Über die Nachverfolgung von Kontakten: Sinn und Zweck einer Corona App

9 Juni 2020

In Kürze soll die seit Langem diskutierte „Corona App“ in Deutschland auf den Markt kommen. Welche Dinge müssen dabei beachtet werden und welche Herausforderungen bringt eine solche Anwendung mit sich?

Ein Kommentar von Prof. Stefan Brunthaler, Professur für Sichere Software Entwicklung an der Fakultät für Informatik

Die in den Medien oftmals als "Corona App" bezeichnete Anwendung ist aus technischer Perspektive eine sogenannte Contact Tracing Anwendung. Der Sinn und Zweck dieser Anwendung kann dabei bereits aus dem Namen abgeleitet werden, nämlich die automatisierte Nachverfolgung von Kontakten.

Bevor wir uns mit den technischen Möglichkeiten und Problemen, insbesondere der Sicherheit und dem Schutz der Privatsphäre der gesammelten Daten beschäftigen, bedarf es einer Vorbemerkung: Ob Contact Tracing sinnvoll und effektiv ist, hängt nicht notwendigerweise ausschließlich von den technischen Möglichkeiten ab und kann von Fachleuten aus anderen Wissenschaften, beispielsweise der Soziologie, besser beantwortet werden.

Automatische und transparente Sammlung von physischen Kontaktdaten

Nun aber zu den technischen Aspekten. Eine allgemeine Beschreibung der Contact Tracing Funktionalität ist notwendig: Contact Tracing beschreibt die automatische und transparente Sammlung von physischen Kontaktdaten. Oftmals ist dabei die Genauigkeit der gesammelten Daten relativ schlecht, da aufgrund der Sensorik deutlich mehr Individuen identifiziert werden als jene, mit denen man tatsächlich engen Kontakt hatte. Es handelt sich bei den gesammelten Daten daher um eine Annäherung. Diese Näherung ist an sich unproblematisch, da man im Ernstfall besser zu viele Personen von einem potentiellen Infekt benachrichtigen sollte als zu wenige. Der letzte Satz nimmt auch gleichzeitig das Ziel von Contact Tracing vorweg, nämlich die effiziente Vorwarnung von Personen nach positiver Testung einer einzelnen Person. Angenommen, eine Person X wird positiv auf eine infektiöse Krankheit getestet, dann sollen mit Hilfe von gesammelten Kontaktdaten möglichst lückenlos all jene Personen benachrichtigt werden, die mit dieser Person X in „Kontakt“ waren. Konkrete Implementierungen eines Contact Tracing Systems müssen weitere technische Entscheidungen treffen, um die gewünschte Funktionalität zu gewährleisten.

Die Frage nach der Sensorik

Einerseits muss eine Contact Tracing Anwendung entscheiden, welche Sensorik verwendet werden soll. Auf gängigen mobilen Endgeräten (z. B. Smartphones und Smartwatches) kommen dafür folgende Sensoren in Frage: Bluetooth, NFC (near-field communication), Wi-Fi und möglicherweise geographische Positionsdaten via GPS oder Triangulation per Mobilfunkmasten. Jeder dieser Sensoren bietet Vor- und Nachteile und eine Kombination von mehreren Sensoren ist eventuell besser als nur einen Sensor exklusiv zu verwenden. Positionsdaten werden z. B. auch von alten Mobiltelefonen unterstützt, erlauben aber nur eine grobe Annäherung des „Kontakts“ zwischen mehreren Personen. Eine genauere Feststellung ist z. B. durch einen Bluetooth Sensor möglich, da dieser zum einen örtlich beschränkt ist (wie man es z. B. auch von Bluetooth Kopfhörern kennt) und zum anderen von sehr vielen Geräten unterstützt wird.

