Corona-Warn-App: Mehr als nur Virus-Tracken

Wirtschaftliche Interessen und fragwürdige Aspekte beim Datenschutz. Eine Einschätzung

Mit großem Aha und Applaus wurde die Corona-Warn-App (CWA) am 16.7.2020 in Deutschland eingeführt und entgegen den ursprünglichen und erklärten Hoffnungen und Prophezeiungen, hat die Einführung der Applikation nicht dazu geführt, dass die alte "Normalität" wiederhergestellt wird. Social Distancing und Lockdown-Szenarien bleiben bis auf weiteres und möglicherweise für eine sehr lange Zeit integraler Bestandteil unseres Lebens.

Trotz der relativ niedrigen Akzeptanz der App, knapp 19,8 Millionen Downloads letzte Woche (SZ) - und dies ist nicht gleichbedeutend mit der Nutzung -, und der relativ mageren Anzahl der gemeldeten Infektionen ist, trotz der Kritik ("zahnloser Tiger", Söder) bleibt sie weiter beliebt in Kommentaren und politisch wichtig. Gerade geht es um die europaweite Interoperabiltät.

Es ist offensichtlich, dass die deutsche wie auch andere europäische Regierungen beabsichtigen, an der App festzuhalten, egal wie effektiv sie zur Pandemie-Bekämpfung wirklich beiträgt, und es ist auch nicht auszuschließen, dass Regierungen langfristig eine Nutzung der App effektiv erzwingen könnten, so dass sie für Teile der Bevölkerung zur Pflicht wird.

Da die Corona-App uns für eine lange Zeit begleiten wird, lohnt es sich, ihre Notwendigkeit, Verlässlichkeit und Sicherheit (z.B. vor staatlicher Überwachung) noch einmal zu begutachten. Obwohl es klare Hinweise darauf gab, dass die App nicht so effektiv zur Pandemie-Bekämpfung beiträgt wie versprochen, und die Einführung der App mit den Interessen einiger digitaler Großkonzerne verwoben ist, obwohl Zweifel geäußert wurden, ob sie trotz ihrer "dezentralen" Architektur gegen den Missbrauch durch private oder staatliche Akteure abgesichert ist, gab es zur Einführung der App "den Ritterschlag" vom Chaos Computer Club, wie es das ZDF formulierte. Zwar keine Empfehlung, aber ein Lob.

Unklare medizinische Grundlagen

Anfang Mai 2020, während der ganzen Diskussion um die CWA, erschien eine medizinisch-statistische Studie der Universität Oxford im renommierten Fachmagazin Science, die zwar im Titel scheinbar die Nutzung einer solchen App begünstigt, sich aber im Inhalt (siehe Abschnitt "Discussion") etwas differenzierter über die Effektivität der App äußert:

Eine Übertragung, die, wie wir festgestellt haben, rasch und vor dem Auftreten von Symptomen stattfindet, impliziert, dass die Epidemie höchst unwahrscheinlich allein durch die Isolierung von Individuen mit Symptomen eingedämmt werden kann (...) Wir kalibrierten unsere Schätzung der Gesamtmenge der Übertragung auf der Grundlage der Wachstumsrate der Epidemie, die in China nicht lange nach Beginn der Epidemie beobachtet wurde. Das Wachstum in den westeuropäischen Ländern scheint bisher schneller zu sein, was entweder kürzere Intervalle zwischen der Ansteckung und der Weiterverbreitung von Individuen oder einen höheren R0 impliziert (...)

Wenn dies ein genaues Bild der Virusausbreitung in Europa und kein Artefakt eines frühen Wachstums ist, erscheint eine Epidemie-Bekämpfung mit lediglich einer Fallisolation und Quarantäne der zurückverfolgten Kontakte in dieser Lage, die eine nahezu universelle Anwendung und eine nahezu perfekte Befolgung erfordert, unplausibel. Die App sollte ein Instrument unter vielen allgemeinen präventiven Maßnahmen für die Bevölkerung sein, wie z.B. körperliche Distanzierung, verbesserte Hand- und Atemwegshygiene und regelmäßige Dekontamination.

Luca Ferretti, Chris Wymant, Michelle Kendall et.al.

Bemerkenswert am Befund der Studie ist nicht nur, dass sie der konventionellen Meinung, wonach sich Kontakteinschränkungen durch die App aufheben lassen, widerspricht ("...one tool among many...such as physical distancing…" - "Die App sollte ein Instrument unter vielen wie z.B. körperliche Distanz sein"), sondern dass sie eine der Grundstrategien der Pandemie-Bekämpfung, nämlich generell die Kontaktverfolgung und Quarantäne, nicht als ein Allheilmittel betrachtet.

