Categories
german

PEPP-PT, DP-3T und die Frage des Vertrauens

Auf meinem privaten Blog habe ich in den vergangenen Wochen einen durchaus kritischen und besorgten Blick auf den Umgang mit sogenannten “Corona Apps” geworfen.

In der Financial Times findet sich heute ein Zitat, das es sehr schön auf den Punkt bringt:

In emergencies we must be particularly vigilant and resist the swift temptations of simple technical solutions.

The Computer Scientists Forum for Peace and Responsibility

An dieser Stelle ein Disclaimer: Ich schreibe hier persönlich und privat. Das von mir gegründete Unternehmen grandcentrix wurde im November 2019 von Vodafone übernommen. Vodafone unterstützt derzeit offiziell PEPP-PT. Weder ich persönlich, noch grandcentrix sind Mitglied von PEPP-PT. Mein authentischer und kritischer Blick auf diese Themen blieb und bleibt auch weiterhin von unternehmerischer Zugehörigkeit unberührt.

Grundsätzlich befürworte ich die technologie-unterstützte, effiziente Unterbrechung von Infektionsketten. Ich würde selbst an einem solchen System teilnehmen und damit den Empfehlungen vieler Virologen folgen.

Essentiell für die Wirksamkeit aller angedachten Kontakt-Verfolgungs-Ansätze (“Corona Apps”, “Contact Tracing”, “Proximity Tracing”) ist das Mitmachen von über 60% der Bevölkerung.

Dazu muss man vor allem eines: Vertrauen schaffen. Gleichzeitig trägt man die Verantwortung, transparent, ehrlich, proaktiv und offen zu informieren.

Spätestens als Hans-Christian Boos am 08.04.2020 im SPIEGEL verkündete, die von ihm mit initiierte PEPP-PT würde bereits in 10 Tagen eine App veröffentlichen, wurde ich mißtrauisch. (Tatsächlich kam heute die Meldung, so schnell gehe es nun doch nicht.)

In Interviews wird der Zugang zu PEPP-PT für Start-up-Communities und die allgemeine Offenheit der Initiative betont. Parallel werden PEPP-PT / Corona-Apps fast schon wie bei einem controlled narrative durch die Boulevard-Medien getrieben; Frank Thelen mahnte bei Lanz gar absolute Unbedenklichkeit an, weil “die Amis ja sowieso alles tracken würden”.

Auch Ranga Yogeshwar wird jetzt durch die Talkshows getrieben und fällt dort mit Statements auf wie “Mit App können wir schon in wenigen Monaten zur Normalität zurück kehren, ohne dauert es bis weit ins nächste Jahr.” Das ist für einen Nicht-Virologen bestenfalls gewagt.

Erstaunlich: Tatsächlich ist die Kommunikation von PEPP-PT bislang absolut spärlich. Der Twitter Account ist über ein “Hello World” bis heute nicht hinausgekommen. Ein Blog gibt es nicht. Teilnehmer des größten deutschen Hackathons #WirVsVirus berichten von erfolglosen Kontaktversuchen. Quell-offenen Code oder gar Spezifikationen sucht man vergebens.

Das verursacht Bauchschmerzen.

Apps, die unter absolutem Schutz der Privatsphäre Kontaktketten abgleichen sollen, stellen eine schwierige Herausforderung dar. Noch komplizierter wird es auf Ebene der Plattformen, also quasi den Gegenstücken zu diesen Apps. Richtig ist: Es gibt dafür wahrscheinlich technische Lösungen. Diese brauchen aber Zeit um gut verstanden, unabhängig begutachtet und hervorragend umgesetzt zu werden.

Apple und Google helfen

Den schwierigen Teil der Aufgabe auf den Geräten lösen nun Apple und Google und zwar Mitte Mai direkt im Betriebssystem. Das sind gute Nachrichten. Man weiß dort, was man tut und hat – so wie man es erwarten darf – direkt mit der Ankündigung erste technische Spezifikationen veröffentlicht um die öffentliche Debatte zu ermöglichen. Das nennt man Transparenz.

