Symbolbild Contact Tracing

Luca und andere Apps — Contact Tracing quo vadis?

Eine englisch-sprachige Version des Artikels findet sich hier.

Wir alle freuen uns sehnlichst auf eine Normalisierung unseres Lebens: Freunde treffen, Familie umarmen, ein kühles Bier, Kultur. Nach über einem Jahr hätten wir das doch jetzt endlich wieder mal richtig verdient! Im Wege stehen uns aber ein Virus und die dagegen ergriffenen Schutzmassnahmen. Alle, die uns ein rasches Ende versprechen, werden als Heilsbringer gefeiert.

Luca: Ein (schlechtes) Beispiel

In Deutschland haben diverse Bundesländer bereits gegen 20 Millionen Euro Steuergelder in die von Musik-Promis “entwickelte”und beworbene App Luca investiert. Auch für die Schweiz wurden Pläne geschmiedet.

Dank der App sollten Gäste eines Events oder Lokals einfach den QR-Code am Eingang scannen. Im Falle einer möglichen Infektion sollte die betroffenen Gäste informiert werden können. Dazu müssen traditionell Kontaktdaten erfasst werden. Das Versprechen von Luca war nun, dass man die Daten nur einmal eingeben müsse und sie das eigene Handy nur sicher verschlüsselt verlassen würden. Nur durch eine gemeinsame Aktion von Gesundheitsamt und Gastgeber oder Gast sollten diese Daten entschlüsselt werden können.

Das Versprechen der App, verschlüsselte, sichere und verantwortungsvolle Datenübermittlung”, ist ja auch wichtig, da bei durchgehender Verwendung der App unser detailliertes Leben offengelegt wird, inklusive der religiösen Stätten, politischen Veranstaltungen, Selbsthilfegruppen oder privaten Etablissements, die wir besuchen. Höchste Privatsphäre umgesetzt durch Datenschutz und IT-Sicherheit ist also angebracht.

Wenige Musiker sind jedoch IT-Sicherheitsexperten. Auch Smudo von den Fantastischen Vier, das Aushängeschild von Luca und zwischendurch als Mitentwickler genannt, macht da keine Ausnahme. Politiker–unterstützt von einigen Datenschützern–sahen eine Möglichkeit, unverhofft zu Punkten. Die Prominenz des Promoters, das leichte Geld und das Superwahljahr in Deutschland trugen das Ihre dazu bei. Der Bund versprach ausserdem, die Kosten der ersten 18 Monate unbesehen zu übernehmen. Wieso sollte man sich dann noch Gedanken über Evaluation oder Ausschreibung machen? Zum Glück nahmen sich einige unentwegte IT-Experten–meist pro bono–die notwendige Zeit zur Analyse.

Das Ergebnis war bereits letzte Woche katastrophal für die Luca-App: Inzwischen weit über 400 Tweets zu Problemen der Luca-App hat Manuel Atug gesammelt; die dort gesammelten Erkenntnisse diverser IT-Experten wurden mit “diletantisch und sinnlos” zusammengefasst. Grosse Fragezeichen wirft auch auf, dass Leute, die sich bei Musik für knallhartes Urheberrecht einsetzen, genau dieses Urheberrecht ignorieren, wenn es um Übernahme von fremdem Programmcode geht.

Ohne die gefährliche Kombination von

  1. eloquentem Promi,
  2. Politikern, die bereit sind, nach jedem Strohhalm zu greifen und
  3. dem eskalierenden Commitment, entstanden durch die Hoffnung, dass man die bereits investierten Multimillionen nicht sinnfrei verlocht sehen wollte,

wäre wohl jedes andere Projekt spätestens jetzt in der Versenkung verschwunden und man hätte still und heimlich Gras drüber wachsen lassen. Geld verdienen will man wohl später wohl auch mit der Erbringung von Dienstleistungen rund ums Ticketing. Und da wäre dann die Anonymität der Nutzer schnell dahin bzw. würde der Gewinnmaximierung im Wege stehen.

