PEPP-PT-Projekt: Forscher fordern besseren Datenschutz bei Corona-Warn-Apps

Das von der Bundesregierung unterstützte PEPP-PT-Projekt ist in eine Vertrauenskrise geraten: 300 internationale Wissenschaftler warnen in einem Brandbrief an die Politik davor, dass einige der Lösungen für Kontaktverfolgung-Apps, die derzeit in Entwicklung seien, "schleichend zu Systemen führen könnten, die eine noch nie dagewesene Überwachung der Gesellschaft als Ganzes ermöglichen würden". Systeme, die eine Rekonstruktion des "sozialen Graphen" einer Person erlauben, sollten "ohne weitere Diskussion" abgelehnt werden.

In ihrem am Montag veröffentlichten Schreiben weisen die Forscher auch darauf hin, dass Google und Apple von Befürwortern zentral organisierter Lösungen unter Druck gesetzt wurden, ihre Systeme für umfangreichere Datenerfassungen zu öffnen. Zu den Unterzeichnern der Stellungnahmen gehören zahlreiche Mitglieder wissenschaftlicher Akademien, Fellows von prominenten IT-Verbänden wie Association for Computing Machinery (ACM), Institute of Electrical and Electronics Engineers (IEEE) und International Association for Cryptologic Research (IACR) sowie viele deutsche Wissenschaftler, die im Bereich Computersicherheit oder in angrenzenden Themengebieten arbeiten.

In ihrer gemeinsamen Stellungnahme formulieren die Wissenschaftler vier allgemeine Anforderungen an ein vertrauenswürdiges Contact-Tracing-System: So dürften die Kontaktverfolgungs-Apps ausschließlich eingesetzt werden, um COVID-19 einzudämmen. Das System dürfe nicht in der Lage sein, mehr Daten zu sammeln, als zu diesem Zweck notwendig ist. Außerdem müsse jedes in Betracht kommende System "vollkommen transparent" sein, einschließlich der Protokolle und ihrer Implementierungen sowie der Teilkomponenten. Die Wissenschaftler betonen, dass immer die technische Option gewählt werden müsse, die die Privatsphäre besser schütze. Schließlich müsse die Nutzung der Apps freiwillig sein. Die Systeme sollten nach der aktuellen Krise abgeschaltet werden und die Daten müssten alle gelöscht werden können.

"Fragwürdige Entwicklungen"

Mitinitiator und IT-Sicherheitsforscher Tibor Jager von der Bergischen Universität Wuppertal weist auf "fragwürdige aktuelle Entwicklungen" im Rahmen des PEPP-PT-Projektkonsortiums hin. So hätten sich in den vergangenen Tagen zahlreiche Partner, die Erfahrung im Bereich IT-Sicherheit und Schutz von Privatsphäre in das Projekt einbringen, von PEPP-PT distanziert. Zuvor waren Kontakte auf Arbeitsebene zu den Wissenschaftlern abgebrochen, die an einer dezentralen Architektur unter dem Namen "DP3T (Decentralized Privacy-Preserving Proximity Tracing)" gearbeitet hatten. An einer kurzfristig am Freitag anberaumten Pressekonferenz von PEPP-PT hatten sie nicht mehr teilgenommen. Auf der Konferenz hat Initiator Chris Boos eine weitere Verschiebung der Projektergebnisse bis Ende April angekündigt. Erst am Mittwoch hatten Bund und Länder PEPP-PT offiziell unterstützt.

Zwischenzeitlich sind kurzfristig Dokumente auf Github aufgetaucht, die Zweifel an der Behauptung von Projekt-Koordinator Chris Boos schürten, PEPP-PT werden eine anonyme, keine pseudonyme Nutzung ermöglichen. So sieht ein von PEPP-PT veröffentlichtes Konzept vor, dass ein Server Pseudonyme für das Endgerät wählt. "Die hier beschriebene Lösung behauptet zwar Anonymität zu erreichen, dies ist jedoch nicht der Fall",erklärte Jager gegenüber heise online. "Der Server kann leicht verschiedene Pseudonyme miteinander verknüpfen und so Benutzer 'tracken'." Die behauptete Anonymität basiere auf der Annahme, dass der Server die Pseudonyme eben einfach nicht verknüpfe. "Das ist wesentlich schwächer als das was andere, ähnlich einfache Vorschläge leisten können."

DP3T-Projekt zieht sich zurück

Ninja Marnau vom CISPA Helmholtz Center for Information Security ist mit den Arbeiten am DP3T-Projekt befasst. Sie sagte heise online, dass CISPA sich aus PEPP-PT zurückziehe: "Die am Wochenende bekannt gewordenen Ergebnisse können wir nicht mittragen, weil es sich um einen zentralen Ansatz mit unrealistischen und risikoreichen Vertrauensannahmen handelt. Außerdem ist nicht klar, ob tatsächlich der gesamte Code veröffentlicht werden wird."

Problematisch sei auch gewesen, dass es sich bei PEPP-PT nicht um eine Plattform mit verschiedenen Ausprägungen, sondern lediglich um eine Kommunikationsplattform von verschiedenen Projekten gehandelt habe. Dazu hätten sich nun mehrere Länder bekannt, wobei diese aber sehr unterschiedliche Ansätze verfolgten, die nicht miteinander interoperabel seien. Marnau: "Das hat eine informierte Debatte über unterschiedliche Funktionalitäten und Risiken unmöglich gemacht, zumal die fehlende Kommunikation und Intransparenz auch nach Innen zum Problem wurde." (olb)