Zum einen lässt sich daraus schließen, dass die Kontaktverfolgung uns auf lange Sicht hinaus begleiten wird, und zum anderen, dass auch ein politischer Druck da sein wird, die Kontaktverfolgung weiter notfalls auch unfreiwillig auszuweiten mit dem Argument, dass dadurch die Pandemiebekämpfung effektiver wird ("...requiring near-universal app usage and near-perfect compliance...", "was eine nahezu universelle Anwendung und eine nahezu perfekte Befolgung erfordert").

Dass schon sehr früh mit der Arbeit begonnen wurde, Lösungen (Beispiel: siehe Suche nach "Grandcentrix" im Link) für Menschen ohne Smartphone (über 27% in Deutschland) anzubieten, ist ein Schritt in diese Richtung.

Digitalisierung und Corona-App: Ein Grauwal unter den Orcas?

Ebenso wichtig wie die Fragen zur Effektivität der Corona-Warn-App (CWA) sind solche, die sich mit den wirtschaftlichen und staatlichen Interessen, die seine Einführung unterstützen, befassen. In Europa wurde die CWA als Initiative unter der Schirmherrschaft des sogenannten PEPP-PT ("Pan-European Privacy-Preserving Proximity Tracing"), einem Konsortium von beteiligten wissenschaftlichen Institutionen und Unternehmen, dargestellt. Offiziell wird das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) als Institution und Hans-Christian Boos als Person mit Sitz in München als Schirmherr des PEPP-PT aufgeführt. Allerdings scheint seine im Impressum angezeigte Adresse nur eine Postadresse zu sein (Anm. d. A.: bis vor kurzem war der Link www.pepp-pt.org noch aktiv, jetzt nur noch seine Dokumentation und Quellcode-Seite).

Hans-Christian Boos, der auch mal Gastredner bei der berühmten Bilderberg Konferenz war, ist Inhaber des Software-Unternehmens Arago mit einer kolumbianischen Websitedomäne und sitzt auch noch im sehr renommierten Digitalrat der Bundesregierung, wo er an zweiter Stelle nach der Vorsitzenden Katrin Suder aufgeführt wird.

Wie berichtet wird, ist unklar, welche Fähigkeiten das KI-Produkt ("HIRO") seiner Firma hat und wie viel Geld er wirklich damit verdient. Zumindest bis Mai 2020, und seit er im August 2018 von der Kanzlerin in den Digitalrat berufen wurde, war das amerikanische Hedgefond-Investment-Unternehmen, Kohlberg Kravis Roberts & Co. mit über 50% Anteileigner seiner Firma. Im Mai, nachdem ein Ordnungsgeld-Verfahren durch das Bundesamt für Justiz gegen Boos und die Firma Arago u.a. wegen nicht offen gelegter Geschäftszahlen eingeleitet worden war, verkaufte KKR seine Anteile.

Katrin Suder war vor ihrer Berufung zur Vorsitzenden des Digitalrats, Staatsekretärin im Bundesministerium der Verteidigung, berufen durch die damalige Verteidigungsministerin Ursula von der Leyen. Zuvor hatte sie einen Job als Top-Managerin beim amerikanischen Konzern McKinsey, bekannt u.a. für überzogene Beratergehälter und dafür, dass er die amerikanische Regierungsorganisationen und Staatsregierungen für ihre Covid-19-Maßnahmen berät.

Es hat eine eigene Note, dass im Zuge der sogenannten laufenden Berateraffäre, wo es um u.a. (und das ist nur die Spitze des Eisbergs) überzogene Beratergehälter im Verteidigungsministerium geht und um gelöschte Handydaten, Katrin Suder zur Vorsitzenden des Digitalrats und Ursula von der Leyen zur Chefin der EU Kommission ("Von der Leyen entschwand rechtzeitig nach Brüssel") wegbefördert wurden.

Zentralisierung, Dezentralisierung: Sicherheit für wen?

Im Vorfeld zur Einführung der App gab es eine Debatte darüber, ob die CWA zentralisiert oder dezentralisiert umgesetzt werden soll. Manche Akteure innerhalb des Projekts kritisierten den sogenannten "zentralen" Ansatz der Datenverarbeitung der CWA, weil angeblich zu viele wichtige Kontaktdaten in einem zentralen Knoten wegen der weiteren Verteilung an mögliche Infizierte gesammelt werden.

Diese beschlossen wohl im Alleingang Änderungen an den technischen Spezifikationen des Projekts - mit der Begründung, diese würden die CWA sicherer machen, und veröffentlichten diese unter dem Kürzel DP-3T ("Decentralized Privacy-Preserving Proximity Tracing") zunächst als mögliche Variante auf der PEPP-PT-Website. Aber kurze Zeit später wurde dieser Link ohne Absprache entfernt und damit wurde der Streit kenntlich.

