Ein Blick hinter die Kulissen meiner Berichterstattung zu Contact Tracing, PEPP-PT und der deutschen Corona-App.

Was ist eigentlich dieses Contact Tracing und wie funktioniert es? Mit dieser Frage fing vor knapp drei Wochen alles an. Nachdem ich das erste mal auf Twitter von PEPP-PT gelesen hatte, nahm ich mir vor, dieser Sache auf den Grund zu gehen. Ich wollte herausfinden, wie Apps zur Eindämmung des SARS-CoV-2-Virus – landläufig auch gerne als “Corona-App” bezeichnet – denn nun funktionieren sollten. Zu diesem Zeitpunkt schien klar, dass eine deutsche App zu diesem Zweck auf dem Contact-Tracing-Ansatz des PEPP-PT-Projektes basieren würde.

Im Grunde automatisieren diese Apps, was Gesundheitsämter hierzulande seit Jahrzehnten machen, wenn es eine ansteckende Krankheit einzudämmen gilt: Sobald jemand positiv getestet wird, versucht man, alle Leute, die mit ihm Kontakt hatten zu finden, zu warnen und gegebenenfalls zu isolieren. Also haben sich ein paar Wissenschaftler und Industrievertreter zusammengetan, um so etwas per Bluetooth-Entfernungsmessung und Smartphone-App zu bauen. Sie nennen ihr Projekt PEPP-PT und werden mittlerweile von der deutschen Regierung unterstützt, denn das Robert-Koch-Institut (RKI) soll im Rahmen ihres Konzeptes eine App entwickeln, die wir dann in Deutschland einsetzen können. Das soll den Lockdown beenden, weil mittlerweile wohl auch die eifrigsten Flatten-The-Curve-Jünger verstanden haben, dass eine neue Great Depression was ziemlich schlimmes ist. Nicht nur für die bösen Großkonzerne. Und überhaupt werden die Bürger langsam unruhig, weil auch der obrigkeitstreuste Deutsche nach mehreren Wochen Home Office am Küchentisch mit Kindern, die ständig in die Videokonferenzen mit dem Chef reinplatzen, den Kaffee auf hat.

Aber wie genau soll diese App technisch gesehen funktionieren? Netterweise spielte mir eine Quelle eine vorläufige technische Beschreibung des PEPP-PT-Konzeptes zu. Nach dem Lesen stellten sich mir mehr Fragen, als durch das Whitepaper beantwortet wurden. Irgendwie machte das alles wenig Sinn. Also hab ich mal bei PEPP-PT angefragt. Und gleich noch beim RKI. Inzwischen hatte sich auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei mir gemeldet. Man arbeite am Pen-Testing und einer Sicherheitseinschätzung der App und könne da mit mir drüber reden. Natürlich hab ich zugesagt und einen Termin vereinbart.

Nun hieß es erst mal ein paar Tage abwarten. Dann trudelten die Antworten ein. PEPP-PT sagte, man wolle auf meine technischen Fragen gerne antworten, habe aber viel zu tun und erbitte sich ein paar Tage. Das RKI sagte, man entwickele die App gar nicht, das sei ein anderes Institut. Und das BSI verschob mein Presse-Gespräch wegen unvorhergesehener Komplikationen. Von PEPP-PT habe ich auf meine technischen Fragen bis heute keine Antwort erhalten. Das BSI hat das Pressegespräch ein paar Tage später komplett abgesagt. Und das RKI hat auf meine Frage, wer denn die Daten der App serverseitig speichere – meinem Verständnis der Rechtslage unter dem Infektionsschutzgesetz (IfSG) nach müsste das auf RKI-Servern passieren – auch nie geantwortet. Das vom RKI benannte zweite Institut, das angeblich diese App entwickelt, hat mir natürlich auch nie geantwortet. Ein absoluter Clusterfuck.

Also hab ich mir gedacht: Na, wenn die bei PEPP-PT (angeblich ein Open-Source-Projekt) so wenig auf die Kette kriegen, dann wird das mit der App eh nichts. Oder sie wird extrem Kacke. Als Apple und Google dann mit ihrem Vorschlag um die Ecke kamen, gemeinsam ein Contact-Tracing-Protokoll in iOS und Android zu verankern, hab ich mich stattdessen auf deren Technik konzentriert. Zumal ich zwischendurch von einer anderen internationalen Forschergemeinde erfahren hatte, einer Gruppe namens DP-3T, die ebenfalls an Contact Tracing arbeitet und sogar relativ zeitnah Quellcode veröffentlicht hatte. Wie das eben auch sein soll bei einem guten Open-Source-Projekt. Und Apples und Googles Technik baute anscheinend auf der Arbeit der DP-3T-Entwickler auf.

Die Entscheidung, mir Apples und Googles Technik statt dem PEPP-PT-Sumpf anzugucken, erwies sich als eine gute. Denn plötzlich zerfiel das PEPP-PT-Projekt in interne Streitigkeiten und externe Beobachter fanden beunruhigende Details über die Hintergründe der Organisation heraus. Es scheint so, als will da jemand die Produkte seines KI-Startups an die Bundesregierung verticken und deswegen die deutsche Corona-App an einen zentralen Server koppeln, der alle Daten abschnorchelt. Nur leider finden so ziemlich alle Forscher, Sicherheitsexperten und Datenschutzprofis, die sich genug mit dem Thema beschäftigt haben, dass dieser Ansatz unnötig und gefährlich ist. Und auch die Europäische Kommission hat sich in einem Entwurf zu Regeln für innereuropäische Corona-Apps ganz klar dagegen ausgesprochen.

