«Aus epidemiologischer Sicht macht Contact Tracing ohne persönliche Daten Sinn»

Die Sicherheitslücke der Schweizer App Lunchgate auszunutzen, war ein Kinderspiel: Dafür brauchte es lediglich «einschlägige Erfahrungen im Bereich der Addition natürlicher Zahlen», wie die Sicherheitsforscher Sven Fassbender, Joël Gunzenreiner und Thorsten Schröder süffisant schreiben. So konnten sie zahlreiche persönliche Daten fremder Restaurantgäste unbemerkt aus der Web-Applikation herausholen.

Seit diesem «Hack» im Juli 2020 hat diese Art des «Herausholens von Daten» Schule gemacht: Allerlei Apps, die in verschiedensten Formen zur Bekämpfung der Pandemie beitragen sollten, wurden seither gehackt. In Deutschland betraf dies beispielsweise Schnelltestzentren, was dazu führte, dass Testergebnisse zahlreicher Bürgerinnen und Bürger ungeschützt im Internet lagen. Schlagzeilen macht aktuell auch die deutsche Luca-App, die der Kontaktnachverfolgung in Restaurants dient. Expertinnen haben verschiedene Sicherheitslücken gefunden – unter anderem ist es möglich, Bewegungsprofile von Nutzern zu erstellen, und zuletzt demonstrierte der Sicherheitsforscher Marcus Mengs im Mai sogar, wie Angreifer über eine Sicherheitslücke der Luca-App in Gesundheitsämter eindringen und deren Daten klauen und Rechner verschlüsseln können. Das ist von daher bemerkenswert, als dass die Gründer der App drei Wochen zuvor behauptet hatten, dass ein solcher Angriff nicht möglich sei.

_____________

_____________

Daten zentral zu sichern ist schwierig

Ein Hintergrund ist eine gewisse Hemdsärmeligkeit der App-Gründer: diese seien offenbar überfordert mit der Aufgabe, sichere Software zu entwickeln, sagen Kritiker. Aber das Beispiel zeigt noch etwas anderes: wie schwierig es ist, sensible Daten vor den Zugriffen Fremder zu schützen, wenn sie zentral gelagert werden. Das ist bei der Luca-App der Fall – ebenso bei den meisten der Schweizer Lösungen. Liegen viele Daten an einem Ort, dann lohnt es sich für Kriminelle und andere Angreifer, Zeit und Energie zu investieren, um sie zu erbeuten. Da nahezu jede Software irgendwelche Lücken hat, steigt die Wahrscheinlichkeit, dass sie gehackt wird, wenn der Angriff interessant genug ist. 77 führende deutsche Sicherheitsforscherinnen hatten unter anderem aus diesem Grund vor der Luca-App gewarnt und die Politik aufgefordert, für die Kontaktnachverfolgung dezentrale Lösungen zu wählen.

«Sicherheit und Datenschutz sind elementare Voraussetzungen für die Akzeptanz und damit den erhofften Nutzen eines solchen Systems», schreiben die Forscherinnen in ihrem offenen Brief. Unter den Lösungen, die sie empfehlen, befindet sich auch eine aus der Schweiz: die App Notify-Me, mittels der Nutzerinnen in Restaurants einchecken können und die diese dann anonym warnt, wenn sie zur gleichen Zeit mit einem später positiv getesteten Besucher dort waren. Dabei werden die Daten nicht zentral erhoben, sondern nur auf den Smartphones der Besucherinnen und Besucher gespeichert. Diese App könnte in die Swiss Covid App integriert werden.

Fehlt es am politischen Willen?

Wieso wird diese Lösung in der Schweiz nicht eingesetzt? Ein Grund ist: Aktuell erfüllt sie nicht die gesetzlichen Anforderungen, die vorschreiben, dass Gastwirte persönliche Daten der Besuchenden aufnehmen müssen. Dass dies in der Verordnung verlangt werde, sei womöglich aus Unwissenheit geschehen, vermutet Macel Salathé, Professor für Epidemiologie an der EPFL Lausanne und Leiter des dortigen Digital Epidemiology Lab, der auch die Swiss Covid App mitentwickelt hat. In den ersten Monaten der Pandemie sei vieles unklar gewesen. «Man wollte das Contact Tracing gut machen und hat das ins Gesetz geschrieben, aber erst später wurde vielen bewusst, welche Konsequenzen das für die Privatsphäre hat. Man wusste damals noch nicht, dass Contact Tracing auch ohne Personendaten geht.» Das habe der Forscher sowohl in persönlichen Gesprächen sowie aus einzelnen Äusserungen auf Twitter gehört. Er mache niemandem einen Vorwurf, dass es nun so im Gesetz stehe. «Man hat damals schnell reagieren müssen, doch jetzt sollte man es schnell anpassen», sagt er, «ich könnte mir gut vorstellen, dass der politische Wille dafür da ist. Aus epidemiologischer Sicht macht Contact Tracing ohne persönliche Daten jedenfalls Sinn.»

