Alle reden von Clustern – nur die Corona-App nicht

07.11.2020 14:15 Uhr Linus Neumann

(Bild: Alexander Kirch / Shutterstock.com)

Seit die Corona-Warn-App veröffentlicht wurde, haben wir viel über das Virus gelernt. Leider kommt dieses Wissen nicht in der App an, findet Linus Neumann.

Dem Stand der Wissenschaft der ersten Jahreshälfte entsprechend, trifft die Corona-Warn-App ihre Entscheidungen anhand von zwei Kriterien: Abstand und Zeit. Je länger wir uns in der Nähe einer später als infiziert gemeldeten Person aufgehalten haben, und je näher wir ihr gekommen sind, umso wahrscheinlicher erhalten wir eine rote Warnung.

Linus Neumann ist im Bereich der IT-Sicherheit tätig und einer der ehrenamtlichen Sprecher des Chaos Computer Clubs (CCC), der sich mit 10 Prüfsteinen für die Beurteilung von "Contact Tracing"-Apps früh in die Diskussion um digitale Kontakterfassung einmischte. Mitglieder des CCC haben Schwachstellen in mehreren Corona-Apps aufgedeckt, unter anderem in der Corona-Datenspende des RKI und in verschiedenen Corona-Listen für die Gastronomie.

Abstand ist nicht das Maß aller Dinge

Das Problem: Um Energie zu sparen, wird nur in recht großzügigen Intervallen nach Codes "gelauscht" und die Abstandsmessung via Bluetooth ist alles andere als genau. Das könnte eine Erklärung für die vergleichsweise häufigen Hinweise auf "Begegnungen niedrigen Risikos" sein, die viele Nutzerinnen ratlos zurücklassen.

Doch selbst wenn die Abstandsmessung perfekt funktionieren würde, käme sie in unserem Alltag schnell an ihre Grenzen: Ein zweistündiges Meeting mehrerer Personen mit großzügigem Abstand von mindestens 3 Metern in einem schlecht gelüfteten Raum würde – wenn überhaupt – zu Meldungen "geringen Risikos" führen.

Cluster und Kontakt-Tagebuch

Schon Anfang August empfahl Prof. Christian Drosten in seinem Plan für den Herbst [1] das Führen eines Kontakt-Tagebuchs. Er begründete diese Empfehlung nicht etwa mit den Limitationen der Abstandsmessung, sondern mit entscheidenden neuen wissenschaftlichen Erkenntnissen über die Verbreitung des Virus: Die gezielte Eindämmung von Clustern erwies sich als wichtiger und effizienter als das Auffinden von Einzel-Infektionen.

Grund dafür ist wohl der hohe Dispersionsfaktor [2], welcher das Infektionsgeschehen zutreffender beschreibt als die alleinige Betrachtung des Reproduktionsfaktors R [3]. Seither dominieren die Begriffe "Superspreading" und "Cluster" die wissenschaftliche und populäre Auseinandersetzung mit dem Virus: Viele Infizierte stecken kaum jemanden an, einige wenige in geeigneten Situationen sehr viele Menschen. Genau diesem Umstand kann die einfache Abstandsmessung nicht gerecht werden. Das wissen wir seit Monaten.

Die bisherigen Versuche der Cluster-Erfassung scheitern kläglich

Mit Papier und Bleistift versuchen wir in Restaurants und potenziellen Cluster-Events, die Kontaktdaten der Anwesenden zu erfassen. Doch der Versuch scheitert kläglich: Besucherinnen geben keine, falsche oder unleserliche Daten an und im Ernstfall sind die Gesundheitsämter mit der Kontaktierung so vieler Personen überfordert.

Kein Wunder, dass sich eine Reihe von mit der heißen Nadel gestrickten "Lösungen" in Form von Websites und Apps in diesem Feld tummeln. Auch kein Wunder, dass diese der Reihe nach von Sicherheitsforscherinnen im Handumdrehen gehackt werden [4], so zum Beispiel auch von Mitgliedern des Chaos Computer Clubs [5].

Privatsphäre ist nicht das Problem, sondern die Lösung

Die Corona-Warn-App [6] wird zu Recht viel für Ihre Dezentralität und die konsequente Privatsphäre gelobt. Viele erinnern sich an die erbitterte Diskussion um "zentralen" und "dezentralen" Ansatz. Schließlich setzte sich mit DP3T - Decentralized Privacy-Preserving Proximity Tracing [7] der Vorschlag einer internationalen Forschungsgruppe von bekannten Expertinnen für Privatsphäre, Datenschutz und Kryptographie durch. Das Konzept wurde international umgesetzt und in einer beispiellosen Zusammenarbeit von Apple und Google adaptiert.

Nun, da die App an ihre epidemiologischen Grenzen stößt, werden natürlich aus gewöhnlich schlecht informierten Kreisen die Rufe nach Zwangsmethoden und dem Verwerfen der Datenschutz-Prinzipien laut. Diese Forderungen zeugen von einem fundamentalen Unverständnis der Funktion der App, deren einzigen Ziel es ist, Menschen schnell zu informieren – nicht etwa, sie zentral zu erfassen oder zu irgendetwas zu zwingen [8].

