Corona-Apps Die Wahl zwischen Pest und Corona
Österreichs "Stopp-Corona-App" basiert noch auf einem zentralen Modell - aber das soll sich ändern
Foto: Roland Schlager / APA / dpaKontroverse Debatten unter Forschern sind erwünscht und normal, so funktioniert Wissenschaft. Doch rund um die sogenannte Corona-App spielt sich seit gut einer Woche Erstaunliches ab. Es gibt mittlerweile mindestens zwei zerstrittene Lager, es gibt offene Briefe, schwere Anschuldigungen via Twitter, Unterstellungen von allen Seiten.
Das allerdings ist unüblich und eher kontraproduktiv. Denn in dem Theaterdonner droht in Vergessenheit zu geraten, worum es gerade geht - nämlich die Annahme, dass eine technologische Pandemiebekämpfung teils schneller, treffgenauer und sogar datensparsamer sein kann als die bisherige Praxis, bei der Mitarbeiter von Gesundheitsämtern Infizierte nach ihren Kontakten der letzten Tage und Wochen befragen, samt Adresse und Telefonnummer, um die Infizierten dann zu informieren. An den Kaffee mit einem Bekannten mag sich mancher noch erinnern. Doch vom Gegenüber in der Bahn kennen Reisende in der Regel weder Namen noch Nummer, wenn sie sich überhaupt an den Kontakt erinnern.
Hier setzen beide aktuell so leidenschaftlich debattierten Modelle an, die Infektionsketten mithilfe des Smartphones früher unterbrechen wollen. Beide nutzen den Datenfunk Bluetooth. In beiden Fällen würde die App Listen von Geräte-IDs anlegen - jede ID steht letztlich für einen Menschen, mit dem man einen Zeitraum von zehn bis 15 Minuten verbracht hat - wobei die IDs regelmäßig verändert würden, um eine Zuordnung zu einer Person zu erschweren.
Bestätigte Infizierte würden sich in der App mithilfe eines offiziellen Codes vom Testlabor selbst als Corona-positiv melden, falls sie das wollen. Erst hier beginnen die wesentlichen Unterschiede der beiden Modelle. In dem von Bundesgesundheitsminister Spahn (CDU) weiter favorisierten zentralen Ansatz der Pepp-PT-Allianz findet der Abgleich mit den Kontaktlisten auf einem zentralen Server statt, der in Deutschland beim Robert Koch-Institut stehen würde. Er würde somit viele Informationen sammeln und einen "sozialen Graphen" (Wer hat wen wann wie lange getroffen) - allerdings nach Angaben der Verantwortlichen pseudonomisiert. Dort würde auch das Ansteckungsrisiko errechnet werden. Genau diese Informationen seien epidemiologisch besonders wertvoll, denn man könnte aus der Gesamtheit der Daten dazulernen, nicht über das Verhalten Einzelner, sondern über Muster bei vielen Nutzen. Diese statistischen, pseudonymisierten Daten würden nach Einschätzung der Bundesregierung und der Pepp-PT-Macher helfen, die Pandemie effizienter zu bekämpfen und die verfügbaren Tests zielgerichteter einzusetzen. Im Lockdown sollten sich schließlich alle Bürger so verhalten, als seien sie infiziert, obwohl das bislang wohl auf kaum ein Prozent zutrifft. So gesehen lag also die Fehlerquote bislang bei 99 Prozent, was zu gigantischen wirtschaftlichen Schäden führt. Corona-Apps könnten helfen, die Eingriffe präziser zu machen.
Allerdings sind zentrale Server leichter zu attackieren und missbrauchsanfälliger als dezentrale Systeme. Die Nutzer müssen dem Betreiber vertrauen, dass er seine Versprechen einhält. Hier setzt die massive Kritik der Verfechter von dezentralen Lösungen an. Sie argumentieren, Staaten und ihren Behörden sei nicht unbedingt zu trauen - und es sei technologisch auch gar nicht notwendig. In ihren dezentralen Modellen, von denen "DP-3T" weit gediehen ist, findet der Abgleich zwischen Infizierten und ihren Kontaktlisten auf den Endgeräten selbst statt, die ständig neue Informationen über neu Infizierte abrufen. Das bedeutet erheblich mehr Datenverkehr als im zentralen Modell, aber die Server würden hier nur durchleiten und wesentlich weniger Informationen sammeln und aggregieren.
