FM4-Logo

jetzt live:

Aktueller Musiktitel:

Youtube-Screenshot Stopp Corona App

Youtube-Screenshot Stopp Corona App

Erich Moechel

Österreich als EU-Testlabor für Corona-Apps

In keinem anderen Mitgliedsstaat der Union gibt es derzeit eine nationale Corona-App, deren Entwicklung so weit fortgeschritten ist wie hierzulande. Das Ergebnis des ersten externen Datenschutzaudits der Corona-App ist für Mittwoch zu erwarten.

Von Erich Moechel

Rund um den ersten Höhepunkt der Coronapandemie erreichen auch die EU-weiten Diskussionen über die mögliche Rolle von Apps bei der Bekämpfung einen Höhepunkt. Zuletzt ist das im März ambitioniert gestartete Projekt PEPP-PT der EU-Kommission plötzlich in Turbulenzen geraten, der genaue Grund dafür ist derzeit nicht bekannt.

Es gibt offenbar nur einen EU-Staat, der momentan über eine solche App in Version 1.1. verfügt, die bereits mitten im ersten externen Datenschutzaudit ist. Österreich ist mit der vom Roten Kreuz betriebenen Corona-App somit das erste Testgebiet für den Einsatz von Informationstechnologie gegen moderne Pandemien im gesamten EU-Raum überhaupt. Das Ergebnis des Audits von Epicenter.works, NoYB (Max Schrems) und SBA-Research ist bereits für Mittwoch zu erwarten.

Youtube-Screenshot Stopp Corona App

Youtube-Screenshot Stopp Corona App

Screenshot aus der App des Roten Kreuzes in Österreich. Sie funktioniert auf Android und Apple, auf iPhones allerdings recht mühsam. Die App muss stets im Vordergrund laufen, damit ist das iPhone dauerhaft blockiert, der Akku wird entsprechend strapaziert. Apple lässt aus Sicherheitsgründen bis jetzt keinerlei im Hintergrund ausgeführten Zugriffe und Aktionen durch Apps von Drittanbietern zu.

Thomas Lohninger, Epicenter.works

„Das PEPP-PT-Konsortium fällt leider zunehmend durch Intransparenz auf. Während vor einigen Tagen im Rahmen von PEPP-PT mit dem DP3T-Projekt noch Ansätze verfolgt wurden, die wir für unterstützenswert halten, scheint dies nun aufgegeben worden zu sein“, sagte Thomas Lohninger von Epicenter.works zu ORF.at. „Damit ist völlig unklar, welche Lösungen von PEPP-PT nun verfolgt werden, da keinerlei Spezifikationen oder Quellcode öffentlich gemacht worden sind. Wir stehen dem Projekt damit zunehmend misstrauisch gegenüber.“

Thomas Lohninger

Jean-Frédéric / Wikimedia Commons / CC0 1.0

Thomas Lohninger,Geschäftsführer der NGO Epicenter.works betont, dass dieser Datenschutzaudit der Corona-App in Eigenregie durchgeführt wird: „Wir werden nicht dafür bezahlt. Wir sehen es als unsere Aufgabe, die Bevölkerung möglichst neutral über die technische und rechtliche Situation aufzuklären.“

Der DP3T-Ansatz ist eine dezentrale Lösung, das heißt, die erhobenen Daten werden nirgendwo zentral gespeichert. Bis vor wenigen Tagen war DP3T noch Teil des PEPP-PT-Konsortiums („Privacy-Preserving Proximity Tracing“), doch inzwischen sind alle Informationen über DP3T von der Website des Projekts verschwunden. Offenbar streben wichtige EU-Mitgliedsstaaten mittlerweile eine strikt zentralisierte Speicherung der pseudonymisierten Datensätze an. Eine mögliche Erklärung dafür wäre, dass nun der EU-Ministerrat, also die Regierungen der Mitgliedsstaaten, die Umsetzung des PEPP-PT-Projekts übernommen haben. Dazu passt, dass der Gesundheitssektor unter die Zuständigkeit der Mitgliedsstaaten fällt und die Kommmissions nur koordinierend und berated wirken kann.

Ohne Google und Apple geht nichts

Das Duopol Google und Apple, das über die beiden Betriebssysteme de facto alle Smartphones kontrolliert, hat sich bereits klar für die dezentrale Variante ausgesprochen. Ohne diese beiden Unternehmen wird überhaupt keine Corona-App so wie geplant funktionieren, das trifft auch auf die österreichische Lösung des Roten Kreuzes zu. Das Apple-Betriebssystem lässt aus Sicherheitsgründen derzeit grundsätzlich keine Apps im Hintergrund werken, eine unbekannte Zahl an Hardwareproduzenten hat ebenfalls solche Sicherheitsmechanismen in seine Android-Versionen eingezogen.

Das Projekt PEPP-PT hat bis jetzt anscheinend noch gar keine Software veröffentlicht. Die dezentrale Lösung DP-3T kann zumindest schon mit Alpha-Versionen der einzelnen Tools aufwarten.

„Das von Google und Apple geplante Interface setzt auf den Ansatz einer nur dezentralen Feststellbarkeit von Infektionsketten, den wir grundsätzlich für unterstützenswert halten“, sagte Thomas Lohninger, auch die geplante Kompatibilität zwischen Andoid- und iOS-Geräten sei zu begrüßen. Die von beiden Unternehmen angekündigten, eigenen Corona-Apps lehnen freilich alle Datenschützer aus naheliegenden Gründen ab. Sehr wohl in Frage kämen hingegen Open-Source-Programme, die auf diese erst zu schaffenden Schnittstellen (APIs) aufsetzen, sagte Lohninger. Dazu kann auch die App des Roten Kreuzes gehören, sobald der Quellcode wie angekündigt publiziert ist.

Screenshot aus Dokument

EU Parlament

Das EU-Parlament hat sich - mit Zweidrittelmehrheit - in einem Entschließungsantrag ebenfalls für das dezntzrale Speicherungsmodell entschieden. Zwar handelt es sich bei den Daten „nur“ um sogenannte Handshakes des Kurzstreckenfunks Bluetooth, die zwar pseudonymisiert sind. Technisch lassen sich diese Buetooth-Kennungen aber jederzeit auf die betreffenden Smartphones zurückführen. Bei einem „serverlosen“ Projekt wie DP3T ist derlei de facto unmöglich.

Vorläufiges Fazit

Mit dem ETH Zürich ist am Freitag die erste Technische Universität aus PEPP-PT ausgestiegen, auch die Italienische Wissenschaftsstiftung ISI ist zu DP-3T gewechselt. Weitere sollten folgen. Ansonsten konnte am Ende dieser längeren Recherche keine einzige fertige App in irgendeinem EU-Mitgliedsstaat lokalisiert werden. Dieses vorläufige Ergebnis wird im Rahmen eines Folgeartikels überprüft.

Das kleine, nicht eben als Software-Avantgarde sondern eher als Mozartkugelrepublik berühmte Österreich steht plötzlich als Europameister in Corona-Apps an der Spitze der europäischen Entwicklung. Damit eröffnet sich eine einzigartige Chance, die Sinnhaftigkeit des Einsatzes von Informationstechnologien beim Ausbruch von Pandemien auszutesten. Es ist ja nach wie vor völlig ungeklärt, ob irgendeine dieser Apps auch irgendeinen Mehrwert für europäische Gesundheitssysteme bringt.

Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: