Streit um Corona-Apps: Missbrauch als Überwachungstechnologie verhindern


Bildmontage: HF

23.04.20
BewegungenBewegungen, Kultur, Soziales, TopNews 

 

Von ROG

Nach wochenlanger Diskussion lässt die deutsche Corona-Tracing-App noch immer auf sich warten. Streit zwischen den Teams, die ein europäisches Grundkonzept entwickeln sollen, kollidierende Konzepte von Tech-Unternehmen und Regierungen und der unklare Kurs von Bundesgesundheitsminister Jens Spahn bringen zunehmende Verwirrung in eine dringend notwendige gesamtgesellschaftliche Debatte über eine Technologie mit hohem Missbrauchspotenzial. Reporter ohne Grenzen sieht die Anonymität von Journalistinnen und Journalisten und deren Quellen im Kontext zunehmender Einschränkungen der Pressefreiheit in der Corona-Krise international gefährdet. 

Dutzende Corona-Apps sind weltweit bereits im Einsatz, einige erleichtern die Rückverfolgung von Kontakten infizierter Personen, andere kontrollieren die Einhaltung eines Quarantänezwangs oder dienen wie in China gleich als Zugangsvoraussetzung für die Teilnahme am öffentlichen Leben. Auch in Deutschland wird seit einigen Wochen über die Einführung einer Tracing-App zur schnellen Identifizierung von Kontaktpersonen Corona-Infizierter diskutiert. Eine pan-europäische Initiative unter Beteiligung von Forschungsinstituten und Unternehmen (PEPP-PT) sollte eine datenschutzfreundliche Variante eines App-Vorbilds aus Singapur liefern – ohne Registrierung von Telefonnummern, weiterhin freiwillig, strikt zweckgebunden und transparent als Open Source Software. Neben dem Chaos Computer Club (CCC) hat auch Reporter ohne Grenzen bereits Anfang April Mindestanforderungen an eine solche App zum Schutz von Anonymität und Privatsphäre formuliert.

Eben jene Transparenz ist dann jedoch zu lange ausgeblieben; zahlreiche prominente Wissenschaftler distanzierten sich vergangene Woche öffentlich von der PEPP-PT-Initiative, für deren Konzept sich die deutsche Bundesregierung nun aller Kritk zum Trotz entschieden haben soll. Es folgte ein offener Brief von fast 300 Wissenschaftlerinnen und Wissenschaftlern, die das besagte Projekt zwar nicht namentlich nannten, spätestens in Pressegesprächen doch aber unverhohlene Kritik genau daran äußerten. In dem offenen Brief sprechen die Fachleute von Lösungen, die per "mission creep", also einer Art Zweckerweiterung per Salamitaktik, zu einer "beispiellosen Überwachung" führen könnten.

"Auch ein vergleichsweise datenschutzfreundliches Tracing von Kontakten stellt eine Technologie mit erheblichem Missbrauchspotenzial dar", sagte Christian Mihr, Geschäftsführer von Reporter ohne Grenzen. "Eine Warnung von hunderten renommierten Expertinnen und Experten muss auch in einer Krisendebatte Gehör finden. Jegliche nachträgliche Zweckerweiterung, die die Anonymität der Nutzerinnen und Nutzer und ihrer Kontakte, insbesondere auch im Kontext der journalistischen Arbeit, in Frage stellt, muss kategorisch ausgeschlossen werden. Diese Software wird internationalen Einsatz finden und darf nicht durch Missbrauch durch autoritäre Staaten zum Exportgut für Überwachungstechnologie werden."

Gegenstand der Bedenken ist die anvisierte Übermittlung von Kontaktdaten der zukünftigen App-Nutzerinnen und -Nutzer an einen zentralen Server, den jeweils nationale Gesundheitsbehörden betreiben würden. Die Sorge: Aus der Verbindung von pseudonymen ID-Informationen der einzelnen Smartphones und dem übersendeten Kontaktnetzwerk einer Person ließe sich eine umfangreiche Übersicht sozialer Interaktion innerhalb einer Gesellschaft ("social graph") auslesen. Digitale Datenbanken und soziale Netzwerke erleichtern inzwischen die Erkennung von Parallelen zwischen solchen pseudonymen Datensätzen und öffentlichen oder schlicht gehackten Informationen. Mindestens für Journalistinnen und Journalisten würde dieses Missbrauchspotenzial zum Ausschlusskriterium, in weniger rechtsstaatlichen Kontexten könnte eine zwangsweise Nutzung der Technologie digitale Überwachung erleichtern. Auch in Rechtsstaaten sind technische Sicherheitsmaßnahmen unbedingt erforderlich, um etwaigen Begehrlichkeiten staatlicher Behörden abseits der Gesundheitsämter entgegenzutreten.

Wie die Wissenschaftlerinnen und Wissenschaftler hat sich auch das EU-Parlament inzwischen für eine dezentrale Lösung ausgesprochen. Deutschland und Frankreich halten dagegen öffentlich an einer zentralen Lösung fest, von der sie sich wohl vor allem Algorithmen-basierte Erkenntnisse z. B. über Erkrankungsrate und Umstände der Virenübertragung (Nähe, Dauer des Kontakts) erhoffen. Noch vor zwei Tagen hieß es, die Bundesregierung prüfe weitere Ansätze, darunter die österreichische "Stop Corona"-App, die derweil bewusst "ent-dezentralisiert wird".