Auch Apple und Google favorisieren dieses Modell, für das sie bis Mai zunächst eine gemeinsame Schnittstelle in ihren marktbeherrschenden mobilen Betriebssystemen anbieten wollen, und etwas später gleich die gesamte nötige Funktionalität, die eine zusätzliche App überflüssig macht. Der dezentrale Ansatz scheint sich zunehmend durchzusetzen: Anfang der Woche entschied sich unter anderem Österreich, wo bereits eine auf Bluetooth basierende Kontaktverfolgungs-App im Einsatz ist, auf ein dezentrales Modell umzuschwenken.
Auch das hat allerdings erhebliche Tücken. Besonders die Rolle von Google und Apple ist problematisch. Apple kann de facto die App-Variante des Robert Koch-Instituts auf seinen iPhones nutzlos machen, weil es bislang verhindert, dass Apps von Drittanbietern im Hintergrund ständig Bluetooth-Handshakes ausführen. Das soll verhindern, dass sich Werbefirmen mit speziellem Code in irgendwelchen werbefinanzierten Apps eine Bluetooth-Ortungsfunktion verschaffen. Aber im Fall der Corona-App hat die Beschränkung zur Folge, dass die Nutzer ihre iPhones permanent entsperrt und die App im Vordergrund laufen lassen müssten. Frankreich hat den Konzern bereits offiziell aufgefordert, sich in diesem Punkt zu bewegen.
Es geht am Ende also auch um die Frage, wem die Bürger mehr Vertrauen schenken - dem Staat oder genauer dem Robert Koch-Institut - oder den Unternehmen aus dem Silicon Valley. Die beteuern zwar, dass schon aufgrund des dezentralen Designs bei ihnen keine Verknüpfung zwischen den Handy-IDs und den bei ihnen gespeicherten Nutzerprofilen erfolgen könne. Andererseits hat insbesondere Google schon seit Langem großen Hunger nach mehr Gesundheitsdaten seiner Nutzer. Für viele in der Bundesregierung ist es keine angenehme Vorstellung, in der Frage der Pandemiebekämpfung als Bittsteller bei den Plattformgiganten auftreten zu müssen. Vielleicht wollen sie auch einfach nicht den zeitlichen Vorsprung aufgeben, den sie durch den frühzeitigen Entwicklungsbeginn von Apps in ihren Ländern zu haben glauben.
Was ist also besser, ein zentraler oder ein dezentraler Ansatz? Diese Risikoanalyse fällt bei nüchterner Betrachtung weniger schwarzweiß aus, als es in der hochgekochten Debatte erscheint. Daran erinnern ausgewiesene Experten wie Qiang Tang, Informatikprofessor am luxemburgischen Institute of Science and Technology. Als Experte für Kryptografie und Blockchainsysteme hat er einen guten Überblick über die Tücken der konkurrierenden Tracing-Techniken: "Die meisten Lösungen, vielleicht sogar alle von ihnen, haben angreifbare Schwächen in Sachen Datenschutz, die zu ernsthaften Bedenken führen könnten."
Auch Serge Vaudenay, Professor am Security and Cryptography Laboratory der EFPL in Lausanne und Autor eines Kryptografielehrbuchs , hat etliche Angriffsszenarien gegen eine dezentrale Corona-App zusammengetragen, sein Fachaufsatz trägt den Titel "Zwischen Scylla und Charybdis", sinngemäß: die Wahl zwischen Pest und Corona.
Er erinnert daran, dass die Technik zur Überwachung der Bewegungsprofile aller Handynutzer seit Jahren in Betrieb ist, denn genau darauf basiert die Mobiltelefontechnik. Aber es gebe eben Gesetze, welche in demokratischen Ländern den Missbrauch dieser Technik unter Strafe stellen. Wer Angst vor dem Missbrauch einer Corona-App habe, müsste konsequenterweise erst recht Angst vor jedem Mobiltelefon haben.
Kurzum: Ideal ist keine der Lösungen. Doch die schlechteste Variante könnte die weitere Selbstzerfleischung der konkurrierenden Lager sein. Eine sachliche Risikoanalyse kann nur im Kontext der aktuellen Krise stattfinden, und nicht nur unter eng kryptografischen Gesichtspunkten.