Apple und Google speichern alle Daten dezentral auf dem Smartphone des jeweiligen Benutzers und geben sich alle Mühe, dessen Privatsphäre, so weit technisch möglich, zu wahren. Es werden immer nur solche Daten an Server und andere Handys geschickt, die absolut zum Betrieb des Systems nötig sind. Dass der Bundesregierung, den Franzosen und PEPP-PT das nicht gefällt, weil sie gerne Gesundheitsdaten in den Händen der Regierung und zwielichtiger KI-Startups sähen, ist eigentlich egal. Apple und Google werden kaum einlenken. Und sie können sich mit ihrem dezentralen Ansatz auf die Meinung vieler Forscher, Experten und nicht zuletzt vieler Privacy-bewusster europäischer Bürger berufen. Zumal die beiden Smartphone-Hersteller ja ein System entwickeln wollen, was überall auf der Welt akzeptabel ist und maximaler Schutz der Nutzerdaten macht da einfach Sinn.

Und was spricht dagegen, dass das RKI (oder wer auch sonst immer) einfach mit PEPP-PT zusammen eine eigene Contact-Tracing-App baut? Das Bluetooth-Problem. Man kann Bluetooth auf modernen Betriebssystemen nämlich als App nicht einfach nach Belieben ansprechen. Dazu muss man die APIs verwenden, die Apple und Google zur Verfügung stellen. Sonst hat man zum Beispiel auf iOS das Problem, dass man Contact Tracing nur machen kann, wenn die entsprechende App im Vordergrund ist. Und Contact Tracing funktioniert nur dann sinnvoll, wenn das Handy die ganze Zeit Bluetooth-Signale empfängt und sendet. Singapurs TraceTogether-App etwa hatte genau dieses Problem: Die App musste die ganze Zeit im Vordergrund aktiv sein und man durfte die Bildschirmsperre nicht aktivieren. Sonst geht das iPhone in einen Batteriesparmodus und aus ist’s mit dem Tracing. Ich kann mir kaum vorstellen, dass so eine zusammengehackte Schrott-App in Deutschland Chancen hat von den über 60% der Bevölkerung installiert zu werden, die wir laut der Epidemiologen aus Oxford brauchen, damit das Ganze auch nur einigermaßen funktioniert.

In der vergangenen Woche habe ich dann, nach eingehender Beschäftigung mit dem Thema eine Folge meines (englischsprachigen Podcasts) The Private Citizen aufgenommen, die erklärt, wie Contact Tracing im Detail funktioniert. Das war am Mittwoch. Am Dienstag hatte ich bereits ein sehr interessantes Gespräch mit dem Technik-Vor-und-Querdenker Jürgen Geuter aufgenommen, in dem wir das ganze Thema eher philosophisch im Großen Ganzen betrachten und versuchen die Frage zu beantworten, ob solche Apps überhaupt funktionieren können. Dieses Gespräch habe ich dann als Podcast-Folge am Freitag veröffentlicht.

Parallel zur Vorbereitung für den Podcast fing ich an, einen Hintergrundartikel für heise online zu dem Thema zu schreiben. Der hätte ursprünglich zu PEPP-PT sein sollen, aber das hab ich dann aus den oben genannten Gründen umdisponiert. Am Freitag haben Apple und Google dann eine Pressekonferenz gehalten und einige Detailänderungen an ihrem Contact-Tracing-Konzept vorgestellt. Super. Krypto-Teil des Artikels in die Tonne und neu schreiben. Nach tagelangem Recherchieren, Denken, Schreiben und Überarbeiten ist mein Hintergrundartikel schließlich heute morgen bei heise Security erschienen. Allen, die ganz genau wissen wollen, wie Apples und Googles Contact Tracing technisch funktioniert, sei eine Lektüre des Artikels ausdrücklich ans Herz gelegt. Am Ende des Textes gebe ich außerdem eine persönliche Einschätzung ab, was von dem Protokoll und solchen Apps im Allgemeinen zu halten ist. Und ob ich selbst so eine App installieren würde. Ich hatte diesen Teil eigentlich nicht geplant weil ich ihn für irrelevant hielt, aber die Redaktion wollte ihn und nach regem Leserfeedback über den Tag hinweg glaube ich, dass das eine gute Entscheidung war. Leute scheinen auch diesen Teil zu schätzen zu wissen.

Wie man schon an der Länge der Kolumne erkennen kann, welche hier die Ereignisse der letzten paar Tage zusammenfasst, war meine Woche durchaus ereignisreich. Ich kann von Glück reden, dass meine Guzzi nun wieder fahrtüchtig ist, denn ich habe die Woche nur überlebt, weil ich die Freiheit habe, alles stehen und liegen zu lassen, wenn es mir zu viel wird. Dann schmeiße ich mich aufs Bike und fahre so lange in eine Richtung, bis mein Kopf wieder leer ist und ich Kapazitäten habe, neue Dinge zu lernen und zu beschreiben. Und die brauche ich auch, denn ich bleibe natürlich an dem Thema dran. Als erstes werde ich im Podcast wohl ein Update geben müssen, welche Änderungen Apple und Google vorgenommen haben, nachdem ich in der vergangenen Woche ja die erste Version ihres Protokolls beschrieben habe. Und dann schauen wir mal weiter. Das ganze Drama mit PEPP-PT wird sicherlich auch noch mal spannend. Ganz zu schweigen davon, was passiert, wenn wir die Allgemeinheit auf eine offizielle deutsche Corona-App loslassen…