Apple und Google bauen Überwachungsinfrastruktur ein

Wie Heise berichtet, wollen Apple und Google in ihre Mobiltelefon-Betriebsysteme iOS und Android Funktionen einbauen, die den Staaten helfen sollen, mögliche Ansteckungsopfer von Infizierten zu warnen und Infektionsketten nachvollziehbar zu machen. Das klingt ja erstmal schön, denn wer will nicht die Pandemie möglichst schnell überwinden?

Wie so oft steckt der Teufel im Detail. Ich habe mal die spärlichen Entwürfe zu der Spezifikation (Handschrift Apple) überflogen, und im ersten Moment sieht es nach dem Prinzip aus, das seit ein paar Wochen diskutiert wird: Über Bluetooth senden die Geräte IDs aus, und wer sich mit seinem Gerät in der Empfangsnähe des Geräts befindet (angeblich 10-40m), kann sie aufzeichnen. Die Spezifikation sieht vor, daß diese Daten lokal gespeichert werden. Die IDs sind erstmal anonym, d.h., sie werden lokal auf dem Gerät generiert und gespeichert und nicht zentral. Zudem wird in »kurzen« Abständen (15 Minuten, finde ich viel zu lang) eine neue ID generiert. Ein Tracking von außen (z.B. stationäre Geräte) soll damit verhindert werden. Alle IDs eines Tages werden jedoch aus einer Tages-ID generiert und können auch von Dritten rekonstruiert werden, sobald diese Tages-ID bekannt ist. Das sendende Gerät zeichnet natürlich auch die Tages-IDs auf, die es verwendet hat. Positionsdaten, also etwa von GPS und ähnlichen Systemen, sollen angeblich nicht gespeichert werden.

Bis zu diesem Zeitpunkt ist erstmal alles lokal. Wenn sich Apple und Google an ihre Spezifikation halten und es sonst keine Sicherheitslücken gibt, dann bekommen weder die beiden die Information, noch der Staat – wobei hier natürlich noch offen ist, wie sicher die Daten vor der digitalen Forensik sind, also wenn Behörden physikalischen Zugriff auf die Geräte bekommen. Ich vermute mal, daß sie nicht besonders gesichert sein werden.

Wenn sich der Besitzer des Mobiltelefons eine staatliche Applikation installiert, kann diese die aufgezeichneten Daten verwerten. Reguläre Applikationen sollen das hingegen nicht können. Vollen Zugriff sollen die Staatsprogramme aber dennoch nicht bekommen. Gilt der Benutzer als infiziert, kann er das der Applikation mitteilen. Diese fordert dann die oben genannten Tages-IDs vom Betriebsystem an. Apple und Google wollen hier noch eine Bestätigung des Benutzers einholen, damit diese Abfrage nicht im Geheimen stattfindet.

Die Aufgabe der Applikation ist dann, diese IDs an alle andere Mobiltelefone zu übertragen. Dies geht natürlich nicht mehr lokal, sondern über die staatliche Infrastruktur. Die letztendliche Verteilung auf die Endgeräte der Empfänger scheinen offenbar Apple und Google selber machen zu wollen.

Sobald die Tages-IDs der neu infizierten Personen, zusätzlich mit anderen Parametern, wie z.B. Mindestkontaktdauer (vielleicht auch Mindestabstand) angekommen sind, werden sie vom Betriebsystem verarbeitet. Mit den Tages-IDs kann das Betriebsystem alle möglichen gesendeten IDs rekonstruieren und mit den empfangenen IDs vergleichen. Werden die Mindestwerte überschritten, so wird das der Applikation mitgeteilt. Was sie dann daraus macht, obliegt der Applikation. Speziell, was sie an die staatlichen Server weiterschickt. Sollte noch keine Applikation installiert sein, wird der Benutzer aufgefordert, dies zu tun!

Prinzipiell ergibt sich daraus folgendes:

• tatsächlich scheint das für sich gesehen erstmal anonym. Die Applikation kennt rein aus der Schnittstelle heraus nicht die Anwender. Allerdings ist die Frage, ob die Applikation nicht aus anderen Quellen die Identität des Anwenders bekommt, ob durch andere APIs, durch Fingerprinting des Geräts, durch Vorratsdatenspeicherung, Korrelation mit anderen Daten usw.

• aus methodischer Sicht ist es sinnvoll, hier plattformübergreifend einen Standard zu schaffen und die Nutzung zu forcieren. Die Idee steht und fällt mit der Verbreitung auf den Geräten. Wenn es zehn verschiedene Standards gäbe, die alle untereinander inkompatibel wären, dann würde das definitiv nichts bringen. Welche Abdeckung überhaupt jedoch erforderlich ist und ob das medizinisch überhaupt hilft, eine Epidemie einzudämmen, steht auf einem anderen Blatt.

• höchst problematisch ist, daß Apple und Google das fest in ihre Betriebsysteme integrieren wollen. Zuerst soll das zwar als Systemupdate kommen, später soll es aber fester Bestandteil werden. Während man das im ersten Fall noch teilweise abwehren kann (indem man keine Updates mehr einspielt), wird das dann bei Neugeräten nicht mehr gehen.

• Es ist unklar, ob und wann der Benutzer seine Zustimmung zum Senden und Empfangen der IDs gibt; das System ist auch aktiv, wenn gar keine Applikation installiert ist.

• Es ist auch unklar, ob sich Apple und Google von nicht ganz so demokratischen Staaten zwingen lassen werden (der Leser möge für sich entscheiden, ob er Deutschland dazurechnet oder nicht), solch eine Applikation zwangsweise auf den Geräten der Nutzer zu installieren. Daß dann solch eine Applikation höchstwahrscheinlich nicht nur Gutes im Schilde führt, sollte klar sein.

• Auch wenn Apple und Google Vorkehrungen treffen: Ich denke, hier sind leicht Mißbrauchsszenarien zu finden. Beispielsweise kann der Staat eine Infektion bei einer festgenommenen Person vortäuschen. Mögliche Leute, die mit der Person in Kontakt standen, könnten sich arglos beim Gesundheitsamt melden und somit identifiziert werden (wenn das nicht schon die zwangsweise installierte Applikation das macht). Mit der Funkzellenabfrage wird soetwas ähnliches schon lange praktiziert, nur ist die Distanz um Größenordnungen größer. Das funktioniert übrigens nicht nur mit festgenommenen Personen. Bei Demos, an »schützenswerten« Orten könnte man einfach ein paar Bluetooth-Module positionieren, die die IDs aussenden und dann »Infektionsalarm« auslösen. Sicherlich läßt sich so ein Spielchen nicht ewig wiederholen. Es würde irgendwann der Öffentlichkeit auffallen. Aber vielleicht wird es pfiffigere Tricks geben.

Wenn ich das mal zusammenfasse: Eine ganz schlechte Idee. So wirklich vertrauen tut man den Riesen eh nicht mehr, und diese Software wird nochmal erheblich Vertrauen zerstören. Diese System öffnet die Mobiltelefone wieder etwas weiter für den staatlichen Zugriff. Es ist auch eine Form der Bevormundung und Enteignung. Ist es noch mein Gerät oder schon eine staatliche Wanze? Der Datenschutz, die Freiheit bleiben auf der Strecke; Das Gefühl, überwacht zu werden, verstärkt sich, egal, was sie uns versprechen.