ITU/D.Woldu

Marcel Salathé im Jahr 2018. (CC BY 2.0)

Daran arbeitet der Grüne Nationalrat und Unternehmer Gerhard Andrey schon seit einigen Monaten – aber einfach ist es nicht, stöhnt er. «Die Swiss Covid App ist ein international anerkanntes Meisterstück», sagt er, und die entsprechende Erweiterung, die ein Check-In in Restaurants ermöglicht, sei technisch fertig, «man könnte das einfach ausrollen.» Schon im Mai habe sich die Kommission für soziale Sicherheit und Gesundheit des Nationalrates darauf geeinigt, dass ein Contact Tracing auf diesem Weg die beste Lösung wäre, und den Bundesrat gebeten, das in einer entsprechenden Verordnung zu regeln. Doch irgendwo muss dieser politische Prozess stecken geblieben sein – jedenfalls gilt nach wie vor die Vorgabe, dass Wirte persönliche Daten erheben müssen.

Die Bundesverordnung schreibt zudem vor, dass die Daten im Infektionsfall «umgehend in elektronischer Form» zur Verfügung gestellt werden müssten – ein Fakt, der dazu führte, dass viele Gaststätten das auslagerten. So entstand der bemängelte Wildwuchs an Apps, die ihre Dienste anbieten – oft auf der Basis fragwürdiger Sicherheit und teilweise, ohne die Daten nach der vorgeschriebenen Zeit von 14 Tagen zuverlässig zu löschen.

Die Berner Lösung als Überwachungs-Alptraum?

Aus dieser Misere hat der Kanton Bern nun eine radikale Konsequenz gezogen: Dort müssen die Daten von Restaurantbesuchern nun direkt an die Kantonsbehörde gegeben werden, wo sie verschlüsselt zentral gelagert werden. Es gab einen gewissen öffentlichen Aufschrei – und in der Tat: die zentrale Speicherung aller Daten aller Restaurantbesucher bei einer Behörde klingt wie ein Überwachungs-Alptraum. Doch wer länger mit dem zuständigen Datenschützer Ueli Buri spricht, kann zu dem überraschenden Schluss kommen, dass das zumindest sicherer und datenschutzfreundlicher ist als viele der Lösungen, die aktuell in der Schweiz auf dem Markt sind. Denn die privatbetriebenen Kontaktnachverfolgungs-Apps speichern Daten nicht nur zentral, sondern gehen teilweise zudem fahrlässig mit der Sicherheit der Daten um.

Als der Kanton mit seinem Anliegen zu ihm gekommen sei, habe die Datenschutzbehörde verschiedene Empfehlungen ausgesprochen, berichtet Buri: neben einer gesetzlichen Grundlage, also eine geänderte Verordnung zur Bekämpfung der Covid-19 Pandemie – gegen die bereits ein Verfahren vor dem Bundesgericht anhängig ist – musste unter anderem klar geregelt sein, dass die Daten zu keinem anderen Zweck benutzt werden. «Ich will nicht ausschliessen, dass solche Daten auf Seiten der Behörden gewisse Gelüste wecken», sagt Buri – doch dem sei nun rechtlich ein Riegel vorgeschoben: Die erhobenen Daten dürfen nur für die Nachverfolgung von Kontakten im Rahmen der Pandemie verwendet werden, nicht für anderweitige behördliche Ermittlungen. Die Daten dürfen überhaupt nur in einem gesundheitsrelevanten Fall entschlüsselt werden – und das war die vielleicht wichtigste Forderung der Berner Datenschützer: es müsste geeignete technische Massnahmen geben, die sicherstellen, dass sich auch an die Vorgabe gehalten und die Daten nicht anderweitig verwendet werden. «Das Versprechen allein reichte uns nicht aus», sagt Buri.

Zugriff der Behörden auf zentrale Datenbank einer App

Praktisch sieht die Lösung nun folgendermassen aus: Der Datensatz eines Restaurantbesuchers wird verschlüsselt und zusammen mit der unverschlüsselten Angabe von Zeit und Ort beim Kanton Bern hinterlegt. Um sie zu entschlüsseln braucht es eine spezielle Fachapplikation beim Kantonarzt-Amt, und die dortige Suchmaske ist beschränkt auf Zeit und Ort. Denn das ist es ja, wonach ein Contact Tracer suchen muss, wenn er wissen will, wer zur gleichen Zeit in einem Restaurant war wie ein Infizierter. Zudem muss zusätzlich eine medizinische Fachperson die Suche freigeben. «Und das wird protokolliert und kann überprüft werden», betont Buri.

