2504424

EFF kritisiert und lobt Covid-19-APIs von Google und Apple

03.05.2020 | 13:21 Uhr | Stephan Wiesend

Die NGO EFF analysiert die von Apple und Google vorgeschlagenen App-Technologien, findet neben Positivem aber auch Kritikpunkte.

Apple und Google dominieren als Entwickler von iOS und Android die Smartphone-Welt, die von ihnen vorgeschlagenen Tracking-APIs könnten bei der BekĂ€mpfung der Corona-Epidemie wohl einen entscheidenden Beitrag leisten. Wie die EFF ( Electronic Frontier Foundation ) jetzt in einem lĂ€ngeren Artikel erlĂ€utert, hat der Ansatz allerdings neben vielen StĂ€rken auch einige Problemfelder. Die technischen HintergrĂŒnde haben wir bereits in einem ausfĂŒhrlichen Artikel vorgestellt , im Prinzip handelt es sich bei dem Konzept um eine auf Bluetooth basierende Tracking-App fĂŒr alle. Im Hintergrund werden alle lĂ€ngeren Kontakte mit anderen Menschen erfasst und per Bluetooth der Kontakt beim anderen Smartphone vermerkt. Erkrankt eine dieser Personen, werden alle Betroffenen per Server automatisch informiert – auch Matching genannt, allerdings hier ein unerfreuliches. BegrĂŒĂŸenswert findet die fĂŒr Grundrechte einstehende NGO etwa, dass dieses Matching nicht auf einem zentralen Server stattfindet. Auf diesem Server wird also – anders als bei den Konzepten PEPP-PT der EU und ROBERT – keine Liste an „VerdĂ€chtigen“ auf dem Server erstellt. Bei der Lösung der beiden Konzerne wĂŒrde nur der Betroffene informiert.

Einige technische Probleme

Bei der Bewertung des Systems ist wohl das erste Problem, dass man bei den APIs komplett auf moderne Smartphones setzt: Viele Ă€ltere Anwender und Geringverdiener besitzen aber gar kein Smartphone oder nur ein altes Handy. Das GerĂ€t muss außerdem aktiv sein, darf etwa nicht ausgeschaltet oder im Flugmodus sein. Nicht ideal findet die NGO außerdem, dass per Bluetooth auch die IntensitĂ€t des Kontakts erkannt werden muss. DafĂŒr sei Bluetooth aber nicht ausgelegt und es gibt viele Quellen, die den Empfang stören könnten. Nur alle fĂŒnf Minuten soll ein Tracking-Signal ausgesandt werden, kĂŒrzere Kontakte werden nicht erkannt.

GrundsĂ€tzlich muss die App außerdem von möglichst vielen Menschen verwendet werden, wozu Apple und Google noch die besten Voraussetzungen hĂ€tten. Allerdings wird die Verbreitung langsam sein und nie komplett.

Die App basiert auf dem Austausch von Identifizerungsdateien.
VergrĂ¶ĂŸern Die App basiert auf dem Austausch von Identifizerungsdateien.

PrivatsphÀre

Ein Problem sieht die auf Schutz der PrivatsphĂ€re bedachte EFF auch in der öffentlichen Verbreitung der sogenannten Diagnose-Keys. Diese an alle Nutzer der App versandten Dateien werden ĂŒber einen zentralen Server veröffentlicht und identifizieren Erkrankte. BefĂŒrchtet wird, Informierte könnten ĂŒber ihre Kontaktdaten ableiten, wer sie angesteckt hat. Die Daten könnten außerdem fĂŒr die Erstellung von Bewegungsprofilen verwendet werden. Anhand der Daten könnte man dann trotz Anonymisierung Erkrankte an ihren typischen Bewegungsprofilen identifizieren – beispielsweise anhand der Route von Wohnort zum Arbeitsplatz. Die alternativen Lösungen wie PEPP-PT der EU und ROBERT von Deutschland werden aber noch kritischer gesehen, da hier ein zentraler Server das sogenannte „Matching“ ĂŒbernimmt. Auch Strafverfolgungsbehörden könnten sich schließlich fĂŒr die gesammelten Daten interessieren, wĂ€ren diese doch sehr nĂŒtzlich um die Kontakte von VerdĂ€chtigen aufzuspĂŒren. Das ist allerdings ein grundsĂ€tzliches Problem aller Ortungs-Apps. Unbekannt ist außerdem die AnfĂ€lligkeit gegen sogenannte „Trolle“, etwa wenn ein böswilliger Hacker Keys Erkrankter auffĂ€ngt und absichtlich an möglichst viele Menschen versendet. Das könnte die Akzeptanz stark beeintrĂ€chtigen.

Problem Entwickler

Da Apple und Google nur die APIs veröffentlicht haben, stehen den Entwickler der entsprechenden Apps viele Freiheiten offen. Das hat auch Nachteile: So könnten Entwickler Funktionen zum Schutz der PrivatsphĂ€re aushebeln, oder die App als Trojaner missbrauchen. Hier können viele Fehler geschehen, etwa dass eine Anmeldepflicht ergĂ€nzt wird, Ads und Analytics integriert werden und der Nutzer so das Vertrauen in die App verliert. Die EFF empfiehlt deshalb, dass Apple und Google bei der Nutzung der APIs mehr Vorgaben machen sollten, etwa wenn es um den Zugriff auf Funktionen geht, mit denen man einen Nutzer identifizieren kann. Was ebenfalls noch fehlt, ist die Planung des Ausstiegs: Nach dem Ende der Pandemie muss es eine Möglichkeit geben, die Überwachung auch wieder zu beenden. Die Gefahr wĂ€re sonst groß, dass die Funktion fĂŒr neue Anwendungen genutzt wird, etwa die BekĂ€mpfung der Grippe-Epidemie oder andere Zwecke. Abschließend sieht die EFF die beiden Konzerne in der Pflicht, auf die PrivatsphĂ€re der Nutzer zu achten. Damit das Konzept funktioniert, mĂŒssen schließlich das Vertrauen der Öffentlichkeit erhalten bleiben.

Unsere Meinung: Eine Organisation wie die EFF, die sich um den Schutz der PrivatsphĂ€re kĂŒmmert, hat es mit Corona-Apps nicht leicht. Das Argument hat aber etwa fĂŒr sich, dass Datenschutz und Schutz vor dem AusspĂ€hen hier kein Selbstzweck sind: Damit die Apps von breiten Kreisen der Bevölkerung akzeptiert werden, sollten sie möglich vertrauenswĂŒrdig sein.

Macwelt Marktplatz

2504424