30. Mai 2020, 15:42

Corona Warn App - Teil III

Corona Warning App - in the meantime

Seit dem zweiten Teil ist einiges passiert. Erste Versionen der Android- und iOS-Apps sind erschienen, die Repositories der Server-Backends und auch die Website1.

Ich kann es gar nicht so oft und deutlich hervorheben: Was das Projektteam - zwischenzeitlich ist auch ein Mädel hinzugekommen - hier macht ist für ein derart medienwirksames Public-Private-Projekt in Deutschland bislang einmalig, die Vorgehensweise einfach mustergültig. Wenn Vorschläge, Fragen, selbst die eine oder andere qualifizierte Kritik über den dafür vorgesehenen Kanal Github kommen, dann ist das für eine Open Source Software als normal zu bezeichnen.

Es geht weiter mit dem letzten Teil meiner kurzen Serie. Viel Spaß beim Lesen!

The Continuation: Nur ein Baustein

Die Corona-Warning-App ist nur ein Baustein von mehreren. Wie im letzten Teil gesehen sind die Serverdienste und Schnittstellen im Backend wichtiger. Sicherheitstechnisch spielt dort die Musik. Dort melden sich Mitarbeiter von Callcentern und Gesundheitamt an, dort besteht eine Kommunkation über Schnittstellen zu anderen Systemen (zu einem davon gleich noch ein paar Worte). Positiv zu erwähnen ist, daß eine OpenID und 2-Faktor Authentifizierung in der Dokumentation vorgesehen sind. Client-Zertifikate Ihrerseits sichern die Server-zu-Server Kommunikation ab2.

Daher lehne ich mich aufgrund der Feststellungen in den ersten beiden Blogteilen beruhigt aus dem Fenster und behaupte, dass die App auf den Geräten unkritisch sein wird. Von vielleicht kleineren Fehlern abgesehen, passen Methodik und die eingesetzten Tools. Es wird offen und nativ für die jeweiligen Systemen programmiert und ich erwarte keine groben handwerklichen Schnitzer.

Was der ganzen Architektur jedoch fehlt ist der Nachweis, daß die Version auf den Servern auch den aus den Repos entspricht. Wer auditiert und garantiert einem, daß keine “Erweiterungen” installiert wurden? Diese Lücke ist kaum nachprüfbar.

Abnormale User-Stories

Kommen wir zu den abnormalen Dingen. Eine Gruppe von Aktivisten und Wissenschaftlern hat im Rahmen der P3P zahlreiche Beispiele gesammelt und auf Ihrer Website zusammengeführt3.

Beim Lesen wird offenbar, wie verwundbar wir trotz maximaler Sicherheit und Datenschutz bleiben. Alle nachfolgenden Beispiele kommen ohne Hacking der Geräte oder der Kommunikation aus und decken Schwächen “by Design”:

Ist jemand krank?

Jemand möchte wissen, ob und wann seine Mitbewohner erkranken. Dafür reicht ein altes Zweitgerät mit installierter App, das im Treppenhaus oder hinter dem Eingangsbereich als statischer Empfänger für eine gewisse Dauer alle RPI einsammelt. Meldet sich nun einer der Nachbarn als Infiziert, erfährt es zeitgleich auch ein Dritter. Nun mag der Nachbar unkritisch klingen. Wie ist es bei einem Paparazzo, einem Stalker, Vermieter oder Arbeitgeber?

Bewerbungsgespräch

Eine wichtige Stelle für ein zeitkritisches Projekt wird vergeben. Drei gleich gute Bewerber stellen sich vor. Für jeden wird jeweils ein extra Smartphone mit der App während des Vorstellungsgespräches positioniert. Nach 14 Tagen erfolgt die Entscheidung, wen man nimmt und wen nicht. Ein Blick auf die drei Geräte zeigt dem Arbeitgeber an, wer für die nächste Zeit besser nicht genommen werden sollte.

Die Verhinderung

Ein Fußballspieler ist wichtiger Akteur in einem anstehenden Champions-League Spiel. Um zu verhindern, dass dieser spielt, reicht es aus, sein eigenes Mobiltelefon in die Nähe zu bringen und sich anschliessend krank zu melden. Oder einem Erkrankten aber noch nicht gemeldeten sein Handy weiterzugeben. Der Spieler erhält eine Benachrichtigung und muss sich in Quarantäne begeben.

