Skip to Content
Technical Articles

PEPP-PT – ein Referenzmodell für mehr Datenschutz, Privatsphäre und Security in Tracking-Apps

Die Corona Krise stellt die Gesellschaft vor viele Herausforderungen. Es gilt, das Virus so schnell wie möglich einzudämmen. Die Instrumente dazu sind Kontaktverbote und Ausgangssperren. Doch wie genau kann überprüft werden, ob sich auch jeder daran hält? Welche Rolle kann dabei die Technologie spielen? Kontrollen aller Person, die das Haus verlassen, sind nahezu unmöglich.

Ein interessantes Beispiel ist Israel, weil es bereits heute auf eine ganz andere Methode setzt: das Smartphone. Die Tatsache, dass wir es nahezu immer bei uns tragen, macht es zum perfekten Mittel, um nachzuverfolgen, wer sich wo aufhält. Die Isrealis haben sich entschlossen eine entsprechende App zu entwickeln, die voraussichtlich bereits Mitte April einsetzbar sein wird. Österreich wird auch so eine App einsetzen, die heisst “Stopp Corona” und wird vom Roten Kreuz betrieben, damit die Infos nicht in staatlichen Händen sind – Accenture hat die App mitentwickelt.

Was es genau damit auf sich hat, wie die Anwendung funktioniert und inwiefern der Datenschutz und die Privatsphäre bei einer solchen Lösung aufrecht erhalten werden können, habe ich genauer unter die Lupe genommen.

 

PEPP-PT – internationale Zusammenarbeit für länderübergreifende Erfolge

Pan-European Privacy-Preserving Proximity Tracing Technik, kurz PEPP-PT steht für ein Vorhaben von 130 Wissenschaftlern mit Unterstützung aus insgesamt acht Ländern Europas, welche sich zusammengetan haben, um einen Weg zu finden, um mit technologischen Mitteln zur Eindämmung von Covid-19 beizutragen. Dabei werden sie von zahlreichen deutschen Universitäten, dem Robert-Koch-Institut, dem Fraunhofer-Heinrich-Hertz-Institut und der ETH Zürich unterstützt.

 


Mitglieder von PEPP-PT – Quelle: https://www.pepp-pt.org/

 

PEPP-PT Prinzipien

Die Entwicklung von PEPP-PT basiert auf drei Prinzipien:

  1. Enge europäische Zusammenarbeit
  2. Technologie soll international anwendbar sein
  3. Lösung muss DSGVO-konform sein

Die Technologie basiert auf Bluetooth Low Energy. Treffen Personen aufeinander, die die Covid-Anwendung auf ihren Smartphones installiert haben, und kommen sich dabei so nah, dass eine Ansteckungsgefahr besteht, tauschen die Geräte anonyme Zahlencodes aus und identifizieren sich damit gegenseitig.

Die Nummern der Kontakte werden von jedem Gerät lokal gespeichert. Sobald ein Nutzer positiv auf Corona getestet wird, können alle persönlichen Kontakte, die dieser Nutzer während der Inkubationszeit hatte, in Form von anonymisierten Zahlencodes über sein Smartphone an einen zentralen Server gesendet werden. Das Ganze passiert verschlüsselt. Auf diesem Weg können alle Personen, mit denen der Infizierte Kontakt hatte, ermittelt werden. Sie erhalten eine Warnung von der Anwendung, dass auch sie sich infiziert haben könnten und werden angehalten, sich selbst in eine vorsorgliche Quarantäne zu begeben.

Dabei sollen stets Privatsphäre und Security sichergestellt sein. Um das zu gewährleisten, beruft man sich auf nachfolgende sechs Punkte:

  1. Anonyme Datenspende
    Jedes PEPP-PT Gerät (Smartphone) sendet auf kurze Distanzen eine temporär gültige, authentifizierte und anonyme ID aus, welche keine Rückschlüsse auf einen Benutzer erlaubt. Im Falle einer positiven Testung kann der Betroffene von der Gesundheitsbehörde eine TAN beantragen, mit der er seinen Kontaktverlauf übermitteln kann.
  2. ​Logging
    Wenn PEPP-PT-Geräte mit einer ausreichend hohen Wahrscheinlichkeit über einen definierten Zeitraum IDs ausgetauscht haben, werden deren IDs gegenseitig verschlüsselt gespeichert. Dabei werden keine Geodaten oder personenbezogene Informationen gespeichert, die eine Identifikation eines Benutzers erlauben würden. Ältere, “epidemiologisch” irrelevante Informationen werden gelöscht.
  3. Nutzung der geloggten Daten: zwei Betriebsmodi
    1. Modus 1: Sofern ein Benutzer noch nicht oder negativ getestet wurde, verbleibt die anonyme Historie verschlüsselt auf dem Gerät und kann weder betrachtet noch  übermittelt werden.
    2. Modus 2: Sobald ein Benutzer positiv auf SARS-CoV-2 getestet wurde, kontaktiert der Benutzer die Gesundheitsbehörden den Benutzer und fordert einen TAN-Code an. Mittels diesem Code kann der Benutzer die auf seinem Gerät gespeicherten Informationen freiwillig an das PEPP-PT-System übermitteln. Dabei werden historisch geloggte Daten übermitteln. Dadurch erfahren die Nutzer selbst nicht mit wem und wann der Kontakt erfolgt ist, sondern eben nur, dass es einen Kontakt gab.
  4. Länderabhängiger Trust-Service Betrieb
    Die anonymen IDs enthalten verschlüsselte Mechanismen, die einen Rückschluss auf das Land des Anwenders ermöglichen.

    1. Modus 1: Sofern beide IDs aus demselben Land sind, können die potentiell infizierten IDs so markiert werden, dass der Anwender über die potentielle Exponierung/Infektionsgefahr informiert werden kann, sobald er oder sie seinen Status abfragt.
    2. Modus 2: Wenn eine anonyme ID von Anwender B mit einem anderen Land in Verbindung gebracht wird, wird dessen (Kontakt-)Historie an das andere Land übermittelt. Diese Übertragung ist verschlüsselt und digital signiert. Die weitere Verarbeitung findet über jene nationale Behörde (Trust-Service Provider) statt, die die App herausgegeben hat.
  5. Verarbeitung der Daten durch Gesundheitsbehörden
    Der Prozess, wie Betroffene und Menschen, die mit dem Virus potenziell in Kontakt gekommen sind, informiert werden, kann länderspezifisch definiert werden.
  6. Information und Infrastruktur
    Sämtliche Prozesse, Mechanismen, Standards und der Code werden laufend durch ein Security-Team geprüft. Darüber hinaus sind nationale Cyber-Security-Behörden und Datenschutzagenturen involviert.

 

Aufbau, internationale Verfügbarkeit und Austausch

Die Software besteht im Grunde aus drei Teilen. Das Frontend analysiert mithilfe eines Algorithmus alle Kontakte, die dann in die Apps eingefügt werden können. Das Backend sammelt die Daten und ist für deren Verteilung verantwortlich. Hinzu kommt eine Schnittstelle, mit der die Behörden infizierte Nutzer verifizieren können. Die Entwickler stellen alle drei Teile zur freien Verfügung. Es handelt sich also um eine Open Source Software, deren Code auch auf GitHub geprüft werden kann.

Damit ist dafür gesorgt, dass jedes Land seine eigenen Apps entwickeln kann und damit ein grenzübergreifender Austausch möglich wird. Auch bereits vorhandene Apps können damit aufgerüstet werden. Das bietet den Vorteil, dass der Nutzer keine neue Anwendung installieren muss, sondern eine bereits vorhandene einfach aktualisieren kann – was lediglich seine Zustimmung zur Teilnahme erfordert.

Da die Softwarebasis dann bei allen Apps die gleiche wäre, könnten Informationen und Warnungen international geteilt werden, um weltweit gemeinsam gegen Covid-19 vorgehen zu können.

 

Informationssicherheit wird stets gewährleistet

Weder Kontaktinformationen, noch Nutzernamen werden gespeichert. Das hat für die Entwickler oberste Priorität. Dank vollständiger Anonymität soll die Privatsphäre stets geschützt werden. Die Software entspricht den europäischen Rechten zum Datenschutz. Bevor sie allerdings im Rahmen einer App veröffentlicht werden kann, sollten weitere Tests und Debatten bezüglich des Datenschutzes geführt werden.

Zugrunde liegt die Pan-European Privacy-Preserving Proximity Tracing Technik, kurz PEPP-PT. Mit dem Installieren oder dem Aktualisieren der entsprechenden Anwendung willigt der Nutzer ein, dass diese Technik auch auf seinem Smartphone angewendet wird. Das Gerät generiert dann eine Nummer, mit der der jeweilige Nutzer mittels Bluetooth LE Übertragung identifiziert wird. Diese Nummer wird regelmässig gewechselt.