Tatsächlich bergen sowohl zentrale wie auch dezentrale Varianten Risiken; auch in einem dezentralen Modell, in dem nur die IDs Infizierter an einen Server übermittelt werden, wären gezielte Deanonymisierungsangriffe denkbar, ein Zugriff auf das gesamte System aber schwieriger. Reporter ohne Grenzen erläutert mögliche Risiken der verschiedenen Ansätze in dieser ausführlichen Analyse.

Eine Ankündigung der beiden Tech-Giganten Google und Apple schafft derweil möglicherweise längst Realitäten. Die Unternehmen wollen im kommenden Monat eine verbesserte technische Grundlage schaffen, die Apps des dezentralen Modells eine bessere Einbettung in die Betriebssysteme der meisten Smartphones ermöglicht. Langfristig wollen sie die Technologie gleich direkt in ihre Betriebssysteme integrieren. Auf den Protest der französischen Regierung gegen die Entscheidung der Tech-Unternehmen, nur dezentrale Lösungen zu unterstützen, haben Apple und Google bisher wohl nicht reagiert (Mehr zu den Plänen von Apple und Google hier).  Die Betreiber der "Stopp Corona"-App aus Österreich kündigten derweil an, in der Zukunft zu der Lösung von Apple und Google wechseln zu wollen.

Bundesgesundheitsminister Jens Spahn kündigte derweil eine weitere Corona-App an. In einer Pressekonferenz am vergangenen Montag erwähnte er, die Gesundheitsämter mit einer Quarantäne-App unterstützen zu wollen. Diese solle - ebenfalls auf freiwilliger Basis - die Kontrollanrufe durch digitale Kommunikation (wie z.B. das Teilen von Informationen über Symptome oder das Versenden von Selfies zur Bestätigung der Quarantäne-Einhaltung wie in Polen) ersetzen. Genaueres ist bisher nicht bekannt. Es wäre bereits die dritte Corona-App in Deutschland, nach erwähnter Tracing-App und der bereits veröffentlichten und zuletzt vom Chaos Computer Club kritisierten Datenspende-App des Robert-Koch-Instituts.

Die Ankündigung wirft neue Zweifel an der strikten Zweckbindung der Tracing-App in einer Zeit auf, in der zentrale Fragen noch nicht geklärt sind. Darf der durch eine freiwillig installierte App ermittelte "Risikoscore" Menschen in die Quarantäne zwingen, die dann eventuell wiederum elektronisch überwacht wird? Auch Mittel zur Garantie der freiwilligen Nutzung der Tracing-App sind noch nicht bekannt. Bereits in den Anfang April veröffentlichten Mindeststandards warnte Reporter ohne Grenzen vor einer möglichen Zweckerweiterung der App, beispielsweise als Voraussetzung für Aspekte der Teilhabe am öffentlichen Leben. Journalistinnen und Journalisten haben ein besonderes Interesse daran, Informantinnen und Informaten und ihre Quellen zu schützen. Daher sollte die Freiwilligkeit der Installation von Tracing-Apps garantiert sein. Keinesfalls sollten Medienschaffende und Whistleblower im Falle eines Zweifels durch sozialen Druck oder die Befürchtung von Sanktionen zur Installation einer solchen App gedrängt werden.

In der neuerlichen Analyse der nun vorliegenden Konzepte benennt Reporter ohne Grenzen einige Risiken und formuliert einige technische Maßnahmen zur Unterstützung von Zweckbindung und Freiwilligkeit einer Tracing-App.  

Reporter ohne Grenzen fordert

1.    Schutzmaßnahmen, um einen Missbrauch als Überwachungstechnologie zu verhindern:

1.    Die Warnung von hunderten renommierten Expertinnen und Experten ernst zu nehmen.

2.    Maßnahmen, um Missbrauch in autoritären Staaten weitestgehend auszuschließen oder zu minimieren.

3.    Schutz gegen das Auslesen permanenter und temporärer IDs der Tracing-Apps von Telefonen.

4.    Transparente, zeitliche Beschränkung der Integration der Software-Komponenten zu Contact-Tracing in Betriebssystemen.

2.    Die Freiwilligkeit technisch und rechtlich zu unterstützen und einer Normalisierung entgegen zu wirken:

1.    Die Zustimmung der Nutzerinnen und Nutzer sollte in Abständen erneut abgefragt werden. Eine Beendigung der Nutzung und Löschung der Daten muss jederzeit möglich sein.

2.    Keine Verwendung von manipulativen Techniken ("dark patterns") in Benutzeroberflächen der Contact-Tracing-Komponenten.

3.    Eine Gestaltung von Benutzeroberflächen von Tracing-Apps und Tracing-Optionen in Betriebssystemen, die die Freiwilligkeit der Nutzung dieser Komponenten unterstützt.

4.    Eine prominent in die Benutzeroberfläche integrierte Aufklärung über Risiken der Technologie.

RSF-Themenseite Pressefreiheit in der Corona-Krise: www.reporter-ohne-grenzen.de/corona

Mehr zur Lage der Pressefreiheit in Deutschland: www.reporter-ohne-grenzen.de/deutschland

Die Corona-Tracing Konzepte im Überblick.







<< Zurck
Diese Webseite verwendet keine Cookies. Hier erfahrt ihr alles zum Datenschutz