Die von den Befürwortern dezentraler Lösungen beschriebenen Szenarien zentraler Lösungen in Händen ruchloser Autokraten wirken bedrohlich. Allerdings haben westliche Demokratien wie Deutschland aktuell und ganz real schon Grund- und Freiheitsrechten massiv eingeschränkt, Vergleichbares hat es in der Geschichte des Grundgesetzes nicht gegeben. In dieser Situation ist es wichtig, Lösungen zu finden, welche diese Zumutungen möglichst rasch lindern, auch wenn sie vielleicht nicht perfekt sein mögen. Das ist bei beiden App-Ansätzen der Fall. Doch immerhin basieren beide - der zentrale wie der dezentrale - bislang auf dem Prinzip der Freiwilligkeit.
Vor allem sollte man die Apps auch vor dem Hintergrund ihrer Alternativen bewerten - nämlich dem Alltag in Gesundheitseinrichtungen weltweit, die bislang analoge Kontaktverfolgung von Infizierten betreiben. Bislang basiert dieses Vorgehen auf ganz banaler, menschlicher Detektivarbeit: mühsam, ungenau, langsam und teuer. Und dennoch auch weiterhin unverzichtbar. Die Bundesregierung will die Gesundheitsämter personell und finanziell aufstocken.
Patrick Larscheid kennt die Tücken des Verfahrens, er ist als Amtsarzt im Gesundheitsamt des Berliner Stadtteils Reinickendorf zuständig für über eine Viertelmillion Einwohner. Ein Team von insgesamt 150 Kontaktnachverfolgern telefoniert hier mit Infizierten und Betroffenen. Viele seiner Mitarbeiter sind "ausgeliehen" von anderen Stellen wie etwa dem Bauamt oder dem Sozialamt. Rund 500 Infektionsfälle können sie pro Tag abarbeiten.
Wie blickt der Amtsarzt auf die Tracing-Apps? Werden sie seine Arbeit schneller und effizienter machen? Larscheid sieht die aufgeregte Debatte nüchtern, pragmatisch: "Was nützt mir eine App, wenn ich vielleicht über siebzig bin, auf dem Land wohne und gar kein Smartphone habe?", fragt er: "Jeder hat derzeit eine Meinung, aber oft fehlt es an Realismus!"
Am 31. Dezember 2019 wandte sich China erstmals an die Weltgesundheitsorganisation (WHO). In der Millionenstadt Wuhan häuften sich Fälle einer rätselhaften Lungenentzündung. Mittlerweile sind mehr als 180 Millionen Menschen weltweit nachweislich erkrankt, die Situation ändert sich von Tag zu Tag. Auf dieser Seite finden Sie einen Überblick über alle SPIEGEL-Artikel zum Thema.
"Gehirnschmerzen" bereitet ihm vor allem genau die Phase, nach der sich derzeit so viele sehnen: das Ende der Kontaktbeschränkungen. Denn dann müssen viele seiner Kontaktnachverfolger wieder zurück zu ihren eigentlichen Arbeitgebern, ins Bauamt oder Sozialamt oder wohin auch immer. Das Risiko: Sein Seuchenschutzteam schrumpft genau in dem Moment, wo es besonders dringend gebraucht wird, um ein unkontrollierbares Aufflammen der Pandemie zu verhindern.
Dann wäre ihm jede Hilfe willlkommen, auch die einer App, selbst wenn sie nicht von allen genutzt wird und selbst wenn die Bluetooth-Abstandsmessung vielleicht nie zufriedenstellend funktionieren wird. Datensparsamer, schneller und präziser als das, was derzeit alltägliche Praxis ist, wäre wohl jede der gerade debattierten Apps.
Wahrscheinlich braucht es aber eine Kombination analoger und digitaler Verfahren.
Ideal wäre es, wenn 60 Prozent der Bürger eine Tracing-App freiwillig herunterladen und korrekt nutzen würden, um den gewünschten Effekt zu erzielen. Als Erfolgsbeispiel wird oft Singapur genannt. Dort ist schon seit Wochen eine auf Bluetooth basierende App ("Tracetogether") im Einsatz, mehr als 1,1 Millionen Nutzer haben sie heruntergeladen, immerhin rund ein Fünftel der Einwohner. Doch anders als erhofft ließen sich die Infektionsketten selbst mit dieser massiven elektronischen Unterstützung nicht schnell genug in den Griff bekommen. Vor gut zwei Wochen entschied sich der Stadtstaat doch noch, einen harten Lockdown zu verhängen.
