Corona-Kontaktverfolgung und PEPP-PT: "Es zählt mehr als kryptographische Eleganz"
Chris Boos verteidigt im Interview das Tracing-App-Projekt PEPP-PT gegen massive Vorwürfe. Die Pandemie lasse sich per Server-Lösung besser steuern.
Seit einer Woche ist das bisherige Vorzeigeprojekt PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing), das ein Rahmenwerk für eine mobile Anwendung zum Nachverfolgen von Coronavirus-Infektionsketten entwickeln soll, in unruhiges Fahrwasser gekommen. Mehrere internationale Partner haben der Initiative den Rücken gekehrt, nachdem die Referenz auf das dezentrale Protokoll DP3T von der Website verschwand. Dieses System wollen Schweizer Techniker nun in Eigenregie weiterentwickeln und bis Mitte Mai praxisreif machen.
Über 300 Wissenschaftler aus den Bereichen IT-Sicherheit und Datenschutz warnten zudem am Montag, dass im Zuge der Krise nicht ein Werkzeug eingesetzt werden dürfe, mit dem sich im großen Stil sensible Daten der Bevölkerung erheben lassen. Es spreche viel für einen dezentralen Ansatz zur Datenverwaltung, während bei den verbliebenen PEPP-PT-Mitgliedern eine zentrale Serverlösung mit größerem Überwachungspotenzial bevorzugt werde.
Hans-Christian "Chris" Boos ist einer der maßgeblichen Köpfe hinter PEPP-PT und muss daher momentan einiges an Kritik einstecken. Der Mitgründer des Frankfurter Unternehmens Arago, das ein auf Künstlicher Intelligenz basiertes Assistenzsytem vertreibt, sitzt auch im Digitalrat der Bundesregierung und wird daher gern zu Debatten in Berlin rund um die Technik der Zukunft geladen. Im Interview mit heise online lichtet der IT-Unternehmer den Nebel rund um das von Bund und Ländern unterstützte PEPP-PT und die geplante deutsche Corona-Tracing-App – soweit derzeit möglich. Die Fragen stellte Stefan Krempl.
Kontakt-Tracing vs. Corona: Aderlass beim Pilotprojekt PEPP-PT geht weiter
heise online: PEPP-PT ist mit großer Unterstützung gestartet, hat aber zuletzt unter anderem durch Intransparenz und schlechte Kommunikation Vertrauen verspielt. Vom "paneuropäisch" im Projektnamen scheint nicht mehr viel übrig. Was lief falsch, was lässt sich zurückgewinnen?
Hans-Christian Boos: Ich habe die Hoffnung nicht aufgegeben, dass wir doch noch eine europäische Lösung hinbekommen. Früher oder später. Das Virus ist kein nationales Phänomen, deshalb sollten die nationalen App-Lösungen miteinander kommunizieren können. Bedauerlicherweise haben wir als Wissenschafts-Community in den vergangenen Tagen stärker verwirrt, anstatt aufzuklären. Eine öffentliche Debatte zwischen Epidemiologien, Politikern, Datenschützern und Ethikern zu Privatsphäre und Datenschutz müssen wir führen. Öffentliche Streitereien über wissenschaftliche Details, über die sich Wissenschaftler seit 30 Jahren den Kopf einschlagen, helfen niemandem.
Wie reagieren Sie auf die vehemente Kritik von Forschern an PEPP-PT und die massiven Absetzbewegungen in Reihen auch von Gründungsmitgliedern? Ein Orkan oder ein Sturm im Wasserglas?
Der Rückzug ist bedauerlich, die Debatte kontraproduktiv. Damit Sie mich nicht falsch verstehen: Wissenschaftler müssen um den besten Ansatz ringen, nur so werden Algorithmen besser. Aber diesen Vorwurf in diesem Kontext zu erheben, ist absurd. Egal, welche App hier in Deutschland auf PEPP-PT-Technologie auf den Markt kommt: Sie wird datenschutzkonform sein und unsere Privatsphäre schützen. Darüber hinaus haben beide Ansätze ihre Vor- und Nachteile. Bei der Abwägung dieser Vor- und Nachteile dürfen wir einen Aspekt nicht vergessen: Es geht hier um ein Werkzeug zur besseren Pandemie-Bekämpfung, damit wir alle schnellstmöglich wieder ein halbwegs normales Leben führen können. Dafür gilt es mehr Faktoren abzuwägen als kryptographische Eleganz. Diese Abwägung sollten nicht wir als Techies tun. Dafür haben wir keine Legitimation. Das müssen demokratisch gewählte Regierungen tun. Deshalb wollen wir beide Ansätze anbieten.
Ist ein europäischer Corona-App-Flickenteppich, dem die EU-Kommission eigentlich vorbauen wollte, noch zu verhindern?
Das würde ich mir zumindest wünschen. Das war ja von Anfang an unsere Idee: Eine Grund-Architektur zur Verfügung stellen, auf deren Basis länderspezifische Apps gebaut werden können, die interoperabel sind. Dann könnten wir alle auch wieder bedenkenlos reisen.
Es gab von einzelnen Forschern auch heftige persönliche Vorwürfe gegen Sie, die von Scharlatanerie bis zur Betrugsbezichtigung reichten. Was setzen Sie dem entgegen?
Dafür fehlen mir tatsächlich die Worte.