Der Systemgegner

Ein Systemgegner zeigt erste Symptome von COVID-19. Um möglichst großen Schaden anzurichten, befestigt er sein Smartphone am Halsband seines Hundes und lässt diesen beim Spaziergang frei herumlaufen. Oder er lässt eine Drohne mit dem Smartphone im Gepäck über die Häuser anderer hinreichend lange - in den Dokumenten ist von 10-15 Minuten Expositions-Dauer die Rede - schweben oder er wandert absichtlich an möglichst viele Orten, bevor er sich testen lässt. Solche Menschen könnten demächst im Darknet besonders gesucht werden und sich über zusätzliche Einnahmemöglichkeiten freuen.

Der Bart-Simpson-Typ

Eine Klausur steht an, die ein Schüler oder Student nicht schreiben will. Im Darknet erfährt er die gehandelten Kontaktdaten eines anderen Infizierten mit Symptomen, der noch nicht offiziell getestet wurde. Man vereinbart, die Telefone zu tauschen. Mit dem neuen Gerät geht der Schüler überall in seiner Schule umher. Wird der bislang ungeteste Fall (des Infizierten) offiziell, erhalten alle Mitschüler und Lehrer die Benachrichtigung, in Quarantäne zu gehen.

Bei einigen der gezeigten Beispielen wird der Einwand kommen, niemand habe die Absicht, eine Überwachungs-Infrastruktur aufzubauen. Niemand wird gezwungen, eine solche App zu laden. Benachrichtigungen können auch ignoriert werden, TEstergebnisse auf den bekannten manuellen Wegen verarbeitet werden. Ist das glaubhaft wenn gleichzeitig mit “Komfortfunktionen” Nudging betrieben wird? Politiker wie ein gewisser Axel Voss preschen bereits hervor und möchten Restaurantbesuche und Reisen von der App-Nutzung abhängig machen4?

Function Creeping

Mit diesem Begriff sind Maßnahmen gemeint, die bei etwas, was einmal in der Welt ist, immer mehr “dranflanschen”. Dabei erscheint jeder Schritt allein betrachtet als nicht schwerwiegend. Wer bei einem kleinen Funktionsupdate, oder Optimierung gleich mit einer Grunddatz-Diskussion ankommt, riskiert sogar schräg angeschaut zu werden. Doch viele kleine Trippelschritte bergauf enden alle irgendwann auf einem Berggipfel.

Eine aus guten Gründen eingeführte App, kann sich im Nachhinein als eine Büchse der Pandora erweisen. Denn guten Gründe sind immer relativ und können sich jederzeit ändern. Was passiert, wenn künftige Interpretationen heutiger Begriffe sich Bahn brechen? Heute ist es COVID-19, morgen vielleicht Sinti und Roma? Jemand möge sich einmal bitte die Aussagen des US-Bundesstaates Minnesota auf der Zunge zergehen lassen, aufgrund der aktuellen Unruhen in den USA die dortige Contact-Tracing App zur Verfolgung von Black-Lives-Matter Demonstranten einzusetzen5.

Wir brauchen aber gar nicht so weit zu gehen. Erinnern wir uns an das offenkundig krude Rechts- und Technikverständnis des BND. Bei der Frage, was denn eine “Maschine-Maschine” Kommunikation sei antwortete ein hochrangiger Beamte, daß dieses aus Sicht des BND das Einbuchen eines Smartphones an einen Funkmast sei. Sämtliche rechtliche oder datenschutzrechtiche Rahmen würden somit entfallen, da diese ja nur bei einer Kommunikation zwischen Menschen gelten würde6.

Daten vs. Selbstbelastungfreiheit

Es ist eine Errungenschaft unseres Rechtsstaats, daß sich ein Beschuldigter nicht selbst belasten muß. Selbst die Pflichtangaben zur Person wie Name, Adresse, Beruf, Nationalität etc. können mitunter verweigert oder intelligenter: Mit Pseudo- und Fake-Angaben beantwortet werden, da bereits mit Kenntnis dieser Daten mit einer gewissen Präjudiz einhergehen könnte. Einen schönen Blog dazu hat unlängst der Anwalt Hoenig aus Berlin geschrieben7.

Die Selbstbelastungfreiheit wird zur Farce, wenn wie unsere Daten nicht im Griff halten und einst freigegebene Daten nicht zurückrufen oder gar löschen können.