Verbessert werden muss also die Erfassung von Risiko-Situationen und die Geschwindigkeit, mit der Meldungen die Nutzerinnen erreichen. Die von Beginn an schwer nachvollziehbare Limitation der App auf den nur einmal täglichen Datenabgleich soll Ende November schnellere Meldungen ermöglichen. Was nun noch fehlt, ist ein dezentraler, datenschutzkompatibler Ansatz zur Cluster-Erfassung.

Dezentrales, anonymes Erfassen von Zusammenkünften

Teile des DP3T-Konsortoiums haben mit CrowdNotifier [9] nun den Grundgedanken auf die Erfassung von Zusammenkünften erweitert.

Das System ist so simpel, wie datensparsam: Wie schon beim Contact Tracing gibt es keine zentrale Datensammlung darüber, wer wen wann wo getroffen hat. Die Information, dass eine Person Teil einer Zusammenkunft war, wird ausschließlich auf ihrem eigenen Gerät gespeichert. Die Alarmierung erfolgt analog zum bisherigen Ansatz der CWA durch Veröffentlichung eines Codes, der für Dritte ohne Information ist.

Alles, was die Mitglieder der Zusammenkunft dafür tun müssen, ist einmalig einen QR-Code scannen. Der Ort wird dabei nicht erfasst. Der gescannte Code wird von der Warn-App nun analog zu dem einer Person lokal gespeichert. Wird dieser Code – wie auch beim Contact Tracing – veröffentlicht, erfolgt die Warnung.

QR-Codes können bei spontanen Treffen oder Meetings generiert werden, oder auch dauerhaft von den Betreiberinnen gastronomischer oder kultureller Einrichtungen genutzt werden. Über einen zweiten, beim Anlegen generierten Schlüssel ist die Alarmierung möglich. Als QR-Code kann dieser potenziell auch allen Teilnehmerinnen der Zusammenkunft zugänglich gemacht werden – was sich bei privaten Zusammenkünften sicherlich empfiehlt, für Restaurants vermutlich weniger.

So einfach könnte es sein. Natürlich hat das ganze Verfahren unter der Haube noch einige kryptografische Tricks, die an dieser Stelle der interessierten Leserin als Lektüre empfohlen werden [10].

Die Bundesregierung setzt andere Prioritäten

Statt der seit Monaten bekannten Notwendigkeit zur Cluster-Erkennung höchste Priorität zu geben, haben bei der Corona-Warn-App offenbar momentan andere Features Vorrang: Weil offenbar viele Nutzerinnen an UI und UX der App scheitern und es Ihnen nicht gelingt, im Falle einer Infektion auch tatsächlich eine Meldung auszulösen, sollen nun Methoden des Nudging Anwendung finden. Es bleibt zu hoffen, dass bei dieser Gelegenheit am Interface selbst gearbeitet wird. Wie bereits erwähnt soll der Abgleich mehrmals täglich geschehen und bei Begegnungen geringen Risikos auch die Zeit angezeigt werden.

Erst Ende Februar, wenn wir den beschwerlichen Winter fast überstanden haben, soll die App dann auch ein "Kontakttagebuch" bekommen. Wie dieses umgesetzt wird, ist bisher noch nicht bekannt. Doch die laut Business Insider geplante Anbindung externer Dienstleistungsangebote [11] zur Erfassung von Restaurantbesuchen schwächt die Hoffnung, dass die Bundesregierung sich hier auf dem richtigen Wege befindet: Externe Dienstleister setzen selten auf Privatsphäre oder dezentrale Erfassung. Zwar hätte das CERT des CCC dann eine neue Beschäftigung [12], aber es wäre wünschenswert, wenn die Bundesregierung dieses eine einzige Mal weiterhin nicht auf die Scharfmacher hören würde, die anlassunabhängig bei jeder Gelegenheit mehr zentralisierte Überwachung, Zwang und Strafen fordern.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Umfragen immer laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung [13].

(bme [14])

URL dieses Artikels:
https://www.heise.de/-4951026

Links in diesem Artikel:
[1] https://www.zeit.de/2020/33/corona-zweite-welle-eindaemmung-massnahmen-christian-drosten/komplettansicht
[2] https://www.ndr.de/nachrichten/info/44-Coronavirus-Update-Die-rote-Murmel-kontrollieren,podcastcoronavirus216.html
[3] https://de.statista.com/statistik/daten/studie/1117478/umfrage/reproduktionszahl-des-coronavirus-covid-19-in-deutschland/
[4] https://www.modzero.com/modlog/archives/2020/07/06/mit_webapps_gegen_covid-19/index.html
[5] https://www.ccc.de/de/updates/2020/digitale-corona-listen
[6] https://www.heise.de/download/product/corona-warn-app
[7] https://github.com/DP-3T/documents
[8] https://www.heise.de/news/Corona-Warn-App-Kontakt-Tagebuch-ja-Restaurant-Check-in-nein-4950947.html
[9] https://github.com/CrowdNotifier/documents
[10] https://github.com/CrowdNotifier/documents/blob/main/CrowdNotifier%20-%20White%20Paper.pdf
[11] https://www.businessinsider.de/politik/deutschland/corona-warn-app-bekommt-updates-das-ist-der-neue-plan-der-bundesregierung-c/
[12] https://www.br.de/nachrichten/deutschland-welt/millionen-datenleck-bei-gastronomie-dienstleister
[13] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[14] mailto:bme@heise.de