«Damit scheint uns das zusätzliche Risiko durch die Verlagerung zum Staat gebannt», argumentiert der Datenschützer. Ihm erscheint es sogar besser als zuvor, da die Zweckbindung nun gewissermassen auch technisch geregelt sei. «Wir finden, dass die Daten so besser aufgehoben sind.» Wenn er hingegen anschaut, welche Art von Apps und Versprechen von Anbietern es auf dem Markt gibt, weckt das grosse Sorgen in ihm. «Uns wurde Software angeboten, die nicht nur Gästedaten sammelt, sondern auch auswertet», sagt er. So hätten Anbieter angeboten, auf Grundlage der persönlichen Daten Risikopotentiale für künftige Hotspots zu berechnen und so genannte Superspreader zu identifizieren. «Solche Dinge wollen wir gar nicht können», sagt Buri.

Andere Kantone hingegen haben sich bereits auf einzelne Anbieter und durchaus problematische Praktiken festgelegt: so nutzen die Kantone Waadt und Wallis die App «SocialPass». Die dortigen Gesundheitsbehörden konnten direkt auf die zentrale Datenbank der App-Betreiber zugreifen. Das sei nicht verhältnismässig, kritisierte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte. Damit sei es ihnen möglich, «nahezu beliebige personenbezogene Abfragen» zu stellen. Weil diese Abfragemöglichkeiten rechtlich und technisch nicht eingegrenzt seien, verstosse das gegen das Verhältnismässigkeitsprinzip. «Was ist jetzt besser», fragt der Berner Datenschutzbeauftragte Buri, «Wildwuchs oder diese saubere Lösung aus Bern?»

Technische Hürden gegen Missbrauch von Daten

Das Gelbe vom Ei ist es freilich dennoch nicht. Wenn die zentrale Speicherung von massenhaft Daten von Bürgerinnen und Bürgern auf Verdacht noch das weniger schlimme Szenario ist, ist klar, dass wir uns hier in einem Dilemma befinden. Nicht umsonst haben die 77 deutschen Sicherheitsexperten vor einer zentralen Datenspeicherung gewarnt, da diese schwer zu sichern ist. Auch bei der Berner Lösung ist schliesslich Vertrauen nötig: es braucht zwar zwei Personen, die Daten freigeben und das Ganze wird protokolliert – aber wenn die entsprechenden Personen gemeinsam handeln, lässt sich ein entsprechender Eingriff vermutlich vertuschen. Besser wäre eine technische Hürde, die einen Missbrauch der Daten unmöglich macht.

team higgs | higgs

Die SwissCovid-App könnte auch zum anonymen Check-In in Bars verwendet werden.

Und hier kommt wieder die Swiss Covid App ins Spiel, denn diese hat eine solche Hürde.
Sie kann durch ein entsprechendes Protokoll erweitert werden, um so auch das Einchecken in Restaurants und bei Events zu ermöglichen. «Wir haben schon im vergangenen Jahr überlegt, wie man Contact Tracing bei Events lösen kann, und deshalb das Protokoll Crowd Notifier entwickelt», sagt Marcel Salathé. Und das Konzept, das die EPFL unter anderem bereits intern nutzt, habe sich bewährt. «Niemand erfährt, wer, wann, wo gewesen ist, aber die Nutzer werden schnell gewarnt.» Das Konzept ist wie bei der Swiss Covid App eine anonyme und dezentrale Warnung. Während die Covid-App bisher lediglich grob den Abstand zwischen Personen misst – genaugenommen die Stärke von Bluetooth-Signalen zwischen deren Handys – lässt die Erweiterung es auch zu, dass Nutzer sich an Orten wie Restaurants registrieren. Denn wie die epidemiologische Erkenntnis zeigt, spielt es nicht nur eine Rolle, wie nah man einer Person kommt, sondern auch, ob man eine Zeitlang die gleiche Raumluft teilt – selbst wenn man einander nie besonders nahekommt.