Tracing-App für Deutschland
Wie soll es jetzt konkret weitergehen? Wer genau entwickelt die Tracing-App für Deutschland, auf die Bund und Länder bauen?
Die App wird federführend vom Heinrich-Hetz-Institut der Fraunhofer-Gesellschaft entwickelt. Für die hiesige Anwendung haben sie eine zentrale Server-Lösung vorgeschlagen.
Was spricht dafür trotz des heftigen Gegenwinds?
Dafür bin ich als Techie der falsche Ansprechpartner. Eine App ist immer nur ein Baustein in einem ganzen Strauß an Pandemie-Management-Maßnahmen, über die jedes Land individuell entscheiden sollte. Deshalb muss sich die App sinnvoll einbetten in ein ganzheitliches Pandemie-Management. Deshalb sollte diese Entscheidung bei den nationalen Regierungen und ihren epidemiologischen Beratern liegen. Von Epidemiologen höre ich beispielsweise, dass sich die Pandemie über eine Server-Lösung besser steuern lässt.
Zentrale Ansätze gelten als viel anfälliger für Missbrauch und Datenlecks, zudem muss der Nutzer dem Betreiber wesentlich mehr Vertrauen entgegenbringen.
Zunächst einmal sollten wir festhalten: Beide Ansätze – sowohl zentral als auch dezentral – sind DSGVO-konform. Zugegeben ist der dezentrale Ansatz kryptographisch sicherer. Allerdings reden wir hier über ein Werkzeug zur Bekämpfung der größten Pandemie seit 100 Jahren. Zudem spielt Vertrauen in beiden Modellen eine große Rolle: in beiden Fällen muss ich meinen staatlichen Gesundheitsbehörden vertrauen, über die nämlich die Bestätigung eines positiven Tests läuft. Gleichzeitig muss ich bei einem zentralen Ansatz dem Betreiber des Servers vertrauen und bei einem dezentralen Ansatz dem Hersteller meines Smartphones, auf dem in diesem Modell nämlich die Proximity-Historie gespeichert wird und der Abgleich der IDs stattfindet.
Ein zentraler Server stellt Kritikern zufolge auch einen Single Point of Failure dar: wenn die Datenbank ausfällt oder kompromittiert wird, beeinträchtigt dies das gesamte System.
Kein System würde als einzelner Server aufgesetzt werden. Viel mehr sind die bisher bei PEPP-PT bekannten Architekturen elastische Systeme, die auch über mehrere Ausfallzonen oder Datacenter hinweg betrieben werden können. Das Betriebskonzept muss aber am Ende jedes Land, das einen lokalen Datenpool betreiben will, selbst aufstellen.
Gibt es Druck von Regierungsseite, eine zentrale Plattform im Hintergrund aufzubauen?
Nein, überhaupt nicht.
Apple hat sich dazu entschieden, nur dezentrale Ansätze zum Kontakt-Nachverfolgen zu erlauben. Eine zentrale Lösung könnte so nicht kontinuierlich im Hintergrund auf dem iPhone laufen. Wäre sie auf iOS trotzdem praktikabel, auch wenn der Konzern nicht mitspielt? Wie laufen hier in welcher Atmosphäre die Gespräche?
Dafür gibt es diverse Möglichkeiten. Natürlich wäre die sauberste Lösung über eine API von Google und Apple. Dazu sind wir in guten Gespräche mit beiden Parteien.
Wie ist der aktuelle Zeitplan für die deutsche App, wann wird auch Quellcode veröffentlicht, wie viele Tests sind noch nötig?
Zum Zeitplan für die deutsche App können wir keine Auskunft geben. Den Quellcode werden wir veröffentlichen, sobald er erste Tests durchlaufen hat.
Wie viele Nutzer halten Sie hierzulande für realistisch? Gibt es da ein offizielles Ziel und Lockmöglichkeiten trotz dem immer wieder betonten Aspekt der Freiwilligkeit?
Ich bin davon überzeugt, dass sehr viele Menschen eine App nutzen werden, die unseren europäischen Vorstellungen von Datenschutz und Privatsphäre entspricht. Dafür braucht es keine Zielvorgaben oder Incentivierungen. Die Vorteile für jeden Einzelnen sprechen für sich und die Solidarität füreinander ist hierzulande sehr groß. Das zeigen die letzten Wochen. Allen ist klar: Wir schaffen es nur gemeinsam zurück in ein normales öffentliches Leben.
Schutzmechanismen wie das Tragen einer Maske oder Hindernisse wie Scheiben und Wände lassen sich von Tracing-Apps nicht sehr präzise berücksichtigen. Wird es zu vielen Fehlalarmen kommen, die bald keiner mehr ernst nimmt?
Genau deshalb machen wir zahlreiche Tests, damit das nicht passiert. Die Bundeswehr-Tests im Freien und in Gebäuden haben uns gezeigt, dass die Entfernung zwischen zwei Geräten mit einer Genauigkeit von 90 bis 95 Prozent gemessen werden kann. Auch ob ein Fenster oder eine Wand dazwischen ist, versteht die App. Das ist ein wichtiger Baustein, wenn sie beispielsweise an Schulen denken: Wenn zwei Schüler nur einen Meter voneinander entfernt sitzen, aber in unterschiedlichen Klassenräumen, dann registriert die App eben keinen Kontakt. Insgesamt hat das Heinrich-Hertz-Institut der Fraunhofer-Gesellschaft sehr saubere Ingenieursarbeit abgeliefert. (olb)