Offen ist nach wie vor aber dennoch:

  • Wer stellt die Server?
  • Wie wird sichergestellt, dass diese verteilt und dezentral betrieben werden können?
  • Wie wird verhindert, dass an diesen Eingangstoren die Pseudonymisierung der Geräte kompromittiert wird?

In der Presse ist häufig zu lesen, das Bundesamt für Sicherheit in der Informationstechnik (BSI) sei bei PEPP-PT mit an Board, dies alleine sei Grund genug für eine gewisse Gelassenheit. Wenn dem so ist, bekennt sich das BSI auf der PEPP-PT Webseite dazu Stand heute zumindest jedoch noch nicht. Auf der öffentlichen Mitgliederliste steht das BSI nicht.

Gleiches gilt für den Chaos Computer Club. Dessen Sprecher, Linus Neumann, hat zwar einen viel beachteten Artikel zu Anforderungen an ein System formuliert, ist aber gleichwohl (auch) kein Mitglied von PEPP-PT.

Am heutigen Abend habe ich mit Vertretern von Apple Health in Cupertino telefoniert, um Apple’s Position insbesondere rund um offene, unabhängige Ökosysteme zu erfahren. Auch dort habe ich für klare Vorgaben bezogen auf die Plattform geworben, bevor Apple die neuen Schnittstellen für die Telefone ihrer Kunden freigibt. Der Idealfall wäre, wenn Apple zentralen Servern einen Riegel vorschiebt und damit quasi als Gatekeeper über das Privacy Versprechen fungiert. Wir haben vereinbart, im Austausch zu bleiben.

DP-3T

Einer der vielversprechendsten Ansätze wird von einer Initiative der Eidgenössische Technische Hochschule Lausanne (EPFL) unter dem Namen DP-3T entwickelt – und zwar schon deutlich bevor PEPP-PT für so viel mediale Aufmerksamkeit gesorgt hat. Deren führender Epidemiologe Marcel Salathé hat heute den Ausstieg aus der PEPP-PT Initiative mit diesen Worten verkündet:

Ich bin nicht mehr Teil von PEPP-PT. Ich weiss nicht mehr, wofür das Projekt eigentlich steht, und habe kein Vertrauen mehr in das, was passiert. Mir fehlt die Transparenz.

Neue Zürcher Zeitung, 17.04.2020

Es wird noch schlimmer. Der Internet-Nachrichtendienst Golem zitiert Kenny Paterson, Kryptograph an der ETH Zürich und Mitwirkender am DP-3T Protokoll.

“Bislang hat uns niemand erklärt, warum die Informationen zu DP-3T von der Webseite entfernt wurden”, sagte Paterson im Gespräch mit Golem.de. Bei einem am Donnerstag geplanten Online-Meeting seien die Vertreter von PEPP-PT aus Deutschland nicht aufgetaucht.

Golem, 16.04.2020

Scheinbar hat PEPP-PT die Referenzen zum dezentralen DP-3T Ansatz am Donnerstag “still und heimlich” von der eigenen Webseite entfernt. Da fragt man sich zurecht: Warum?

Dass man über die Wayback Machine solche Änderungen jederzeit nachvollziehen kann, scheint den bei PEPP-PT für Kommunikation Verantwortlichen nicht bekannt zu sein.

Und wieder deutet sich ein Muster an: Intransparente oder gar keine Kommunikation. Lobbyismus statt Offenheit. Entscheidungen hinter verschlossenen Türen.

Michael Veale, Dozent für Digitale Rechte und Regulierung an der renommierten UCL, mahnte bereits am 05. April 2020 auf Twitter an:

Tweet von Michael Veale, 05.04.2020

Überraschend ist diese Entwicklung also nicht.