In den letzten Tagen hatten die unermüdlichen Experten in ihrer Freizeit aber noch weitere Probleme aufgestöbert, die jedes für sich ein Todesstoss wäre:

  • Marcus Mengs fand heraus, dass die Luca-App dem Server kontinuierlich und nachverfolgbar mitteilt, an welchem Standort der Nutzer sich gerade befindet. Sie ermöglicht dem Serverbetreibern somit, eine personalisierte Besuchsliste zu führen und sie der verwendeten IP-Adresse sowie dem Gerätemodell und wahrscheinlich auch der Mobilfunknummer zuzuordnen. Die App macht – durch grobe Schlamperei oder Absicht – also genau das Gegenteil dessen, was sie verspricht. Datenschutz und Privatsphäre sind für sie Fremdworte.
    Wieso kann etwas so Grundsätzliches eigentlich so schief laufen?
    1. Verschlüsselung ist heute keine Kunst mehr. Die Kunst ist es, dass genau die richtigen Empfänger die Daten entschlüsseln können, das Schlüsselmanagement. Betrachten wir die Türschliessung in einem grossen Bürogebäude: Hunderte Schliesszylinder kaufen und einbauen kann jeder. Aber einen Schliessplan so aufzustellen, dass alle nur genau die für sie vorgesehenen Türen öffnen können ohne dass jeder hundert Schlüssel mit sich herumtragen muss, ist alles andere als trivial, vom Umgang mit verlorenen Schlüsseln ganz zu schweigen.
    2. Daten ≠ Metadaten. Die Kontakt- und Bewegungsdaten, die auf dem Server abgelegt werden, sind verschlüsselt (auch wenn die Freiwilligen auch hier grosse Probleme mit dem Schlüsselmanagement ausgemacht haben). Damit die App des Gastes aber merkt, ob der Checkin beim Gastgeber erfolgreich war, fragt sie dazu alle paar Sekunden beim Server nach. Und dabei fallen eine Unzahl verräterischer Metadaten an. Diesen Prozess hätte man grundlegend anders umsetzen müssen, aber auch hier hat das scheinbar niemanden wirklich interessiert.

Beide Fälle bekräftigen, was die Absenz der notwendigen Design- und Datenschutzdokumente schon vermuten liess: Die App wurde ohne Kenntnisse und ohne dass sich jemand wirklich um Datenschutz und IT-Sicherheit gekümmert hätte, einfach mal rasch zusammengeschustert. Fehlende Technikkenntnisse wurden einfach durch exzellente PR und Connections ausgeglichen.

Neben Luca sind im letzten Jahr viele andere Apps mit ähnlichen Zielen entstanden, viel zu oft, ohne das notwendige Fundament an Privatsphäre oder IT-Sicherheit. Luca steht hier also nicht alleine, zeigt die Kluft zwischen Marketingversprechen und Realität aber unübersehbar. Wie kommen wir aber zu durchdachten und einlösbaren Versprechen?

Aber wir brauchen doch dringend eine Tracing-App!

Von verschiedenen Seiten hört man diese und ähnliche Aussagen, dass Infektionsnachverfolgung also das Contact Tracing, das eigentliche Ziel sei. Und oft wird gesagt, dass wir ohne den doofen Datenschutz die Pandemie schon längst besiegt hätten. Treten wir doch jetzt mal einen Schritt zurück:

Die originären Ziele sind die

  • Gewährleistung der Gesundheit der Bevölkerung,
  • Minimierung der Erkrankungen und
  • das rasche Ende der Pandemie.

Nachgelagerte Ziele sind:

  • Reduktion der Wahrscheinlichkeit für neue Mutationen,
  • Aufrechterhaltung der Funktion des Gesundheitswesens und
  • Minimierung der sozialen und wirtschaftlichen Auswirkungen (nicht notwendigerweise kurzfristig, sondern in Summe über die Zeit).

Diese Ziel werden mit verschiedenen Massnahmen umgesetzt, welche Folgendes erreichen wollen:

  • Vorbeugung von Ansteckungen bzw. Reduktion der Stärke (Impfung)
  • Reduktion von Ansteckungen (Impfung, Testen, Social Distancing/Schliessungen, Frischluft, Hygiene)
  • Reduktion der Verbreitungsgeschwindigkeit (Home Office, Reisereduktion, Contact Tracing)

Contact Tracing war ursprünglich nur für seltene Fälle von schweren Erkrankungen vorgesehen. Zur Bekämpfung von vereinzelten Infektionen ist sie auch notwendig, da hundertprozentiger Schutz nur in Ausnahmefällen zu erreichen ist.

