Anti-Corona-Tracking-Apps Die Vertrauensfrage

Welche Daten erheben "Anti-Corona-Apps", um Infektionsketten zu erkennen? Wer hat Zugriff darauf? Wie anonym ist alles? Der CCC und Reporter ohne Grenzen fordern, was bisher nicht der Normalfall ist.
Die österreichische "Stopp Corona"-App des Roten Kreuzes

Die österreichische "Stopp Corona"-App des Roten Kreuzes

Foto: Harald Schneider/ dpa

"Es werden keine Standortdaten gesammelt": So steht es unmissverständlich auf der Website zu TraceTogether , der auf Bluetooth basierenden App, mit der die Regierung von Singapur Kontaktketten von Coronavirus-Infizierten unterbrechen will. Der Satz soll Vertrauen wecken. Die Installation der App ist schließlich freiwillig, aber wenn niemand sie nutzt, kann sie nichts bewirken.

"Die App erhält wahrscheinlich den Standort der Nutzer, basierend auf GPS und/oder WLAN-Daten", heißt es hingegen in einer Analyse der Defensive Lab Agency  in Paris. Die französischen Sicherheitsforscher haben bereits mehr als 40 "Corona-Apps" aus aller Welt untersucht , darunter auch TraceTogether.

Die Erklärung für die widersprüchlichen Angaben liegt in der Analysemethode der Defensive Lab Agency. Untersucht wird nur, welche Trackingskripte eine App beinhaltet, also mit wessen Servern sie in Verbindung steht, welche Zugriffsrechte auf dem Smartphone sie einfordert und welche Operationen sie durchführen könnte. Was die App im Praxisbetrieb tatsächlich tut, kann die statische Analyse nicht belegen.

Gut gemeint ist nicht gut gemacht

Eine genauere Analyse hätte eigentlich möglich sein sollen. Die Regierung von Singapur hatte am 22. März angekündigt, den Code von TraceTogether zu veröffentlichen. Damit hätte die Defensive Lab Agency überprüfen können, ob die App nun Standortdaten sammelt oder nicht. Doch öffentlich zugänglich ist der Code noch immer nicht, zumindest steht er nicht auf der GitHub-Seite der zuständigen Behörde .

So verdeutlicht der Fall den Unterschied zwischen gut gemeint und gut gemacht: Wer eine Anti-Corona-App zur schnellen Nachverfolgung und letztlich zur Unterbrechung von Kontaktketten (Contact Tracing) entwickelt und Nutzern dabei den Schutz ihrer Privatsphäre verspricht, muss diesen Schutz belegen können. Auf diesen Standpunkt stellen sich auch der Chaos Computer Club (CCC) und Reporter ohne Grenzen.

Beide Organisationen haben diese Woche ihre Mindestanforderungen an Apps zur Kontaktverfolgung veröffentlicht. "10 Prüfsteine für die Beurteilung von Contact-Tracing-Apps"  sind es beim CCC, 7 bei den Reportern ohne Grenzen.  Auf technischer Ebene geht es beiden zum Beispiel um Transparenz und Überprüfbarkeit: "Der vollständige Quelltext für App und Infrastruktur muss frei und ohne Zugangsbeschränkungen verfügbar sein, um Audits durch alle Interessierten zu ermöglichen", heißt es beim CCC unter anderem. Der Hacker-Verein verlangt außerdem "ein vollständig anonymes Contact Tracing ohne allwissende zentrale Server" - schon allein, weil dies technisch möglich sei. Auch dürften "nur minimale und für den Anwendungszweck notwendige Daten und Metadaten gespeichert werden", und diese dürften nicht zur De-Anonymisierung der Nutzer geeignet sein.

Der CCC betont, dass er keine Prüfsiegel oder Empfehlungen vergeben werde. Aber der Club werde von allen Apps abraten, die seine Anforderungen nicht erfüllen.

Nur ein Zwischenergebnis

Reporter ohne Grenzen verlangt unter anderem eine unabhängige Aufsicht und begleitende Verbote: "Alle durch die App gesammelten Daten müssen strikt vor jeder anderen Nutzung durch Geheimdienste, sonstige Behörden oder Unternehmen geschützt werden", heißt es in dem Forderungskatalog. "Klar benannte Löschfristen müssen essenzieller Bestandteil der Lösung sein; ihre Einhaltung ist von einer unabhängigen Stelle zu prüfen." Und "jede andere Nutzung auch zu kommerziellen Zwecken, der ein Nutzer nicht explizit zugestimmt hat, muss verboten werden".

Die Forderungskataloge sind das Zwischenergebnis einer Debatte, die unter anderem auf Twitter geführt wird, nicht zuletzt innerhalb des CCC: Müsste zunächst einmal bewiesen sein, was genau Tracing-Apps zur Eindämmung der Coronavirus-Epidemie beitragen können? Kann die Technik überhaupt leisten, was sich die Entwickler, aber auch die Bundesregierung davon versprechen? Oder ist sie grundsätzlich zu fehleranfällig und würde Nutzerinnen und Nutzer schlimmstenfalls in falscher Sicherheit wiegen? Ist das Konzept in jedem Fall einen Versuch wert, weil bisher niemand eine bessere Idee hat? Und wie müssten die Apps ausgestaltet sein, damit sie zumindest vertrauenswürdig sind?

Letzteres sollen die von CCC und Reporter ohne Grenzen formulierten Maßstäbe verdeutlichen. Angelegt werden sie ganz sicher an das Projekt Pepp-PT (Pan European Privacy Protecting Proximity Tracing), wenn es in nächster Zeit seinen auf Bluetooth basierenden Contact-Tracing-Standard veröffentlicht und darauf basierende Apps für Deutschland und Europa entstehen. Hier erklären wir, wie die Technik funktioniert.

Das Virus wartet nicht

Noch ist der Standard Pepp-PT nicht ganz fertig. Einige der Beteiligten setzen sich zum Beispiel noch für einen dezentralen Aufbau ein , damit Nutzerinnen und Nutzer keinem zentralen, beispielsweise von einer Regierung betriebenen Server vertrauen müssen. Das entspräche Punkt 5 der CCC-Prüfliste.

Die Entwickler stehen allerdings unter Zeitdruck, das Virus wartet nicht. Das geforderte Optimum ist deshalb nicht automatisch der Normalfall, wie die am Dienstag vom Robert Koch-Institut (RKI) veröffentlichte App "Corona-Datenspende" zeigt. Es handelt sich nicht um die bereits angekündigte Contact-Tracing-App, sondern um eine Art Symptom-Tracker. Die App sammelt nach Angaben  des RKI anonymisierte Vitaldaten über Fitnessarmbänder und Smartwatches, die sich bei einer Covid-19-Erkrankung ändern und stellt diese in Form einer Karte dar. Diese Karte zeige "die regionale Verbreitung potenziell Infizierter bis auf Ebene der Postleitzahl", teilt das RKI mit.

In der App selbst steht, sie sei "von Sicherheitsexperten überprüft" worden. Doch weder erfahren Nutzer, wer sie wie geprüft hat, noch ist der Code der App öffentlich und damit unabhängig überprüfbar.

Dem SPIEGEL teilte das RKI mit: "Die App ist nicht quelloffen." Geprüft und freigegeben habe sie der eigene Datenschutzbeauftragte, "in Abstimmung mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit".