch das Verschlüsselungs- und Anonymisierungskonzept
und die Verifizierbarkeit des Quellcode gewährleistet werden können.
### 6. Datensparsamkeit
Es dürfen nur minimale und für den Anwendungszweck notwendige Daten und
Metadaten gespeichert werden. Diese Anforderung verbietet die Erfassung
sämtlicher Daten, die über einen Kontakt zwischen Menschen und dessen
Dauer hinausgehen, wie zum Beispiel Lokationsdaten.
Sofern lokal auf den Telefonen Daten wie Aufenthaltsorte erfasst werden,
dürfen Nutzerinnen nicht gezwungen oder verleitet werden, diese Daten an
Dritte weiterzugeben oder gar zu veröffentlichen. Daten, die nicht mehr
benötigt werden, sind zu löschen. Auch lokal auf dem Telefon müssen
sensible Daten sicher verschlüsselt werden.
Für freiwillige, über den eigentlichen Zweck des Contact Tracing
hinausgehende Datenerhebungen zum Zweck der epidemiologischen Forschung
muss in der Oberfläche der App eine klare, separate Einwilligung
explizit eingeholt und jederzeit widerrufen werden können. Diese
Einwilligung darf nicht Voraussetzung für die Nutzung sein.
### 7. Anonymität
Die Daten, die jedes Gerät über andere Geräte sammelt, dürfen zur
Deanonymisierung ihrer Nutzer nicht geeignet sein. Die Daten, die jede
Person ggf. über sich weitergibt, dürfen nicht zur Deanonymisierung der
Person selbst geeignet sein. Daher muss die Nutzung des Systems möglich
sein, ohne dass persönliche Daten jedweder Art erfasst werden oder
abgeleitet werden können. Diese Anforderung verbietet eindeutige
Nutzerkennungen.
IDs für "Contact Tracing" über Drahtlostechnik (z. B. Bluetooth oder
Ultraschall) dürfen nicht auf Personen zurückführbar sein und müssen
häufig wechseln. Aus diesem Grund verbietet sich auch eine Verbindung
mit oder Ableitung von IDs aus Kommunikationsbegleitdaten wie
Push-Tokens, Telefonnummern, verwendeten IP-Adressen, Gerätekennungen
etc.
### 8. Kein Aufbau von zentralen Bewegungs- und Kontaktprofilen
Das System muss so beschaffen sein, dass weder absichtlich noch
unabsichtlich Bewegungsprofile (Standortverfolgung) oder Kontakt-Profile
(auf konkrete Menschen zurückführbare Muster von häufigen Kontakten)
aufgebaut werden können. Methoden wie zentrales GPS/Location-Logging
oder eine Verknüpfung der Daten mit Telefonnummern,
Social-Media-Accounts u. ä. sind daher grundsätzlich abzulehnen.
### 9. Unverkettbarkeit
Das Design der ID-Generierung muss so gestaltet sein, dass diese ohne
den Besitz des privaten Schlüssels nicht verkettbar sind. Sie dürfen
also nicht aus anderweitigen Daten abgeleitet werden. Egal auf welchem
Weg IDs im Infektionsfall kommuniziert werden, muss ausgeschlossen sein,
dass die gesammelten "Contact Tracing"-Daten über längere Zeiträume
verketten werden können.
### 10. Unbeobachtbarkeit der Kommunikation
Auch wenn die Übermittlung einer Nachricht im System beobachtet wird (z.
B. über die Metadaten der Kommunikation), darf daraus nicht geschlossen
werden können, dass eine Person selbst infiziert ist oder Kontakt zu
Infizierten hatte. Dies ist sowohl gegenüber anderen Nutzern als auch
gegenüber Infrastruktur- und Netzbetreibern oder Angreifern, die
Einblick in diese Systeme erlangen, sicherzustellen.
## Rolle und Selbstverständnis des CCC
Seit weit über 30 Jahren engagiert sich der CCC ehrenamtlich im
Spannungsfeld zwischen Technologie und Gesellschaft. [Unsere ethischen
Prinzipien](/de/hackerethik) stehen für Privatsphäre, Dezentralisierung
und Datensparsamkeit – und gegen jede Form von Überwachung und Zwang.
Ohne Anspruch auf Vollständigkeit benennen wir in diesem Beitrag
Mindestanforderungen, denen eine "Corona App" entsprechen muss, um
gesellschaftlich und technisch überhaupt tolerabel zu sein. Der CCC wird
aus grundsätzlichen Erwägungen unter keinen Umständen jemals eine
konkrete Implementierung mit Zustimmung, Empfehlung oder gar einem
Zertifikat oder Prüfsiegel versehen.
Es obliegt den Entwicklern von "Contact Tracing"-Systemen, die Erfüllung
dieser Anforderungen zu belegen, oder von unabhängigen Dritten belegen
zu lassen.
|