Dr. Berndt Pilgram (Infineon Technologies) und Dr. Stefan Ried (Cloudflight) im Interview über Chancen und Risiken der neuen Anwendung
Die Entwicklung einer Corona-App zur Infektionskettenverfolgung in der Krise ist derzeit in aller Munde. Google und Apple arbeiten daran, in ihre Smartphone-Betriebssysteme Android und iOS eine passende Schnittstelle einzubauen. Im Rahmen der von Cloudflight ins Leben gerufenen Webinar-Reihe “Digital Leader Weekly” hat Jan Mentel, der die wöchentliche Expertenrunde plant und moderiert, das Gespräch mit zwei Experten gesucht. Dr. Berndt Pilgram, Senior Manager Advanced Analytics bei Infineon Technologies, und Dr. Stefan Ried, Principal Analyst und IoT Practice Lead bei Cloudflight, erläutern Chancen und Risiken hinsichtlich Technologie, Verbreitung und Sicherheit.
SR: Grundsätzlich unterscheidet man zwischen drei Typen von Corona-Apps: Der “Tracing-App”, einer Infektionsketten-Verfolgung, der “Datenspende-App”, die Statistiken über den Gesundheitszustand der Menschen – vollkommen anonym – analysiert, und so genannte “Quarantäne-Apps”, die Menschen dabei unterstützt, mit der Quarantäne zurecht zu kommen. Wir konzentrieren uns in diesem Gespräch auf die Tracing-App, weil sie die Infektion am aktivsten vermeidet und datenschutztechnisch am heikelsten ist.
JM: Das klingt so als könnte es für die Nutzer schwierig werden herauszufinden, welche App die Richtige für sie ist. Macht es denn nicht Sinn, alle Funktionen in einer App zu konsolidieren?
SR: Auf den ersten Blick wäre das natürlich bequem. Ich würde es aber gerade nicht empfehlen, denn die drei genannten App-Typen machen sehr unterschiedliche Dinge. Während viele Bürger vollkommen anonym und nicht zurückverfolgbar beispielsweise ihre Körpertemperatur täglich dem Robert Koch Institut “spenden” möchten, würde die fehlende Rückverfolgbarkeit eben dem Sinn einer Tracing-App widersprechen.
BP: Ich kann Stefan nur zustimmen und möchte noch hinzufügen, dass es bei einer Tracing-App sehr wichtig ist, Anonymität und Datensicherheit für die Bürger zu gewährleisten. Die Tracing-App spendet überhaupt keine Daten an zentrale Stellen, was sie extrem sicher macht. Es wird genau nur eine offizielle Tracing-App für jedes Land geben. Für Deutschland ist die offizielle Seite www.coronawarn.app und dort findet man die Links in die App-Stores.
JM: Berndt, Du hast Dir die verschiedenen technischen Ansätze genauer angeschaut, um Infineon darauf vorzubereiten. Kannst Du uns erläutern, was es mit der Terminologie PEPP-PT und DP-3T auf sich hat?
BP: PEPP-PT steht für “Pan-European Privacy-Preserving Proximity Tracing” und ist zur Entwicklung einer europäischen Software-Architektur für Corona-Contact-Tracing-Apps ins Leben gerufen worden. Im Gegensatz zum DP-3T, dem offenen “Decentralised Privacy-Preserving Proximity Tracing” mit dezentraler Datenspeicherung direkt auf dem Smartphone, werden beim PEPP-PT die Tracing-Kontakte zentral gespeichert. Die Architektur der deutschen Corona-App verarbeitet nur Keys bzw. TANs zentral. Die gesamte Tracing- information (mit welchen anderen Personen bzw. Keys man eine räumliche Nähe hatte), liegen nur im Smartphone. Geo-Positionen werden weder benötigt noch gespeichert. (Details siehe: https://github.com/corona-warn-app/cwa-documentation/blob/master/solution_architecture.md#introduction)
JM: Warum kommen diese Standards jetzt erst? Hätte man das nicht vorhersehen können?
SR: Zunächst bin ich sehr froh, dass wir auch im Gesundheitsministerium eine Technik- Diskussion hatten und Bundesgesundheitsminister Jens Spahn die zentralen Ansätze, die anfangs sogar GPS-Tracing namentlich bekannter Personen vorsahen, komplett aufgegeben hat. Das hätte nie eine flächendeckende Akzeptanz gefunden. Leider haben wir viel Zeit verloren. Wir hätten auch schon vor Jahren auf Experten, beispielsweise aus Singapur, nach dem SARS-Virus 2003 oder auf die Bill & Melinda-Gates-Stiftung hören können, die eine weltweite Pandemie als eine der größten Bedrohungen der Menschheit vorhergesagt haben. Dann hätte man die Tracing-App schon lange in der Schublade liegen gehabt. 2012 gab es sogar von der Bundesregierung mit Unterstützung des RKI schon eine Modellrechnung zu einem ausgedachten Modi-SARS-Virus. Leider hatte daraus auch noch niemand eine digitale Konsequenz gezogen. Die ganze Gesellschaft geht hoffentlich aus der Corona-Pandemie mit einem ganz anderen Verständnis für Digitalisierung.
