Coronographien 22 – PEPP-PT oder DP-3T als Basis für Coronavirus Tracing App

Zuletzt aktualisiert am 14. November 2023 von Ulrich Würdemann

Am 1. April wurde ein paneuropäisches Projekt vorgestellt, das PEPP-PT als Basis für Coronavirus Tracing App Lösungen. Am 7. April 2020 soll die Basis-Software präsentiert werden. Sie soll auch Grundlage der Coronavirus Tracing App des RKI (Corona App) werden, mit der für Mitte Ende April gerechnet wird.

Pan European Privacy-Protecting Proximity Tracing (PEPP-PT)

Am 1. April 2020 berichten diverse Medien ausführlich über die Technologie. Es handele sich um ein europäisches Projekt unter den Namen „Pan European Privacy-Protecting Proximity Tracing“ (PEPP-PT).

Beteiligt sind an der gemeinsamen Initiative 17 Institute und Firmen. Sie stammen neben Deutschland auch aus Belgien, Dänemark, Frankreich (wo die App StopCovid und das Protokoll (der zentralen Lösung) Robert (ROBust and privacy-presERving proximity Tracing protocol) genannt wird), Italien, Österreich, Spanien und der Schweiz. (vgl. Übersicht Coronavirus tracing Apps in Europa)

Großbritannien hingegen plant eine eigene App. Diese soll ebenfalls über Bluetooth arbeiten und über opt-in verfügen. Beteiligt ist u.a. das Big Data Institute der Universität Oxford. Der NHS werde einen Ethik-Rat einsetzen, der das Projekt begleite.
Eventuell werden das europäische und das britische System interoperabel sein.

Das Projekt entwickelt im eigentlichen Sinne keine App, sondern eine technologische Basis dafür. Es stelle den möglichen ‚backbone für digitale Kern-Komponenten‘ europäischer COVID-19 Coronavirus Tracking Apps dar (‚Referenzimplementierung‘) , so der Unternehmer Hans-Christian Boos, Mitglied im Digitalrat der Bundesregierung. Auf dieser Grundlage würden dann nationale Apps geschaffen. Diese werden von dem neu entsteheden Konsortium zertifiziert. Die einzelnen Länder-Versionen sollen unter einander interoperabel sein (Erleichterung von Grenzöffnungen). Zusätzlich will PEPP-PT eine Referenz-Implementierung entwickeln.

Das kalifornische Unternehmen Palantir soll bereits ein Angebot für die Realisierung abgegeben haben, berichtet ND. Palantir sei bekannt für Zusammenarbeit mit der CIA und deutschen Sicherheitsbehörden.

PEPP-PT selbst will sich als non-profit Organisation mit Sitz in der Schweiz konstituieren.

Die Basis-Software PEPP-PT soll am Dienstag 7. Ende April vorgestellt werden. Launch einer deutschen Coronavirus Tracking App des RKI könnte nach Ostern im Mai sein.

100 Soldaten testen die technologische Basis derzeit in einer Berliner Kaserne auf Praxistauglichkeit.

Der Quellcode soll später offen gelegt werden unter open source Lizenz der Mozilla Foundation.

Bluetooth LE – Distanz statt Position als Grundlage der Risikobewertung bei PEPP-PT

Grundidee von PEPP-PT: relevant ist die Frage von Kontakten mit hohen Coronavirus – Übertragungsrisiko. Dies ist der Fall bei Abstand von weniger als 1,50 m zwischen zwei Personen (Distanz) für mehr als 15 Minuten (Zeitraum). Nicht relevant ist der konkrete Ort (Position).

Die App arbeite rein über Bluetooth LE, Standortdaten und Bewegungsprofile z.B. über GPS werden nicht genutzt. Sie arbeitet mit einer temporär generierten ID, die keinerlei Rückschlüsse auf Person oder Gerät zulassen soll. Der Einsatz sei freiwillig.