Andererseits muss eine Contact Tracing Anwendung entscheiden, wie die gesammelten Daten gespeichert werden und wer darauf Zugriff hat. Dieser Umstand birgt einiges an Diskussionsbedarf, da die gesammelten Daten aus Sicht des Schutzes der Privatsphäre als hoch-sensibel einzustufen sind. Ob eine Person X „Kontakt“ zu einer Person Y hat, kann einiges über die Personen X und Y verraten, was weder Person X noch Person Y freiwillig offenlegen möchte. Diese Kontaktdaten können z.B. Aufschluss über sexuelle Orientierung bzw. Präferenzen, politische Ansichten, Einkaufsverhalten, Bildungsniveau und Freizeitaktivitäten geben. Eine Kombination dieser Informationen könnte z. B. auch Rückschlüsse auf die Vermögensverhältnisse erlauben.

Anonymisierte Speicherung und dezentrale Verwaltung

Man könnte mithin viel mehr aus diesen Daten ableiten als das ursprüngliche Ziel von Contact Tracing benötigt, nämlich die einfache und anonyme Benachrichtigung von potenziell infizierten Personen. Daher sollten die Daten möglichst anonymisiert gespeichert, periodisch gelöscht und dezentral verwaltet werden. Anonymisierte Daten erschweren die Analyse der Daten, um einzelne Personen oder -gruppen zu identifizieren (die sog. „De-Anonymisierung“). Das Löschen der gesammelten Daten in konfigurierbaren, periodischen Intervallen, beispielsweise alle zwei Wochen im aktuellen COVID-19 Szenario, verkleinert nicht nur das Fenster der zu benachrichtigenden Personen, sondern verhindert auch das proaktive Sammeln zu vieler, für den eigentlichen Sinn und Zweck von Contact Tracing irrelevanter, Daten. Die zeitliche Einschränkung der gesammelten Daten ist darüber hinaus ein weiteres Hindernis für die „De-Anonymisierung“. Eine dezentrale Verwaltung sorgt dafür, dass keine einzelne Person oder Entität Zugriff auf die sensiblen Kontaktdaten hat und diese beispielsweise über längere Zeit speichert, als unbedingt notwendig. Diese dezentrale Verwaltung ist also von enormer Bedeutung, da nur diese Entscheidung garantiert, dass „unsere“ Kontaktdaten sicher sind sowohl vor digitalen Angreifern als auch vor politischen Entscheidungsträgern jedweder Couleur. Die Demokratie ist in vielen Ländern der Welt bereits stark eingeschränkt, insofern ist die Unabhängigkeit von der Politik in jedem Fall wünschenswert.

Ein derzeit noch wenig beachtetes Problem ist der bisherige Fokus auf nationale Lösungen. Die mangelnde Berücksichtigung dieses Problems könnte zu Inkompatibilität der Mechanismen führen. Zum effizienten Schutz der Freiheit in Europa bedarf es daher supranationaler Systeme, die auch die europäische Bewegungsfreiheit adäquat berücksichtigt.

Die Anwenderzahl ist entscheidend

Die Erfüllung dieser Anforderungen erhöht das Vertrauen in Contact Tracing. Vertrauen, welches von vielen Anwendern vorausgesetzt wird. Contact Tracing ist eine sinnvolle Technologie, die ihr volles Potential aber nur dann entfalten kann, wenn es genügend Anwender gibt. Die Anwender müssen daher davon überzeugt sein, dass der positive Nutzen maximiert und das Missbrauchsrisiko minimiert wird. Werden unsere Daten nach bestem Wissen und Gewissen und unter Berücksichtigung des aktuellen Stands der Technik geschützt, dann kann Contact Tracing eine wertvolle Erweiterung des Portfolios der Schutzmechanismen in Deutschland werden.

Anmerkung des Verfassers: Dieser Kommentar befasst sich nicht spezifisch mit einer speziellen Contact Tracing Anwendung, sondern beschreibt vielmehr allgemeingültige Gedanken und Probleme, die für alle Contact Tracing Anwendungen gelten.


Weitere Informationen zu Prof. Stefan Brunthaler finden Sie unter hier >>


Titelbild: © iStockphoto / fermate