Linus Neumann ist Berater für IT-Sicherheit, Netzaktivist und einer der Sprecher des Chaos Computer Club. Zudem ist er Co-Autor des Podcasts Logbuch:Netzpolitik.
WirtschaftsWoche: Unsere Handys registrieren genau, wo wir sind und was wir tun. Entsprechend groß sind die Hoffnungen, dass sie uns warnen, wenn wir Menschen mit einer Corona-Infektion bedrohlich nahe gekommen sind. Gleichzeitig aber wecken solche Tracing-Apps Sorgen um den Schutz unserer Privatsphäre. Herr Neumann, müssen wir, um die Pandemie einzudämmen, wichtige Bürgerrechte opfern?
Linus Neumann: Nein, gar nicht. Gehen wir mal davon aus, dass sich mithilfe von Handy-Apps die Ausbreitung des Virus bremsen lässt. Dann ist es halt entscheidend, dass die Mittel, die dafür genutzt werden, so wenig in die Privatsphäre der Menschen eingreifen wie möglich. Klar, manche Datensammler hatten da große Wünsche, wenn ich an die Erfassung von Namen, von Bewegungsprofilen oder das Tracking von GPS-Daten denke, die vor ein, zwei Wochen noch diskutiert wurden. Heute sind wir uns in Deutschland einig, dass solche Apps nur Kontaktinfos ohne jeden Ortsbezug nutzen dürfen. Das ist ein großer Fortschritt beim Datenschutz, der am Ende auch dazu beiträgt, die Akzeptanz einer Corona-App deutlich zu steigern. Je mehr Menschen darauf vertrauen, dass keine sensiblen Daten erfasst und womöglich an andere weitergegeben werden können, desto größer ist die Akzeptanz für die App. So gesehen ist persönlicher Datenschutz nicht Hemmnis, sondern Voraussetzung für die Risikoabwehr.
Eigentlich wollten die Entwickler bis Mitte April ein technisches Gerüst für eine Tracing-App schaffen, die alle europäischen Datenschutzanforderungen erfüllt. Das hat nicht geklappt. Stattdessen drängt sich der Eindruck auf, die Verfechter unterschiedlicher technischer Konzepte reiben sich im Streit über den richtigen Weg auf, statt die Technik einsatzreif zu bekommen.
Es gibt tatsächlich zwei Konzepte: Bei beiden sollen unsere Smartphones, wenn die Tracing-App läuft, fortwährend über Bluetooth einen individuellen Code aussenden, der sich in kurzen Abständen ändert. Gleichzeitig protokollieren die Telefone, welche fremden Codes sie wann erhalten haben. Der entscheidende Unterschied liegt darin, was diese System tun, wenn ein Handynutzer meldet, dass er oder sie positiv auf Corona getestet wurde.
Auf der einen Seite steht das Lager, dass diese Information auf einem zentralen Server hinterlegen will.
Genau, bei diesem Modell meldet der Nutzer an einen zentralen Server, welche Codes anderer Geräte sein eigenes Telefon wann empfangen hat. Der Server schickt dann die Warnung an die Personen, deren Handys diese Codes ursprünglich verschickt haben. Der Vorteil dieses Ansatzes: Wenn der zentrale Server beispielsweise beim Robert-Koch-Institut (RKI) stünde, könnten die Epidemiologen dort eine Hochrechnung erstellen, wie sich die Infiziertenzahlen entwickeln. Schließlich erfahren sie so, wie viele Kontakte ein Infizierter in einem bestimmten Zeitraum hatte. Der Nachteil: Es gibt eine zentrale Instanz, die wissen kann, wer wann wen getroffen hat. Und das ist ein erheblicher Eingriff in die Privatsphäre und schwächt das Vertrauen, gerade weil man dem zentralen Server vertrauen muss.
Den gibt es bei dem anderen Modell nicht?
Rein technisch gibt es auch im dezentralen Modell ein zentrale Plattform für den Informationsaustausch. Der entscheidende Unterschied ist, an welcher Stelle der Alarm für die Nutzer ausgelöst wird. Im zentralen Modell macht das die Intelligenz im Server. Im dezentralen Ansatz dagegen passiert das beim Empfänger und der zentrale Verteiler erfährt nichts darüber, wer wen getroffen hat. Meldet ein Nutzer, dass er oder sie infiziert ist, lädt seine App bloß die eigenen Codes auf den Server hoch. Ob die auch irgendwer empfangen hat, weiß und erfährt der Server nicht. Er bietet nur allen anderen Nutzern eine Liste aller als „infiziert“ gemeldeten Codes zum Download an und deren Telefone können dann abgleichen, ob sie diese Codes in der Vergangenheit empfangen haben. Und falls ja, warnt die App ihren Benutzer. Der Vorteil: Außer dem Empfänger erfährt niemand, dass es überhaupt einen Kontakt mit einem Infizierten gab. So schützen wir also seine Privatsphäre. Der Nachteil: Daten über den Verlauf der Infektionen lassen sich auf diese Weise nur schwer an zentraler Stelle erheben. Behörden wie das RKI müssen eventuell weiter im Blindflug mit bis zu zwei Wochen Verzug auf die Daten schauen, um zu erkennen, wie sich die Lage entwickelt.
Bisher sah es so aus, als ob sich in Europa und Deutschland die Anhänger einer zentralen Strategie beim Tracing durchsetzen. In den vergangenen Tagen aber distanzierten sich mehrere beteiligte Forscher vom europäischen Tracing-Projekt Pepp-pt, das den zentralen Ansatz zu favorisieren schien. Setzt sich nun der dezentrale Ansatz durch?
Entscheidender ist, dass sowohl die EU als auch Deutschland nach meinem Eindruck den zentralen Ansatz präferiert haben, weil er eben weitergehende Analysen zur Ausbreitung der Infektionen erlaubt hat. Aber im Grunde ist dieser Streit inzwischen völlig müßig.
Warum das?
Weil sie nicht mehr viel zu entscheiden haben. Apple und Google haben den Disput entschieden, indem sie die technischen Rahmenbedingungen für den Datenaustausch über ihre Betriebssysteme iOS und Android definiert haben, welches der beiden Konzepte sie technisch unterstützen. Und das ist der dezentrale Ansatz.