Jetzt machen wir Contact Tracing im Grunde deshalb, weil die anderen Massnahmen sich nicht genügend auswirken bzw. aus Rücksicht auf Wirtschaft und Gesellschaft nur zögerlich umgesetzt werden. Und weil wir noch keine Herdenimmunität aufgebaut haben, insbesondere also, weil das Impfen hierzulande gähnend langsam abläuft.

Die IT als Heilsbringer

Wir haben also viele andere Mechanismen, nur mit deren Umsetzung hapert es.

Die Marketingkampagnen der IT-Startups und Tech-Giganten haben uns jedoch über die letzten 25 Jahre indoktriniert, dass wir mit der Digitalisierung oder heute einer App wie magisch alle Probleme aus der Welt schaffen könnten. Wenn der Rest nicht funktioniert, zaubern wir uns doch einfach eine IT-Lösung.

Oft geht jedoch vergessen, dass wir menschliche Probleme (wie der Bereitschaft zu Social Distancing, Hygiene, Tests und Impfung) niemals mit Technik lösen können. Technik kann bei der Lösung von solchen Problemen höchstens die zwischenmenschlichen Hauptaktivitäten unterstützen.

Treten wir nochmals einen Schritt zurück und versuchen eine Lösung zu bauen.

Wie funktioniert Contact Tracing?

Einen Einblick in die Situation bietet die bereits oben erwähnte Bianca Kastl, die in die Contact-Tracing-IT in einem deutschen Gesundheitsamt involviert ist. Zusammengefasst: Es sind verschiedene Stellen und Systeme zu vernetzen; der Datenaustausch ist schwierig, besonders über geographische Grenzen (Landkreise, Bundesländer) hinaus. Ähnlich dürfte es auch in der Schweiz ablaufen.

Vieles davon ist ein manueller, zeitraubender Prozess. Damit werden Ressourcen gebunden und die Information an potentiell Infizierte erfolgt langsam: Die Infektionskette wird nicht rasch genug unterbrochen. Genau hier setzen die Versprechen der unzähligen Apps an.

Viele Apps verderben den Brei

Ein Hauptproblem ist die Anbindung von Daten an die bestehenden Contact-Tracing-Systeme bei den Kantonen. Diese Information wird meist nicht automatisiert übertragen. Und wenn eine ansteckende Person ihre Aufenthalte in App A erfasst, wird es schwierig, potentiell Angesteckte über die von ihnen benutzten Apps B, C, oder D zu informieren. Also sollte es eigentlich möglichst wenige Apps geben, am besten wäre ein Monopol. Genau das soll in Deutschland mit Luca geschehen.

Wir haben aber bereits eine App, die SwissCovid-App (bzw. in Deutschland die CoronaWarnApp). Sie erkennt andere Smartphones mit installierter App via Bluetooth und versucht Nähe und Dauer des Kontakts abzuschätzen. Die zeitabhängigen anonymen IDs der Infizierten werden regelmässig publiziert und von den Apps regelmässig abgefragt. Wenn diese IDs als “lange in der Nähe” gespeichert wurden, wird der Benutzer informiert. Aus Datenschutzsicht eine ideale Lösung.

Wieso dann noch eine weitere App?

Die Hauptübertragung in der Gesellschaft ist das Einatmen von virushaltigen Partikeln: Tröpfchen und Aerosolen. Aerosole verteilen sich bei mangelhafter Lüftung wie Zigarettenrauch auch in die hinterste Ecke eines grossen Raums und bleiben lange in der Luft, z.T. noch Stunden, nachdem ihr Ausatmer den Raum bereits verlassen hat.

Leider kann eine App nicht von sich aus erkennen, was in der Luft genau passiert und kann deshalb die kritische Nähe oder Dauer nicht abschätzen. Aus diesem Grund macht es Sinn, die Information, dass man sich lange im selben Innenraum aufgehalten habe, unabhängig von der Distanz, ebenfalls zu erfassen. Hier bietet sich beispielsweise ein QR-Code am Eingang an, die Lösung, die nicht nur Luca, sondern viele andere ähnliche Apps wählen.