Es deutet sich an, dass unter PEPP-PT eine Lösung mit zentralen Server-Systemen entstehen wird, bei denen das Matching zwischen als infiziert gemeldeten Nutzern und deren Kontaktgraph auf dem Server erfolgt. Aus vielerlei Perspektive ein offensichtliches Privacy No Go.

Das Robert Koch Institut hatte schon bei der Datenspende App eine solche Entscheidung getroffen und mit dem Betrieb der Server ein einzelnes, privatwirtschaftlich organisiertes Unternehmen beauftragt. Bis heute ist in Teilen unklar, was mit den gespendeten Daten passiert und wer Zugriff darauf hat.

Am 08. April warb ich unter dem Titel “Was PEPP-PT von der Corona Datenspende App lernen kann” für Transparenz und Offenheit und habe dafür durchaus hier und dort Kritik geerntet.

In Anbetracht der heutigen Ereignisse erscheint eine Wiederholung mehr denn je sinnvoll:

Proaktive Kommunikation

Nichts befeuert Unsicherheit und Verschwörungstheorien so sehr, wie mangelnde Kommunikation. Eine Initiative die sich eine spürbare, länderübergreifende Auswirkung auf die Fahnen schreibt, muss viel und 100% transparent kommunizieren. Zum Stand der Dinge. Zu technischen Herausforderungen. Zu eventuellen Kompromissen.

Konsequent Open Source

PEPP-PT und darauf basierende Apps und Stand-alone-Tracer müssen von Anfang an durchgängig unter den Augen der Öffentlichkeit entwickelt werden.

Nur so kann eine kontinuierliche und unabhängige Einschätzung der Community erfolgen und zwar insbesondere auch von Experten, die sich gleich aus welchem Grund der Initiative selbst vielleicht nicht anschließen wollen.

Es gibt schlicht keinen Grund, dies nicht zu tun.

Die richtigen Entscheidungen für ein verteiltes Backend

Frank Thelen spricht von einem “europäischen Server”, anderenorts sagt man “diese Kontakte werden dann an das RKI gesendet”.

Ein großer Teil der informationstechnologischen Herausforderung besteht aber gerade darin, dass die Apps mit einem verteilten System kommunizieren müssen, welches in sich ebenfalls konsequent den Schutz der Privatsphäre aller am System teilnehmenden Nutzer gewährleisten muss – und zwar auf allen Ebenen. Denn Teile des Systems werden vielleicht in Ländern betrieben, in denen nicht unsere gesetzlichen Rahmenbedingungen gelten.

Dass PEPP-PT die eigene Webseite zwischenzeitlich auch um Aspekte der Dezentralität bereinigt hat, erscheint insbesondere für eine Initiative, die pan-europäisch im Namen trägt doch sehr verwunderlich.

Schlussworte

Ein Virus hält sich nicht an Zeitpläne. Auch das höre ich oft und es ist leider wahr.

Taugt diese reale Bedrohung aber als Argument für hastige Software-Releases? Meines Erachtens ist es umgekehrt. Sie verbietet sich mehr denn je.

Und noch eines sei gesagt: Man kann natürlich auch mit kleineren Lösungen starten. Man darf ausprobieren und sich iterativ verbessern. Man darf Fehler machen und dazu lernen.

Es ist, wie so oft, eine Frage von Authentizität und Glaubwürdigkeit.

Wahrscheinlich ist ein länderübergreifendes Proximity-Tracing System, dem im Fall von SARS-CoV-2 über 60% der Bevölkerung vertrauen müssen, damit es überhaupt wirksam sein kann, eine Aufgabenstellung für mehr als ein paar Wochen. Dann sollten wir darüber auch sprechen.

Es geht im Kern um Vertrauen und den offenen, ehrlichen Dialog. Es geht nicht um Technologie-Showcases. Es geht nicht um gute PR. Nicht um privatwirtschaftliche Interessen.

Und erst recht nicht darum, dass sich die Digitalbranche ins rechte Licht setzt.