SR: Nein, zum aktuellen Zeitpunkt wird die Corona-App nicht direkt laufen, da Bluetooth-Funktionen im Hintergrund unterdrückt werden. Es wird zunächst ein OS- Update für Android oder iOS benötigt. Die Beta-Version von iOS 13.5 lässt den Umfang der Tracing-Schnittstelle vermuten. Ältere Smartphones, die die jeweils aktuellen Betriebssysteme nicht mehr unterstützen, werden auch die Corona-App nicht mehr ausführen können. Die Betriebssystem-Updates, die Unternehmen bei “managed Smartphones” ja automatisiert erzwingen können, installieren aber nicht automatisch die Corona-App. Das ist ein zweiter Schritt.
JM: Google und Apple geben also neue APIs in ihren Betriebssystemen vor. Wird es dann viele verschiedene Apps zum Tracen geben?
SR: Nein, jeder Nutzer kann pro Land nur einer offiziellen App die Erlaubnis des COVID- Bluetooth-Tracings geben. Die beiden Hersteller gehen davon aus, dass jedes Land genau eine offizielle Tracing-App baut. Die Bundesregierung hat die Entwicklung dieser Corona-Tracing-App an SAP und die Deutsche Telekom vergeben. Diese dezentrale App entsteht gerade in einem großen Open-Source-Projekt (https://github.com/corona-warn-app). Die Telekom, als einer der weltweit größten Abnehmer von Apple und verschiedener Android-Smartphones, hat einen guten Draht zu Google und Apple. SAP hat jedoch hauptsächlich Erfahrung in B2B-Backend-Prozessen und nicht gerade in mobilen Consumer-Apps. SAP hat aber inzwischen erfahrene mobile App-Developer entsprechend agiler Unternehmen einbezogen. Glücklicherweise legt man einen großen Wert auf Usability und Aufklärung im Funktionsablauf, um eine große Akzeptanz zu schaffen.
BP: Bezüglich der mangelnden Usability gebe ich Dir Recht. Österreichs Stopp-Corona-App, die auch das dezentrale DP-3T-Protokoll unterstützt, wird aber laufend weiterentwickelt und verbessert. So wurde inzwischen Version 1.1 veröffentlicht, und es werden zwei weitere Releases erfolgen, in denen dann wichtige Optimierungen eingearbeitet werden. Insbesondere werden dabei die Betriebssystem-Updates von IOS und Android berücksichtigt, die eine sichere Bluetooth-Low-Energy-Datenverbindung für Proximity Tracing garantieren werden. Eigens zu diesem Zwecke, und zwar für Exposure Notifications, definieren Google und Apple zur Zeit gemeinsam eine Schnittstelle (API) in den jeweiligen Betriebssystemen IOS und Android. Dadurch wird die Stopp-Corona-App dann richtig praxistauglich werden und kann dann natürlich auch hinsichtlich Datensicherheit, Anonymität und Datenschutz (GDPR) ohne Bedenken an Mitarbeiter empfohlen werden.
JM: Wird es Enterprise-Versionen der App geben?
SR: Nein, wie heute von Apple und Google vorgesehen, kann ein Nutzer genau eine Corona-Tracing-App ausführen. Das ganze Tracing ergibt auch nur Sinn, wenn alle Menschen in einem Land genau die gleiche App nutzen. Deshalb sollten Unternehmen ihre Möglichkeiten nutzen, auf Corporate Smartphones diese “Consumer” App automatisch zu deployen und ggf. einzuschalten oder zu konfigurieren. Die Tracing-App trägt nur dann erheblich zur Unterbrechung der Infektionsketten im gleichen Maße wie Masken und vorsorgliche Quarantäne bei, wenn die App sich viel schneller als der Virus selbst verbreitet. Im Idealfall hat ein Nutzer die Möglichkeit, seinem Umfeld die App persönlich zu empfehlen. Oder Geschäfte können am Eingang mit einem QR-Code auf die App hinweisen. Nur wenn es eine große Kampagne – vergleichbar mit der Anti-Aids Kampagne der ehemaligen Bundestagspräsidentin Rita Süssmuth in den 90er Jahren – gibt, entsteht ein gesellschaftlicher Imperativ, diese App zu nutzen. Auch das Weiterempfehlen der App über soziale Netze oder andere Proximity Dienste wie Apples Airdrop sollte bald unterstützt werden. Wir gewinnen den Kampf gegen eine zweite Welle nur, wenn sich die App schneller ausbreitet als das Virus.