Eigentlich ist weder die "dezentralisierte" Version des Apps sicher(er), noch ist sie wirklich dezentral. Wie der kryptographische Forscher Serge Vaudenay ausführlich in einer Veröffentlichung erklärt:

Zurzeit ist es für einen Laien völlig verwirrend, harte Diskussionen über zentralisierte versus dezentralisierte Systeme zu verfolgen, da beide Lösungen normalerweise nur lokale (d.h. dezentrale) Speicherung erfordern und beide Lösungen einen zentralen Server für Alarme benötigen. Es erscheint auch paradox, ein "Kontaktverfolgungssystem" als "die Privatsphäre wahren" zu bezeichnen. Selbst für Experten ist es beunruhigend, eines der beiden Systeme als "privatsphärenschützend" zu qualifizieren, während viele Arbeiten (…) gezeigt haben, dass sie es nicht sind. Dies hinderte Hunderte von akademischen Experten nicht daran, einen Brief zu unterzeichnen, in dem sie urteilten, dass vier (dezentralisierte) Vorschläge als datenschutzfähig eingestuft werden, obwohl sie offensichtlich nicht datenschutzfähig sind. Zu unserer Überraschung loben die Datenschutzexperten nun auch Apple und Google...

Serge Vaudenay

Vielen Forschern und "Experten" ist offenbar auch nicht aufgefallen, dass die App überhaupt nicht sicher gegenüber einer umfassenden staatlichen Überwachung ist. Im Prinzip, wenn staatliche Akteure es möchten, können sie einen kompletten Einblick durch die vom CWA erfassten Kontaktdaten erhalten.

Am deutlichsten erklärt das die technische Dokumentation zur Sicherheit des PEPP-PT im Abschnitt "A7: State-level adversary (rogue state)" selbst. Dort steht explizit, dass der Schutz unserer Kontaktdaten vor staatlichem Eingriff/Einblick nicht gegeben ist oder wie vom Verfasser formuliert: "considered out-of-scope", übersetzt: "wird nicht als inhaltlicher Gegenstand betrachtet", weil staatliche Akteure so etwas nur tun würden wenn: "existing social and legal norms are abrogated and civil stakes are at risk to an extent that goes far beyond" ("bestehende soziale und rechtliche Normen aufgehoben werden und bürgerliche Anrechte in einem ungewöhnlichen Ausmaß gefährdet sind") - als ob wir uns gerade nicht in so einer Situation befinden.

Dass dieser Teil der Erklärung auch im entsprechenden Dokument des D3-PT fehlt, liegt nicht daran, dass dort auch das Problem behoben wurde, sondern weil es einfach ignoriert wurde.

Die grundsätzliche Schwachstelle in der (de)zentralen Sicherheitsarchitektur des CWA liegt nämlich darin (bestätigt auch durch die Enthüllungen von Edward Snowden), dass ein staatlicher Akteur jederzeit nach Belieben und unbemerkt auf die verschlüsselte Datei des CWA, in dem unsere Kontaktdaten auf den Handys gespeichert werden, zugreifen, diese herunterladen und entschlüsseln kann. Denn die Verschlüsselung ist ja vom Bundesamt für Sicherheit in der Informationstechnik vorgegeben und nicht von den Nutzern selbst bestimmt. Somit können die angeblich anonymen IDs den Handys zugeordnet und alle Kontaktinformationen wiederhergestellt werden.

Ein kleines Team aus Programmierern könnte diese Aufgabe im Rahmen eines geheimdienstlichen Projekts mit den entsprechenden Zugriffs"rechten" und der Hilfe von Apple und Google bewältigen. Die Tatsache, dass ein staatlicher Akteur die Entschlüsselung der Kontaktdatei vornehmen kann, wie hier behauptet wird, wird auch im Abschnitt A7 (siehe oben) erwähnt, denn dort steht (im kryptographischem Jargon formuliert): "In jedem Fall betrachten wir einen polynomisch begrenzten (rechnerisch begrenzten) Gegner (d.h., einen, der nicht in der Lage ist, aktuelle kryptographische Schemata zu brechen)."

Das ist ein Hinweis darauf, dass die in der CWA verwendete Kryprographie nur gegen Angreifer geschützt ist, die über begrenzte Rechner-Ressourcen verfügen. Ein staatlicher Akteur könnte die Verschlüsselung brechen.

Zwar wird hier nicht behauptet, dass dieser Eingriff in den CWA-Kontaktdaten aktuell passiert oder je passieren wird, aber wenn in der Öffentlichkeit die Sicherheit des CWA diskutiert, geprüft und abgesegnet wird, dann geschieht dies auch in Bezug auf mögliche oder potenzielle Sicherheitsrisiken. In diesem Sinne ist es fragwürdig, weshalb viele "Experten", besonders aus dem gemeinnützigen Datenschutzumfeld, nie diesen Aspekt des Sicherheitsproblems des CWA erwähnen und behaupten die CWA sei sicher. Für wen denn?