Treffen nun Nutzer einer solchen Anwendung aufeinander, werden diese Nummern ausgetauscht und gespeichert. Um einen Datenmissbrauch auszuschließen, findet das Ganze lediglich über ein passives Scanning ohne direkten bidirektionalen Kontakt statt.

Nun kommt ein Algorithmus zum Einsatz. Dieser prüft, wie viel Abstand die Nutzer voneinander halten und wie lang der Kontakt andauert. Erst, wenn die Gefahr einer Infektion besteht, werden die anonymen Nummern lokal auf den Geräten gespeichert. Der Algorithmus wird stets an die aktuellen Empfehlungen und Parameter zur Eindämmung des Virus angepasst. Werden diese geändert, steht ein Update zur Verfügung, das die Neuerungen berücksichtigt. Der Algorithmus soll allerdings nicht nur die Dauer des Kontakts und den gehaltenen Abstand messen, sondern auch erkennen, ob die beiden Nutzer beispielsweise eine Scheibe oder eine Wand trennte oder sie sich im Auto befinden.

 

So wird im Falle einer Infektion vorgegangen

Sobald ein Nutzer positiv auf Corona getestet wird, kann er seinen Gesundheitsstatus in der Anwendung entsprechend anpassen. Um sicherzugehen, dass die Angaben der Wahrheit entsprechen, werden die Testergebnisse von unabhängigen Behörden mittels der definierten Schnittstelle verifiziert. Auch das funktioniert verschlüsselt, sodass nicht einmal die Behörden auf persönliche Daten des jeweiligen Nutzers schliessen können.

Erst nach der erfolgreichen Verifizierung eines positiven Testergebnisses, werden die Personen, mit denen der Infizierte während der Inkubationszeit Kontakt hatte, in verschlüsselter Form an den zentralen Server übermittelt. Anschliessend entschlüsselt die Backend-Software diese Daten und die Kontakte erhalten eine anonyme Warnung. So können weder der Betreiber noch der Nutzer nachverfolgen, wer der Infizierte ist, denn es wird ausschliesslich mit stetig wechselnden Nummern gearbeitet. Die Identifikationsnummern sind allerdings mit einem nationalen Schlüssel versehen. Besteht also Kontakt eines infizierten Nutzers mit einer Person einer anderen Nation, wird dessen Heimatland verschlüsselt darüber informiert. Nur die dort ansässigen Serverbetreiber können die Entschlüsselung vornehmen und Warnungen herausgeben.

 

Vorabfazit aus Perspektive Datenschutz und Security

Damit die Software Infektionsketten effektiv unterbrechen kann, müssen entsprechend viele Nutzer diese App verwenden. Man geht von einem Anteil von 60 bis 80 Prozent sämtlicher Smartphonenutzer eines Landes aus. Zahlen dieser Grössenordnung verzeichnen bisher allerdings nur Apps wie Whatsapp oder YouTube, was ein Erreichen einer ähnlichen Reichweite zu einer Herausforderung macht. Es könnte also durchaus von Vorteil sein im Rahmen von Kooperationen bereits etablierte Apps mit einem Update zu versehen, um tatsächlich internationale Erfolge zu erzielen. Die Security-Szene ist naturgemäss immer sehr vorsichtig im Umgang mit Privatsphäre, was viele Security-Bedenken entschärft und für eine Nutzung der Software spricht.

Ebenfalls denkbar wäre zum Beispiel auch, dass grosse Unternehmen ihre Mitarbeiter-Apps mit einem entsprechenden Code bestücken und zumindest innerhalb der eigenen Community einen Beitrag zur Bekämpfung der Virus-Ausbreitung beitragen. Trotz der guten Ansätze hängt der Erfolg der App am Ende vom Vertrauen der Nutzer und einem adäquaten Umgang der Gesundheitsbehörden mit den Daten ab.

Die Möglichkeit auf Erfolg ist zweifelsohne vorhanden, jedoch müssen die nationalen Behörden kooperieren, die TANs verschicken und die gesammelten Daten vernünftig nutzen. Stand 15.04.2020 ist es mir über eine Google-Suche (noch) nicht gelungen eine Behörde zu finden, welche bereits TANs vergibt.

(Update folgt)

 

Photo by CDC on Unsplash

 

Be the first to leave a comment
You must be Logged on to comment or reply to a post.