JM: Ist das Ganze denn auch sicher? Wo seht Ihr die Risiken?
BP: Auch wenn Datensicherheit, Anonymität und Datenschutz für den App-User gewährleistet sind, gibt es natürlich noch andere Aspekte, die eine solche App völlig nutzlos machen könnten. So können Fehlalarme, „False Positives“, den Benutzer einer Tracing-App eine Warnung melden, obwohl es keinen echten Kontakt mit einer infizierten Person gab. Ein anderer Aspekt ist die Möglichkeit eines „False Negatives“, bei dem die Tracing-App einen Kontakt zu einer infizierten Person per Bluetooth nicht identifizieren kann. Ich bin mir aber sicher, dass in beiden Fällen bei entsprechender Datenlage über eine längere Nutzungsdauer eine Optimierung der Bluetooth-Kontakt-Kriterien “Dauer” und “Abstand” erreicht werden kann, um somit „False Positives“ zu verringern und „False Negatives“ zu vermeiden. Zudem ermöglicht uns der Open-Source-Ansatz Einblick in die Implementierung und ggf. Verbesserungen selbst beizutragen. Auch die serverseitige Software ist vollkommen transparent.
JM: Und was kommt nach der Pandemie? Muss man Angst haben, dass dann alle möglichen Apps diese Feature nutzen, um zum Beispiel “location based advertisement” zu betreiben?
SR: Apple und Google versehen jetzt schon jede App in ihren offiziellen App-Stores mit einem Zertifikat. Sie haben sich klar darauf verständigt, dass nur ein offizieller App-Anbieter pro Land einen technischen Zugriff auf die “Corona-API” bekommt. Es liegt also in der Verantwortung der Bundesregierung, als Auftraggeber des Deployment diese App nach der Pandemie wieder einzustellen und damit auch die neue Bluetooth API wieder unbenutzbar zu machen.
JM: Einige Unternehmen aus der Digital Leader Community haben sich bereit erklärt, einen flächendeckenden Einsatz zu evaluieren und ggf. schnell umzusetzen. Sollten Unternehmen jetzt schon mit ihren Arbeitnehmervertretungen sprechen?
SR: Ja, auf jeden Fall. Jeder gewonnene Tag kann Leben retten und hilft Unternehmen, wirtschaftlich zu überleben, indem große Quarantäne-Gruppen unter den Mitarbeitern vermieden werden können. Je nach Unternehmen ist eine Empfehlung oder eine Nutzungsverpflichtung einer Corona-App ein “zustimmungspflichtiges IT-System” oder erfordert eine Betriebsvereinbarung. Um den gesundheitlichen Schutz mit dem Schutz der Privatsphäre in Einklang zu bringen, sollten Unternehmen jetzt schon ihre Arbeitnehmervertretungen über die technischen Hintergründe aufklären und ggf. in den technischen Review einbeziehen. Die offengelegte Architektur-Dokumentation reicht vollkommen für eine betriebliche Abnahme. Man muss nicht auf die App selbst bis Ende Juni warten! Der Rollout der jeweils neuen iOS- und Android-Systeme selbst ist aber keine zustimmungspflichtige Aktion. Dieses Interview leistet hoffentlich auch einen ersten Beitrag, den Prozess in Unternehmen anzuschieben.
Herzlichen Dank an Dr. Berndt Pilgram und Dr. Stefan Ried für die Details und ihre persönlichen Einschätzungen!
Hilfreiche Hintergrundinformationen für Chief Information & Security Officers in Deutschland:
- Offizielle Webseite der Corona- Tracing- App www.coronawarn.app/de/
- Open-Source-Projekt: github.com/corona-warn-app
- Architektur- Dokumentation: https://github.com/corona-warn-app/cwa-documentation/blob/master/solution_architecture.md#mobile-applications
- Grundlagen und internationaler Vergleich: de.wikipedia.org/wiki/COVID-19-App
- Kritische Stimmen: https://www.chip.de/news/Sicherheits-Experte-wettert-gegen-Corona-Apps-Tracing-Apps-gegen-Covid-19-absolut-wertlos_182663501.html
- COVIDSAFE Privacy Impact Assessment (Australia): https://www.health.gov.au/sites/default/files/documents/2020/04/covidsafe-application-privacy-impact-assessment-covidsafe-application-privacy-impact-assessment.pdf
- Technische und rechtliche Analyse der Stopp-Corona-App (Österreich): https://epicenter.works/document/2497