Wenn aber Luca etc. nicht taugen…?

Von der EPFL, von der auch die sichere und private DP³T-Technologie hinter der SwissCovid-App stammt, wurde auch die ebenfalls anonym funktionierende CrowdNotifier entwickelt. Auf sehr abstraktem Niveau passiert etwas Ähnliches wie bei DP³T, einfach mit dem QR-Code des Raums als “Kontakt”. Eine infizierte Person oder das Contact-Tracing-Team informiert den Besitzer des Raums darüber, in welchem Zeitraum eine Infektion möglich gewesen sein könnte. Dieser hinterlegt diese Information verschlüsselt in der Datenbank, die alle Nutzer regelmässig abfragen. Alle, die im fraglichen Zeitfenster im selben Raum waren, können diese Nachricht entschlüsseln. Niemand sonst erfährt davon.

Mit NotifyMe gibt es eine App, die das CrowdNotifier-Protokoll umsetzt. Im Gegensatz zu Luca und den hunderten von anderen Apps, welche in den letzten Monaten entstanden sind, liegen hinter dem Protokoll und der App solide Überlegungen zu Datenschutz und Datensicherheit.

Damit hätten wir mit NotifyMe (und der nächsten Version der CoronaWarnApp bzw. SwissCovid-App) eine Anwendung, welche als privatshpäreschonende und effiziente Basis für das Erkennen des Aufenthaltes im selben Raum dienen kann.

Was nun?

  • Kontaktnachverfolgung ist nur deshalb nötig, weil wir uns weiterhin gegenseitig infizieren können. Contact Tracing ist prinzipbedingt schwierig und ineffizient, solange die Infektionszahlen hoch sind, aber bei Weitem nicht nutzlos.
  • Viele scheuen die Installation von Apps oder die Nutzung von Tests, weil sie dadurch zu Selbstisolation oder Quarantäne gezwungen werden könnten. Das ist technisch nicht lösbar, gefordert sind hier Arbeit- und Gesetzgeber welche unbürokratische Unterstützung sicherstellen müssen.
  • Die Luca-App ist technisch und datenschutzrechtlich höchst bedenklich; auch das geplante Geschäftsmodell steht mit Privatsphäre auf Kriegsfuss.
  • Die bestehenden nationalen Covid-Apps bieten einen guten Grundschutz. Mittels CrowdNotifier bzw. NotifyMe können wir die Zusatzinformation des Aufenthalts im selben geschlossenen Raum ebenfalls anonym verarbeiten.

Vom Einsatz von Luca ist jedenfalls dringend abzuraten. Mit durchdachten und technisch fundierten Apps wie SwissCovid und NotifyMe stehen datensparsame und sichere Alternativen zur Verfügung.

Teile Diesen Beitrag

Share on twitter
Share on linkedin
Share on facebook
Share on email

3 Kommentare

  1. Based on the English version, your argument seems to be: „Luca is bad, so CrowdNotifier integrated with SwissCovid is good“.
    You show no evidence this alternative setup is actually any good, and especially not by comparison with already deployed and effective systems. You do mention the „sunk-cost fallacy of the already wasted millions,“ but strangely apply it to Luca rather than SwissCovid. As far as I know 0 CHF have been spent on Luca so far, while millions of CHF have cleary been spent on SwissCovid.
    A setup that ties together CrowdNotifier and SwissCovid is the worst of all worlds, and the deepest expression of this fallacy: why would we, because of Bluetooth pseudo-science, tie cantonal health policy on contact tracing to Google/Apple’s decisions?
    Beyond that, there are very subtle design questions of venue tracing apps that EPFL and BAG keep completely obscure for absolutely no good reason. Judging from their past performance, everyone should be clamoring to see *why* they think such tracing would be useful.

  2. I would be happy if there were more evidence, but I find none in your post, while many of my claims have links to sources. Please try to get even on this first, otherwise the discussion is destined to lead nowhere.

    Given the available information, privacy (and IT security in general) clearly appears to not be a core competency of Luca (or worse). This is a clear precondition before accepting anything there.

  3. Did you understand my comment here? It is most definitely not about Luca.

    My point is that you (or BAG or EPFL) offer no evidence of why CrowdNotifier should be deployed, and especially not as integrated to SwissCovid.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.