Jedoch gibt es gegenüber der Covid-App immer wieder Bedenken, dass eine anonyme Warnung nicht so gut funktioniere, wie die persönliche Warnung durch einen Contact Tracer. Schliesslich können entsprechende Massnahmen wie eine Quarantäne nicht durchgesetzt werden – es funktioniert nur, wenn die Menschen freiwillig vernünftig reagieren. Doch eine aktuelle Studie der Universität Oxford, die im Fachmagazin Nature erschienen ist und einen ähnlichen Ansatz in Grossbritannien auswertet, zeigt jetzt, dass dieses Konzept durchaus funktioniert. «Wenn die Leute mal informiert sind, dann halten sie sich auch sehr gut an die empfohlenen Massnahmen», sagt Salathé – also etwa, ihre Kontakte zu reduzieren oder sich zeitnah testen zu lassen im Falle einer Warnmeldung per App.

Anonyme Kontaktnachverfolgung funktioniert gut

Die Studienautoren um Chris Wymant von der Universität Oxford evaluierten die dortige NHS-Covid-App in den drei Monaten nach ihrer Markteinführung in England und Wales von Oktober bis Dezember 2020. In dieser Zeit wurde die App von 16,5 Millionen Menschen aktiv genutzt. 1,7 Millionen App-Nutzer wurden durch die App kontaktiert und vor Risikokontakten gewarnt. Durchschnittlich wurden 4,4 Kontakte pro positivem Nutzer benachrichtigt. Die Forscher untersuchten, welcher Anteil der Personen, die von der App kontaktiert wurden, später Symptome entwickelte und positiv getestet wurde und verglichen diese mit Zahlen aus der manuellen Kontaktverfolgung. Die App hatte eine ähnliche Genauigkeit wie die manuelle Nachverfolgung von Kontakten, erreichte aber mehr Kontakte pro Person.

Und auch wenn sich nicht alle an die Isolation halten, so zeigte sich doch, dass viele der gewarnten Menschen ihre Kontaktrate drastisch reduzierten. Die Forscher modellierten auf Basis der Anzahl der Warnmeldungen, der Rate der darauf folgenden Infektionen und der Einhaltung der Selbstisolierung die voraussichtliche Anzahl der vermiedenen Fälle von Oktober bis Dezember und schätzten, dass die App knapp 600 000 von rund zwei Millionen Fällen abwenden konnte. Die Kontaktverfolgung mit der App reduzierte die zweite Welle also um ein Viertel.

Swiss Covid App als sichere und wirksame Lösung

«Die Studie zeigt, dass solche Systeme wie die Swiss Covid App sehr effizient sind», sagt Salathé. Dass diese auf Freiwilligkeit und Anonymität beruhe, steigere zudem die Akzeptanz. Aus seiner Sicht ist es nicht nötig, personenbezogene Kontaktdaten in Restaurants oder bei Events zu erheben. «In der jetzigen Phase der Pandemie erscheint mir diese Methode ausreichend in Zusammenhang mit proximity tracing, was die App ja schon kann.» Die App misst indirekt über die Stärke des Bluetooth-Signals die Nähe zweier Personen zueinander. Gut wäre natürlich, wenn noch mehr Menschen die App nutzen würden. Hier sieht Salathé vor allem ein Versäumnis in der Kommunikation. Denn nachdem die Schweiz im Mai 2020 international Beachtung fand als erstes Land, das auf jenes dezentrale Protokoll gesetzt hat, wird die Schweizer App heute von einigen Politikern stiefmütterlich behandelt. «Ich habe den Eindruck, diese App wird toleriert, aber sie wird wie ein Fremdkörper behandelt», sagt Salathé. Und auch die teils schlechte Ausstattung der Gesundheitsämter, die anfangs nicht hinterherkamen, um die Codes auszustellen, die es braucht, um ein positives Testergebnis in die App zu laden, sieht Salathé als Problem.

Um die Wirksamkeit der App im Detail nachzuvollziehen, fehle es allerdings an Daten, da getestete Personen nicht gefragt würden, ob sie die App nutzten. «Aber dank der Daten aus Grossbritannien wissen wir ja jetzt, wie gut so ein Konzept funktioniert.» Salathé würde sich wünschen, dass die Politik ebenso wie das BAG diese mehr bewerben. «Jedes zusätzliche Prozent an Nutzern bringt etwas, wie die Studie zeigt.» Aktuell nutzen die App rund 1,7 Millionen Menschen regelmässig, also etwa ein Viertel aller erwachsenen Schweizer Bürgerinnen und Bürger. Würde sie nun für das Contact Tracing im Rahmen von Events zugelassen, wäre das eine Win-Win-Situation aus seiner Sicht: Kontaktpersonen würden schneller informiert durch die direkte Warnung in der App, und die Wirte wären entlastet. Nicht zuletzt wären die Daten der Bürgerinnen und Bürger gut geschützt und mangels zentraler Speicherung auch nicht angreifbar.