Streit um Corona-Tracing-App Kräftemessen mit Apple und Google
Noch gibt es keine fertige Corona-Tracing-App in Deutschland, aber der Streit um die Technologie wird immer erbitterter. Die entscheidende Rolle könnten am Ende Apple und Google spielen.
Zwischendurch ruckelt das Bild der Videokonferenz. Doch die Botschaft der beiden Top-Manager könnte klarer nicht sein: Beim Thema Corona-Apps haben Apple und Google eine gemeinsame Entscheidung getroffen, und dabei bleibe es auch. Was Dave Burke von Google und sein Apple-Kollege Gary Davis da bei einer Web-Veranstaltung der liberalen RENEW-Fraktion im EU-Parlament erzählen, dürfte im Berliner Regierungsviertel Kopfschmerzen bereiten. Die beiden Tech-Riesen hatten kürzlich überraschend eine gemeinsame Initiative für eine Tracing-App verkündet. Allerdings setzen sie dabei auf ein anderes Konzept als die Bundesregierung.
Die Diskussion über eine App zur Verfolgung von Corona-Infektionen wird seit Tagen scharf und kontrovers geführt. Es geht zum einen um eine Auseinandersetzung zwischen Fachleuten, die sich ohne Kenntnisse in IT-Sicherheit und Kryptographie kaum verstehen lässt. Immer deutlicher stellt sich aber auch eine Machtfrage: Wer bestimmt die Regeln für ein solch sensibles Projekt? Regierungen oder große Tech-Konzerne?
"Ein Scheitern wäre unausweichlich"
Am Freitag hatten unter anderem der Chaos Computer Club (CCC), die Gesellschaft für Informatik sowie weitere Organisationen, die sich mit netzpolitischen Fragen beschäftigen, einen offenen Brief veröffentlicht. Die Empfänger: Gesundheitsminister Spahn und der Chef des Bundeskanzleramtes, Helge Braun. An sie gerichtet heißt es: "Das von Ihnen präferierte Konzept für die App ist nicht der richtige Weg."
Gemeint ist der Ansatz der europäischen Technologie-Initiative PEPP-PT. Regierungssprecherin Ulrike Demmer bekräftige zwar erneut, dass die Bundesregierung dieses Modell präferiere. Für die Hacker-Vereinigung CCC ist jedoch klar, wenn die Bundesregierung bei ihrer bisherigen Wahl bleibe, könne kein Vertrauen bei den Nutzern aufkommen: "Ein Scheitern wäre unausweichlich."
Zentral vs. dezentral
Die Hoffnung ist, dass die App helfen könnte zu ermitteln, wer sich in der Nähe eines Infizierten aufgehalten hat. Was bisher Gesundheitsämter mit Stift und Papier bearbeiten, soll digital besser und schneller gehen. Doch nach welchem Prinzip soll eine solche App arbeiten?
In Schlagworten lautet die Kontroverse: Zentralisierte oder dezentrale Lösung? Das Grundprinzip ist gleich: Wenn sich zwei Handys mit der App eine bestimmte Zeit nah genug sind, tauschen sie per Bluetooth sogenannte pseudonyme IDs aus. Diese wechseln regelmäßig und lassen keinen direkten Rückschluss zu, um welche konkrete Person es sich handelt.
Der Unterschied: Beim dezentralen Modell schickt ein Nutzer im Falle einer Infektion nur seine eigenen IDs an den Server. Von dort können alle anderen App-User sie herunterladen. Die eigentliche Prüfung, ob es einen Kontakt gab, findet nur lokal auf dem Handy statt. Beim zentralen Modell dagegen schickt die App eines Infizierten zusätzlich die Codes der Kontakte auf den Server. Dort liegt dann also auch ein Kontaktnetz. Das sind sensible Informationen, quasi "Geheimnisse", die besonders geschützt werden müssen.