Bluetooth LE (LE = low energy; auch BLE oder Bluetooth Smart genannt) ist eine Erweiterung des Bluetooth Standards. Bei deutlich geringerem Stromverbrauch (und neidrigerer Übertragungsgeschwindigkeit) besteht eine Reichweite bis 10 Meter. Bluetooth LE wird z.B. in Fitness Trackern eingesetzt.
Bluetooth LE hat neue Protoikolle hinzugefügt. Geräte mit Bluetooth LE können 4 Rollen haben, Observer (nur Empfang von Daten), Broadcaster (nur Senden von daten), Peripheral (als Slave Verbindungsanfragen senden) oder Central. Anders als bei Bluetooth wird bei Bluetooth LE sowohl key manager als auch security manager beim Host aufgesetzt. Verschiedene security modes sind möglich. Bluetooth LE gilt als sicherer als das ‚alte‘ Bluetooth. Wie Bluetooth selbst ist jedoch auch Bluetooth LE nicht frei von Sicherheitsproblemen (allerdings ist bei der Bewertung zu bedenken dass der ‚Angreifer‘ in Funkreichweite sein muss).
Wegen des geringen Stromverbrauchs kann Bluetooth LE permanent eingesetzt werden und wird z.B. für Wearables, Sensoren / Internet der Dinge (IoT) und proximity sensing (PXP) genutzt.

Bluetooth muss für die Verwendung von PEPP-PT dauerhaft aktiviert sein. Gemessen wird der Abstand zwischen Geräten und die Dauer des Kontakts (proximity tracking).

zentral oder dezentral?

PEPP-PT als Basis für Coronavirus tracing App verfolgte zu Beginn prinzipiell sowohl einen zentralen als auch einen dezentralen Ansatz.

Welcher Ansatz sinnvoller ist, ist unter Datenschützern umstritten. Zahlreiche Experten befürchten, ein zentraler Ansatz erleichtere eine De-Anonymisierung.

Laut Medienmeldungen entbrannte Mitte April allerdings projektintern ein Streit über die Frage des dezentralen (DP-3T, Decentralised Privacy-Preserving Proximity Tracing) oder zentralen Ansatzes. Bei DP-3T verbleiben persönliche Daten auf dem Mobiltelefon des Nutzers. Bei PEPP-PT und dem (besonders von Frankreich und bis 25.4. Deutschland verfolgten) Protokoll ROBERT hingegen werden alle Daten bei einem Backend-Server der nationalen gesundheitsbehörde zusammengeführt.

Die Bundesregierung soll deutlich Druck zugunsten eines zentralen Ansatzes ausgeübt haben. Auch die französische Regierung soll ein zentrales Modell bevorzugen. Das EU-Parlament hingegen hat sich für eine dezentrale Lösung ausgesprochen.
Am 24.4. bestätigte eine Regierungssprecherin erneut die Präferenz für das zentrale Modell.

Mitte April 2020 warnten über 300 Wissenschaftler aus 26 Ländern vor der zentralen Speicherung.
Am 23. April warnten auch in Deutschland 6 Digital-Vereine, darunter der CCC und Stiftung Datenschutz, in einem gemeinsamen offenen Brief deutlich vor den angestrebten zentralen Konzept und einem ’nationalen Alleingang‘. Die derzeitigen Pläne seien ‚hochproblematisch‚. „Dem zentralen Ansatz müssen wir vertrauen, ohne ihn kontrollieren zu können„, kritisierte Linus Neumann, Sprecher des CCC.

Der Bundesbeauftragte für den Datenschutz Ulrich Kelber bezeichnete in einem Interview ebenfalls die dezentrale Variante als datenschutzfreundlicher und datenminimierender. Eine Veröffentlichung als open source sei der beste Weg.

Auch die Unterstützung von Google und Apple orientiert sich am die dezentrale Lösung (Protokoll 1.1 ist dezentral). Zunächst soll ab 28. April 2020 eine API (Schnittstelle) zur Verfügung stehen, später soll die direkte Einbettung von proximity tracing ins Betriebssystem folgen.
Dies wirft die Frage auf, wie zuverlässig dann eine zentrale Lösung laufen kann.

Am 25. April wurde ein deutlicher Richtungswechsel der Bundesregierung bekannt. Kanzleramtsminister Braun bestätigte in einem Interview, dass die Beteiligten nun „eine dezentrale Architektur vorantreiben, die die Kontakte nur auf den Geräten speichert und damit Vertrauen schafft„. Es werde eine App entwickelt, die die „in Kürze zur Verfügung stehenden Programmierschnittstellen der wesentlichen Anbieter von mobilen Betriebssystemen nutzt und gleichzeitig die epidemiologische Qualitätssicherung bestmöglich integriert„, so Gesundheitsminister Spahn. Die weitere Entwicklung wird nicht mehr vom Fraunhofer Heinrich-Hertz-Institut (Entwickler des zentralen Systems) vorangetrieben.

Der Chaos Computer Club, der das bisherige Festhalten an einer zentralen Architektur deutlich kritisiert hatte, begrüßte die Entscheidung.

