Suchen

Corona-Pandemie Eine wirksame Tracing-App braucht die richtige Technologie und Daten-Sensibilität

| Autor / Redakteur: Henri Kujala / Ira Zahorsky

Regierungen und Unternehmen arbeiten fieberhaft daran, den Covid-19-Erreger einzudämmen und Infektionswege lückenlos nachzuvollziehen. Als attraktive Lösung gelten dabei Tracing-Apps, die erkennbar machen, wer im engen Kontakt zu einer infizierten Person stand, wie sie etwa Singapur oder Südkorea bereits einsetzen.

Tracing Apps sollen helfen, Infektionswege des Coronavirus´nachzuvollziehen.
Tracing Apps sollen helfen, Infektionswege des Coronavirus´nachzuvollziehen.
(© alexandra - stock.adobe.com)

Anfang Mai hat die Bundesregierung ihre Pläne für eine Corona-Warn-App vorgestellt. Die erste Version soll Mitte Juni zur Verfügung stehen, gestern veröffentlichten die beteiligten Unternehmen T-Systems und SAP bereits erste Details zum Programmcode. Auch die beiden US-Konzerne Google und Apple haben kürzlich ihr Konzept für eine gemeinsame Corona-Tracing-App vorgelegt. Die Ansätze teilen dabei eine Gemeinsamkeit: Sie setzen auf Bluetooth-Technologie.

Beide Tracing-Apps sollen über Bluetooth-Signale tracken, ob sich jemand in der Nähe einer infizierten Person aufgehalten hat. Meldet ein Nutzer eine Covid-19-Infektion, werden alle Personen informiert, die in den letzten Tagen sein Smartphone-Signal empfangen haben. Was zunächst überzeugend klingt, hat jedoch einen entscheidenden Haken: Ist Bluetooth als Übertragungsstandard hier wirklich geeignet?

Bluetooth: Ungeeignet als Tracing-Technologie?

Zunächst einmal lassen sich aus Bluetooth-Daten nur schwer Zusammenhänge ermitteln. Zwar kann die Technologie ein Smartphone in seiner unmittelbaren Nähe erkennen, nicht aber die Richtung, aus der das Signal kommt. Es wird nicht zwischen horizontalen und vertikalen Entfernungen unterschieden. Für eine Bluetooth-basierte App würde es daher schon als Kontakt gelten, wenn sich zwei Personen im gleichen Gebäude in unterschiedlichen Stockwerken aufgehalten haben. Treten Interferenzen auf, kann es überdies passieren, dass Telefone sich gegenseitig nicht erkennen. Man wäre also niemals sicher, ob tatsächliche alle Kontakte registriert würden. Auch einen zeitlichen Kontext liefert der Funk-Standard nicht. Eine Tracing-App auf Bluetooth-Basis würde eine Person nur warnen, dass sie Kontakt zu einem Infizierten hatte, wenn beide beispielsweise gleichzeitig einen Aufzug nutzen. Hätte die Person den Lift erst nach dem Erkrankten betreten, würde sie nicht informiert, obwohl sich dort noch Spuren des Virus befinden könnten.

Als weitere Schwierigkeit könnte sich die technische Implementierung erweisen. Für eine effiziente Kontaktverfolgung muss Bluetooth dauerhaft betriebsbereit sein. Das führt dazu, dass sich die Akkus der Smartphones sehr schnell entleeren, was wiederum dem Hauptziel der App zuwiderlaufen würde: der ständigen Registrierung von Kontakten zwischen Personen. Um den Stromverbrauch in den Griff zu bekommen, müsste jedes Smartphone in der Lage sein, den Übertragungsstandard Bluetooth Low Energy (BLE) einzusetzen, was technisch nur schwer umsetzbar ist. Und auch mit BLE müsste die Tracing-Anwendung ständig im Hintergrund laufen. Viele Betriebssysteme sind allerdings so eingerichtet, dass sie Hintergrundoperationen automatisch deaktivieren. Auch hier wären also erst einmal technische Veränderungen seitens der Hersteller nötig, damit eine COVID-19-Tracing-App überhaupt ungestört laufen kann.

Die ständige Bereitschaft wirft eine weitere bedeutende Frage auf, nämlich die nach dem Datenschutz. Wie alle weitverbreiteten Technologien ist auch Bluetooth Ziel von Cyberkriminellen, die Zugriff auf persönliche Daten wie gespeicherte SMS, eMails oder den Terminkalender erlangen möchten. Da sich über Bluetooth Dateien übertragen lassen, könnten Angreifer außerdem Schadsoftware, so genannte Malware, in das Endgerät einschleusen. Zwar soll das vorgesehene Bluetooth-Tracing der beiden eingangs erwähnten Apps durch Verschlüsselung und Authentifizierungsprozesse abgesichert sein, eine dauerhafte Aktivierung der Bluetooth-Funktion erhöht allerdings immer auch die Angriffsfläche. Gerade beim Umgang mit Daten und ihrem Schutz handelt es sich jedoch um einen wichtigen Faktor, der einen enormen Einfluss darauf nehmen kann, ob eine Corona-App flächendeckend und damit wirkungsvoll eingesetzt wird. In diesem Zusammenhang lohnt es sich, die Diskussion weiterzuführen, ob dezentrale Datenspeicherung wirklich im Sinne der Datensicherheit ist.

Standortbezogene Daten verdienen besonderen Schutz

Nicht nur für eine Tracing-App, auch für jede andere Anwendung, die Daten nutzt, ist der verantwortungsvolle Umgang mit ihnen essenziell. Gerade standortbezogene Daten sind sehr sensibel. Aus unserer langjährigen Erfahrung mit der Erfassung ortsbezogener Daten nach europäischen Datenschutznormen wissen wir, dass Anwendungen jeder Art – nicht nur der Spezialfall einer COVID-19-Tracing-App – von den Nutzern nur dann akzeptiert und genutzt werden, wenn vor allem zwei Bedingungen gegeben sind: Transparenz und Wahlmöglichkeit. Nutzer sollten also stets und ohne Einschränkungen darüber informiert sein, welche Daten zu welchem Zweck erhoben und wie und von wem sie weiterverarbeitet werden. Zudem müssen sie jederzeit die Möglichkeit haben, zu entscheiden, wer die Daten zu welchem Zweck nutzt. Hierzu gehört übrigens auch das Recht, die Daten zu löschen. Wichtig sind zudem umfassende Sicherheitsvorkehrungen gegen unbefugten Zugriff, Verwendung, Änderung oder Verlust. Ein weiterer zentraler Grundsatz heißt Datenminimierung: ganz egal für welche Applikation und für welchen Zweck, Daten sollten immer nur in dem Umfang erhoben werden, wie sie auch tatsächlich relevant sind. Idealerweise sollte dies auch gleich anonym erfolgen – solange jedenfalls, wie der Dienst keine persönlichen Informationen erforderlich macht.

Reine Datenerfassung macht im Falle einer erfolgreichen Tracing-App nicht den Unterschied. Was zählt, ist ein offener, bewusster Umgang mit Daten. Nur so kann eine breite Akzeptanz innerhalb der Bevölkerung erreicht werden, die App ihre volle Wirkung erzielen und wir dem Erreger seinen Schrecken nehmen.

Henri Kujala, Global Data Protection Officer bei HERE Technologies
Henri Kujala, Global Data Protection Officer bei HERE Technologies
(Bild: HERE Technologies)

*Der Autor, Henri Kujala, ist Global Data Protection Officer bei HERE Technologies.

(ID:46580373)