“Religiöse Diskussion”
Für PEPP-PT-Mitinitiator Hans-Christian Boos ist die Diskussion um die Ansätze eine “religiöse”. Zwar sei eine dezentrale Lösung rein kryptologisch gesehen die bessere, so Boos in der "FAZ". Aber: “Von Epidemiologen wird an uns zum Beispiel der Wunsch herangetragen, dass die App nicht nur potentiell infizierte Personen warnen, sondern auch Risikoanalysen erstellen soll.” Auch die Regierungssprecherin nennt als ein wichtiges Kriterium, dass die App “andere Möglichkeiten zur Bewertung der Ausbreitung der Epidemie” bieten solle.
Das zentrale System sei komplexer, habe mehr Risiken und müsse denen wiederum mit Komplexität begegnen, sagt Linus Neumann vom Chaos Computer Club: "Komplexität ist aber der natürliche Feind der IT-Sicherheit."
Sorge um Missbrauch von Daten
Hannes Federrath, Präsident der Gesellschaft für Informatik, bezeichnet den dezentralen Ansatz als attraktiv, weil es schwerer sei, mit den Daten Missbrauch zu betreiben. Der Informatik-Professor an der Uni Hamburg - ebenfalls Unterzeichner des Offenen Briefes - hatte sich erst kürzlich vom PEPP-PT Modell distanziert. Die fachliche Seite sei "nach wie vor sehr gut". Die Initiative habe jedoch wohl "Management-Fehler" gemacht und nicht geliefert. Der Vorteil einer schnellen und pragmatischen Umsetzung sei damit weg: "Jetzt ist die Zeit gekommen, nach der besten Lösung zu suchen."
Klar ist: Um den eigenen zentralen Ansatz umsetzen zu können, braucht die Bundesregierung aus technischen Gründen ein Entgegenkommen von Apple und Google. Verhandlungen laufen. Die Regierungssprecherin bestätigte {vertrauliche Gespräche" auf "unterschiedlichsten Ebenen".
Eine Vertrauensfrage
Gesundheitsminister Spahn hatte im "ZDF" gesagt:
Dieser Grundglaube daran, dass Daten, die bei Apple und Google aufgehoben sind, bei amerikanischen Großkonzernen, besser geschützt sind als Daten, die in Deutschland auf Servern auch staatlich kontrolliert liegen, diesen Glauben verstehe ich manchmal nicht.
Aus Sicht des Chaos Computer Clubs ist der von Deutschland präferierte Ansatz längst hinfällig, “weil sich die beiden großen Anbieter mobiler Betriebssysteme dagegen entschieden haben.”
Auch Anke Domscheit-Berg, parteilose Abgeordnete in der Links-Fraktion, hält nur noch eine dezentrale Lösung für möglich. Das könne schnell oder langsam passieren. Entweder die Bundesregierung verabschiede sich sofort von ihrer bisherigen Wahl. Oder sie müsse erst schmerzhaft erfahren, dass Apple nicht auf die Wünsche aus Berlin eingehe. Domscheit-Berg: "Mit jedem Tag, den diese Diskussion andauert, schwinden die Erfolgschancen einer Tracing-App."
Zerstörtes Vertrauen
Manuel Höferlin (FDP), Vorsitzender des Digitalausschusses im Bundestag, ist nicht grundsätzlich auf eine Variante festgelegt und konnte PEPP-PT anfangs viel abgewinnen. Was ihn allerdings stört: Statt Transparenz und Tempo gebe es immer neue Andeutungen, was man in eine solche App vielleicht noch zusätzlich einbauen könnte, kritisiert er vor allem in Richtung Gesundheitsministerium.
Gerade wird viel Vertrauen zerstört. Es ist wichtig, dass man vorher definiert, was man mit einer solchen App machen will, und dass man hinterher dann auch nicht mehr damit macht.
Der Bundesregierung und besonders dem Gesundheitsministerium bescheinigt er "schlechtes Projektmanagement". Am Mittwoch will der Digitalausschuss in einer Sondersitzung Digital-Staatsministerin Dorothee Bär befragen.