Die bereits in Österreich eingeführte (und als open source veröffentlichte) Tracing App des Roten Kreuzes setzt ebenfalls auf die dezentrale Lösung DP-3T.

Datenschutz und Privatsphäre

Medien zitieren Thomas Wiegand, Leiter des FFI

„Wir haben extrem viele Designaspekte so gewählt wie sie sind, damit die Privatsphäre gewahrt bleibt.“

„Wir messen nur Abstand und Zeit. Es ist egal, wer sich getroffen hat. Es ist egal, wo sie sich getroffen haben.“

Prof. Dr. Thomas Wiegand, Direktor Fraunhofer Heinrich Hertz Institut

Die Daten werden für 21 Tage gespeichert. Es sollen keine persönlichen Daten erfasst werden.

Die App sei völlig GDPR konform (General Data Protection Regulation = DSGVO Datenschutz-Grundverordnung der Europäischen Union).

Der Bundesdatenschutzbeauftragte (seit 17. März) sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben die Entwicklung von PEPP-PT begleitet.
Da noch nicht alle Entscheidungen getroffen seien, könne aber noch keine grobe Entscheidung zur Datenschutz-Konformität getroffen werden, erklärte Bundsesdatenschutzbeauftrager Ulrich Kelber am 10.4.

Im Fall eines positiven Coronavirus Tests (der von Ärzten oder Labors verifiziert werden kann) könne die betreffende Person freiwillig ihre Daten auf einen Server hochladen. Erst dann würde – mit Zustimmung der Person – auf dem Server gespeichert, welche anderen temporärten IDs Kontakt zu dieser ID hatten. Eine Entschlüsselung dieser IDs und Zuordnung zu Personen sei nicht möglich.

Daraufhin werde nur eine Warnung weitergeleitet, dass in der Vergangenheit möglicherweise ein Infektionsrisiko bestanden habe. Die betreffende Person könne sich dann testen lassen und in Quarantäne gehen (womöglich überwacht durch eine Corona Quarantäne App).

Für Überwachung, etwa von Auflagen oder Quarantäne, sei die technologische Basis dezidiert nicht vorgesehen.

Ein Vorteil einer App-Lösung könnte sein, dass so ein Aufspüren von Kontaktpersonen wesentlich schneller und umfassender erfolgen könnte als bei manueller Ermittlung von Kontaktpersonen.

.

Juristen wie Dr. Ulf Buermeyer (Vorsitzender Gesellschaft für Freiheitsrechte) und Christian Thönnes zeigten sich – auf Basis der Beurteilung des Konzepts, nicht der fertiogen Software oder App – „vorsichtig optimistisch“, dass PEPP-PT in der Lage sein könnte, Infektionsschutz und Datenschutz miteinander zu vereinen.

Sie ergänzen „Jede Form der Kooperation mit geheimdienstnahen Datenkraken wie dem US-Konzern Palantir – dem konkretes Interesse an Corona-Apps nachgesagt wird – dürften sich etwa von selbst verbieten.“

.

„Das ist rechtlich in Ordnung, slange es freiwillig ist und man anonym bleibt.“

Hans-Jürgen Papier, 2002 bis 2010 Präsident des Bundesverfassungsgerichts, am 2.4.2020 in der SZ auf die Frage, was er von einem solchen (s.o.) Modell halte

.

Internetseite von PEPP-PT

Am 10. April 2020 kündigten Google und Apple eine Partnerschaft für eine Berteibssystem-übergreifende Contact Tracing Lösung an. Im Laufe des Main 2020 sollen hierfür Schnittstellen (APIs) entwickelt und bereitgestellt werden, die gegenseitiges Tracking mit Handys beider Betriebssysteme ermöglichen (erste Details hier). Apps von Gesundheitsbehörden sollen auf diese APIs zugreifen können. In einem zweiten Schritt sollen später eigene Bluetooth-basierte Kontaktmessungs- Plattformen direkt in die Betriebssysteme integriert werden. Dies würde eine Kontaktverfolgung aller Nutzer ohne zusätzliche App ermöglichen.

Die EU-Kommission forderte inzwischen ein EU-weit koordiniertes Vorgehen und kündigte bis zum 15. April ein Konzept zur Datenschutz-konformen Umsetzung an

Die Digitale Gesellschaft fordert am 15.4.20 für Corona Apps, „eine vollständige Datenschutzprüfung durchzuführen und diese zu veröffentlichen“.

siehe auch Kann eine Coronavirus Tracing App vertretbar sein?