Jetzt mag jemand einwenden “ich bin kein Krimineller” oder es kommt der allseits bekannte Spruch “Ich habe nichts zu verbergen”. Eine sehr einfache Sicht der Dinge. Was passiert, wenn jemand zu Unrecht etwas bezichtigt wird? Wenn die heutige Frau oder Freundin sich morgen trennt und einem etwas unterschiebt nur um verfahrenstaktisch die besseren “Argumente” bei einer Umgangs- und Sorgerechtregelung der gemeinsamen Kinder zu haben?

Was ist ein Leben wert?

Diese Frage sollte jeder mit sich selbst ausmachen. Grundsätzlich trackt jedes Android-Gerät umfassender und sogar mit genauen GPS Positionen seine Benutzer als es die Corona-Warning-App könnte. Die norwegische Behörde für Konsumschutz zeigt das in Ihrem kurzen Video sehr gut8.

Und wie relativ die Produkte und Aussagen von Google oder Apple sind, kann man an diesem jüngsten Fall sehen, wo sich der “Inkognito-Modus” als etwas völlig anderes erweist, was dieser vorgibt9.

Wer bislang unbedarft seine Daten mit den Herstellern oder den sogenannten sozialen Medien geteilt hat, der hat aus meiner Sicht kein Argument, etwas gegen die Corona-Warning-App zu sagen.

Nun mag man aber auch einwenden, daß Google nunmal keine Polizei oder Ermittlungsbehörden hat, die einen morgens früh an der Haustür begrüssen.

Auf der anderen Seite rettet man mit der Nutzung der App möglicherweise wirklich Leben. In ganz Australien führte die App zu einer einzigen (!) Warnung10. Wie wertvoll ist nur ein Menschenleben? Diese Abwägung kann nur und muß auch jeder für sich treffen.

Ich weiß nur, daß es niemals dazu kommen darf, dass eine Organisation oder ein Behörde diese allene treffen sollte.

Es gibt Wichtigeres als Apps

Vielleicht sollten wir beginnen den Erfolg einer App oder Projektes unter einem anderen Licht zu betrachten. Dazu bringe ich nur ein Vergleich ins Spiel. Betrachten wir uns eine vergleichbare Fachanwendung mit dem Namen DEMIS − Deutsches Elektronisches Melde- und Informationssystem für den Infektionsschutz an11.

Seit 2016 sind bislang 5.7 Mio EUR als Projektsumme regelrecht verbrannt, denn diese Mittel wurden zum größten Teil zur Finanzierung von Planstellen eingesetzt12.

Start der App? Unbekannt. Liegt überhaupt Code vor? Ebenfalls unbekannt. Ende 2020 soll es nach einigen Quellen so weit sein, andere Quellen sagen etwas von 2022. Es könnte aber auch noch viel später werden. Die Website verrät nur, daß es 2019 erst ein erstes Treffen des DEMIS Planungsrates statt fand. Leider handelt es sich dabei auch um den letzten Eintrag in der Rubrik “Aktuelles” auf der Projektwebsite13.

Betrachten wir uns den bisherigen Umgang der Meldezahlen und die Art und Weise wie diese teilweise per Fax oder Excel Tabellen verarbeitet werden. Fax und Excel! Das eine ist eine Entwicklung aus der Mitte des 19. Jahrhunderts, die andere aus den den 80er Jahren des 20. Jahrhunderts. Nur kurz zur Orientierung: Wir befinden uns aktuell im 21. Jahrhundert.

In aufwändigen Forecast-Modellen werden die ankommenden Daten beim RKI bereinigt, amendiert und rückwirkend “geglättet” damit zum Beispiel die Schwankungen zu Wochenenden heraus gerechnet werden können? Warum ist niemand in der Lage, stündlich bis hinunter auf die Landkreise und Städte eine Übersicht der wichtigsten Kennzahlen anzubieten? So wie es Pavel Meyer auf seiner Seite versucht14.

Und Nein, bitte jetzt kein Bashing auf unsere föderalen Strukturen. Diese sind sehr gut und möglicherweise mit ein Grund dafür, daß es uns im Vergleich zu anderen Ländern so gut geht. Dazu reicht nur ein Blick in jene Länder, wo es zentralisierte Gesundheitssysteme gibt. Meine englischen Freunde, obwohl so stolz auf Ihre NHS, blicken durchaus neidisch auf unsere dezentrale Strukturen.

