FM4-Logo

jetzt live:

Aktueller Musiktitel:

Karte Europas

CC0

Erich Moechel

Schon zehn EU-Staaten setzen auf dezentrale Coronavirus-Apps

Auch Apple und Google unterstützen das datenschutzfreundliche, weil dezentrale Protokoll DP-3T. Ohne technische Unterstützung in den Betriebssystemen dieser beiden Konzerne kann keine App mit Bluetooth-Tracing brauchbare Ergebnisse liefern.

Von Erich Moechel

Die Entscheidung Österreichs und der Schweiz für eine Coronavirus-App mit dezentraler Datenspeicherung (DP-3T) hat eine Kettenreaktion ausgelöst. Bis Freitag sind bereits zehn EU-Staaten aus dem groß angekündigten „Paneuropäischen Projekt für datenschutzkonformes Personen-Tracing“ (PEPP-PT) ausgestiegen. Die zentralisierte Datensammlung von PEPP-PT lässt nämlich alle Möglichkeiten zum Datamining offen, auch eine Deanonymisierung der Daten ist inkludiert.

Apple und Google, die den Standard DP-3T unterstützen, veröffentlichen derweil laufend neue Spezifikationen für die nötigen App-Schnittstellen in Android und IOS. Ohne Unterstützung dieser beiden Konzerne, deren Betriebssysteme den globalen Smartphone-Markt kontrollieren, kann keine einzige solche Coronavirus-App durch Bluetooth-Tracing brauchbare Ergebnisse liefern.

Text und Grafik

Apple | Google

Die temporären Bluetooth-Identitäten werden laufend auf jedem Smartphone neu generiert, um Stalking unmöglich zu machen. Diese hier „keys“ genannten IDs werden lokal gespeichert. Wird Handybesitzer Bob positiv getestet, dann kann er alle Identitäten, die sein Smartphone empfangen hat, auf den Server einer Gesundheitsbehörde laden. Dort holen die Apps aller anderen Smartphones regelmäßig alle IDs aller Infizierten ab und vergleichen sie mit den IDs, die sie selbst via Bluetooth unterwegs erhalten haben. Das Dokument selbst ist insofern eine Rarität, weil es von den beiden Erzrivalen Apple und Google stammt.

Der aktuelle Stand in Europa

Die Nachricht vom positiv verlaufenen Datenschutzaudit der österreichischen App Ende April wurde in Europa mit einigem Erstaunen aufgenommen. Es ist bis dato die einzige fertige Coronavirus-App.

Bereits als der dritte Staat, nach Österreich und der Schweiz, den Umstieg auf DP-3T verkündet hatte, dürften beim konkurrierenden PEPP-PT-Projekt die Alarmglocken geläutet haben. Dieser Staat war nämlich Estland, das in der EU als digitalisiertes Musterland gehandelt wird. In Folge ging es Schlag auf Schlag, die Niederlande kündigten an, ihre bereits fertig entwickelten Apps zu verwerfen und ganz von vorn mit DP-3T zu beginnen.

Mit Italien und nach heftigen internen Diskussionen auch Deutschland kamen zwei EU-Schwergewichte dazu. Am Freitag schwenkte Irland um, und damit sind es nun schon zehn EU-Staaten, die ihre ursprünglichen Big-Data-Pläne verworfen haben und nun auf eine tatsächlich datenschutzkonforme Lösung setzen. Von den übrigen europäischen Staaten treten derzeit nur noch Frankreich und England offensiv für den zentralistischen Ansatz ein.

Klarstellung zu den Begriffen

Weil in der Medienöffentlichkeit zuletzt die technischen Sachverhalte und Begriffe ziemlich durcheinandergeworfen wurden, hier eine kleine Klarstellung. DP-3T wird keine Coronavirus-App, vielmehr ist das der Oberbegriff für die Protokolle, die beim Bluetooth-Tracing und zur Kommunikation mit einem externen Server zum Einsatz kommen. Google und Apple coden auch keine Coronavirus-App, vielmehr bauen sie Schnittstellen (APIs) in Android und IOS ein, an denen die Apps andocken können.

Text und Grafik

Apple | Google

Auszug aus den Spezifikationen zur Verschlüsselung, hier in zeitlichem Ablauf dargestellt. Auf der Website des gemeinsamen Projekts von Apple und Google finden sich alle bisher erschienenen Spezifikationen.

Zudem werden Zusatzfunktionen in beiden Betriebssystemen eingerichtet, sodass die Apps im Hintergrund laufen können, aber trotzdem ständig Bluetooth-Beacons aussenden. Bei Apple waren aus Sicherheitsgründen (Stalking-Gefahr) solche verdeckte Funktionen für Apps bis jetzt auf Ebene des Betriebssystems überhaupt gesperrt. Am Freitag hatte Google erste Zusatzfunktionen für Android veröffentlicht, die alle angedockten Apps auch nützen können.