Was ist nun erfolgreicher? Eine in kürzester Zeit als Open Source und in bestmöglicher Transparenz und Datenschutz hergestellte Corona-Warning-App mitsamt der Server-Infrastruktur dahinter oder ein dahinsiechendes, intransparentes Projekt, das von der Realität kalt erwischt und überholt wurde? Digitalisierung wurde bislang eher stiefmütterlich und wenn, dann komplett falsch behandelt. Private-Public Partnerschaften und Compliance als Feigenblätter für Vitamin-B und einem Abgreifen lukrativer und steuermittelfinanzierter Projekte.

Ich wünschte die FAZ - also die BILD für selbsternannte Bildungsbürger - hätte uns mit diesem Artikel “Wieder eine Chance vertan: Die deutsche Corona-Warn-App” verschont15.

Ein Wettrüsten beginnt

Wir stehen erst am Anfang von etwas, was unsere Zivilisation zuletzt mit der Pest im Mittelalter erlebt hat. Solange es keine wirksame Therapie oder ein Impfmittel gibt, wird Corona Bestandteil in unserem Leben bleiben16.

Bedroht COVID-19 Leben und Gesundheit, so bedroht eine Tracing-App unser Zusammenleben.

Das Wissen, ob jemand COVID-19 hat oder demnächst bekommen wird, wird zur wirtschaftlichen Existenzfrage. Am Beispiel des Coesfelder Schlachtbetriebes mit seinen mutmaßlich prekär Beschäftigen wird das sehr gut deutlich. Hätte das Unternehmen einen Wissensvorsprung von nur 1-2 Tagen, dann wäre die Geschichte womöglich anders verlaufen. Welchen Aufwand und Maßnahmen hätte das Unternehmen ergriffen, nicht plötzlich derart prominent in den Medien zu stehen und eine ganze Regionn in den erneuten Lock-Down zu bringen?

Unternehmen werden Maßnahmen ergreifen, um an dieses Wissen zu gelangen. Legale, grenzwertige und grenzüberschreitende. Im Gegenzug werden Erkrankte mit beginnenden Symptomen aus Ihrer Lage Profit schlagen und einen Gang zum Arzt oder Gesundheitsamt möglichst lange hinauszögern, damit Ihre Smartphones gewinnbringend zur “Anwendung” an Mitbewerbern oder Mitmenschen kommen können.

Diese Blog-Serie steht ebenfalls im Kuketz-Forum und kann dort weiter thematisiert und diskutiert werden.

In diesem Sinne,
Euer Tomas Jakobs


  1. https://github.com/corona-warn-app ↩︎

  2. https://github.com/corona-warn-app/cwa-verification-portal/blob/master/docs/architecture-overview.md ↩︎

  3. https://tracing-risks.com/ ↩︎

  4. https://www.faz.net/aktuell/politik/wer-die-corona-app-hat-soll-zuerst-wieder-ins-restaurant-duerfen-16759932.html ↩︎

  5. https://nitter.net/NBCNews/status/1266758240018276352 ↩︎

  6. https://logbuch-netzpolitik.de/lnp346-grundrechtsimperialismus ↩︎

  7. https://www.hoenig.de/2020/angaben-zur-selbstbelastung/ ↩︎

  8. https://www.youtube.com/watch?v=qIq17DeAc1M ↩︎

  9. https://www.heise.de/news/Datensammelei-trotz-Inkognito-Modus-Google-soll-Privatsphaere-verletzen-4772637.html ↩︎

  10. https://www.theguardian.com/world/2020/may/24/how-did-the-covidsafe-app-go-from-being-vital-to-almost-irrelevant ↩︎

  11. https://www.rki.de/DE/Content/Infekt/IfSG/DEMIS/DEMIS_node.html ↩︎

  12. https://dip21.bundestag.de/dip21/btd/19/188/1918831.pdf ↩︎

  13. https://www.rki.de/DE/Content/Infekt/EpidBull/Archiv/2019/Ausgaben/08_19.pdf?__blob=publicationFile ↩︎

  14. https://pavelmayer.de/covid/risks/ ↩︎

  15. https://www.faz.net/aktuell/wirtschaft/digitec/digitalisierung-die-geschichte-der-deutschen-corona-warn-app-16796691.html ↩︎

  16. https://www.youtube.com/watch?v=3z0gnXgK8Do ↩︎

© 2020 Tomas Jakobs - Impressum und Datenschutzhinweis