Bluetooth-Probleme, die nur Google lösen kann

Um den 20. April hatten die Spannungen im bis dahin gemeinsamen Projekt PEPP-PT zu einem Ausstieg europäischer Universitäten aus der Schweiz, Belgien und Deutschland geführt.

Die allerwichtigste Funktion, nämlich der erfolgreiche Austausch von Bluetooth-Kennungen, auf denen alle Konzepte basieren, war bisher das einzige Kriterium für einen möglichen Nahkontakt mit einer infizierten Person. Eine Messung des Abstands beider Smartphones ist das freilich noch nicht, sondern bestenfalls eine grobe Schätzung. Google hat deshalb die empfangene Signalstärke und die Dauer des Kontakts der Smartphones als zusätzliche Kriterien eingeführt, das macht die Einschätzung schon etwas genauer.

Die Telefone müssen zumindest fünf Minuten in dauerndem Kontakt über Bluetooth gestanden sein, auch das hilft, falsche Treffer weiter zu reduzieren. Die Ausbreitung von Mikrowellenfunk im Bereich von 2,4 GHZ - also Bluetooth - hängt nämlich weitgehend von Faktoren der Umgebung ab. Gibt es da glatte, reflektierende Flächen, kann sich die Reichweite durch Reflexionen sporadisch enorm erhöhen. Wird das Smartphone zum Telefonieren ans Ohr gehalten, steigt ebenfalls die Bluetooth-Reichweite. Ein weiterer Faktor ist dabei die Positionierung der Bluetooth-Antenne, die in das Gehäuse eingelassen ist, denn diese Spiral- bzw. Quadantennen haben eine erhebliche Richtwirkung.

Text und Grafik

Apple | Google

Nach diesem Schema funktioniert das DP-3T-Protokoll. Die EBIDs sind die Bluetooth-IDs, die nicht mit der Identität des Smartphones (IMEI- und IMSI-Nummer) verknüpft sind. Der Backend-Server kommt überhaupt erst bei einer Infektion in den Prozess und erhält nur die EBIDs der Infizierten, nach 14 Tagen werden diese gelöscht. Alle Prozesse spielen sich auf den Smartphones ab.

Am Beispiel einer Zugfahrt

Hier ist ein Beispiel aus dem Alltag. Eine Zugfahrt von einer halben Stunde in einem schwach besetzten Großraumwaggon kann völlig unterschiedliche Ergebnisse bringen. Wer diese Zeit über meistens telefoniert, womöglich noch im Stehen, wird am Ende die Bluetooth-Kennungen ziemlich aller Smartphones im Waggon eingesammelt haben, obwohl nur ein bis zwei Personen tatsächlich in kritische Nähe kamen.

Bleibt das Smartphone in der Jackentasche, sind das nicht nur weit weniger Kontakte. Die Bluetooth-IDS der zwei Personen, die in kritischer Nähe waren, könnten hingegen fehlen. Wenn bei diesen Personen neben dem Smartphone Schlüsselbunde oder sonstige metallische Gegenstände mit in der Jackentasche waren, kann das Bluetooth-Kontakte blocken.

Vorläufiges Fazit und ein Rätsel

Es wird nicht bei diesen zehn Staaten bleiben, das ist jetzt bereits ziemlich klar. Jedwede zentralistische Lösung, vielleicht auch noch mit Verpflichtungen und Zwangsmaßnahmen kombiniert, werden allesamt in zwei Punkten gräulich scheitern. Zum ersten technisch an den Smartphone-Betriebssystemen, da sich Google und Apple nun einmal für eine dezentrale Lösung entschieden haben. Der zweite Faktor sind die Smartphone-Eigentümer, die Informationen über ihre Gesundheit und ihre privaten Wege keiner technischen Lösung anvertrauen werden, die Big-Data-Analysen darüberfährt und das womöglich Privatfirmen durchführen lässt.

Bleibt noch ein Rätsel, nämlich warum sich ausgerechnet eine prototypische „Datenkrake“ wie Google für eine Lösung einsetzt, bei der es für die Konzerne so gut wie keine Metadaten abzustauben gibt. Der Grund dafür kann hier zum jetzigen Zeitpunkt nur angedeutet werden, er hat mit Konzerninteressen und -strategien zu tun, die weit über dem Tagesgeschäft des Datensammelns stehen. Der Ausbruch des Coronavirus hat vieles auf den Kopf gestellt, in dem Fall wurde den Konzernen ganz unvermutet ein Trumpf-Ass gegen die EU-Kommission in die Hand gespielt.

Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: