Proximity Tracing. So anonym ist die Corona-App

Seit die Corona-App Mitte Juni in Deutschland auf den Markt kam, wurde sie millionenfach installiert. Für ein Land, das in Sachen Datenschutz als vergleichsweise sensibel gilt, ist dies eine beachtliche Tatsache – auch angesichts der relativ niedrigen Infektionszahlen und dem daraus resultierenden relativ geringen Ansteckungsrisiko hierzulande.

Ein wesentlicher Grund für das Vertrauen in die App ist ihre Anonymität – im Hinblick auf die Identität der Nutzer, ebenso wie auf deren Bewegungsverhalten und deren gesundheitlichen Status. Was dieser Anonymität technisch zugrunde liegt, erklärt Jean-Pierre Höhmann in seinem Talk für das IT Security Meetup Kassel.

Hammer und Tanz

Um die Corona-Pandemie einzudämmen sind weltweit ähnliche Werkzeuge im Einsatz: vom häufigen Händewaschen bis zum Tragen von Atemschutzmasken, von der Einschränkung persönlicher Kontakte bis hin zum totalen Lockdown ganzer Lebensbereiche – sie alle haben sich aus epidemiologischer Sicht als hilfreich erwiesen.

Doch insbesondere der Lockdown birgt nicht nur Chancen, sondern erhebliche Risiken, die nur schwer gegen die Gefahren der Pandemie selbst aufzuwiegen sind. Die Rede ist nicht von vorübergehenden Umsatzeinbußen, sondern von einer Wirtschaftskrise, die ganze Existenzen bedroht. Aus diesem Grund ist ein Lockdown wie jede andere wirksame Medizin mit Vorsicht zu genießen und die Nebenwirkungen so gering wie möglich zu halten. Auf die Phase eines Lockdowns (Virologen nennen das „Hammer“) muss die Phase des „Tanzes“ folgen, also eine Zeit, wo man flexibel auf das lokale Pandemiegeschehen reagiert, ohne alle unterschiedslos in Massenquarantäne zu schicken.

Dabei helfen soll die Corona-App: ein Tool zur Nachverfolgung sozialer Kontakte und zur Unterbrechung von Infektionsketten. Die Technologie dahinter: Proximity Tracing.

Proximity Tracing

Proximity Tracing ist die automatisierte Form des klassischen Contact Tracings, das von den Gesundheitsämtern bisher mit sehr viel manuellem und personellem Aufwand geleistet werden musste. Der entscheidende Vorteil: Was von den Ämtern im Falle einer Infektion mühsam und rückwirkend rekonstruiert werden musste – nämlich das Bewegungsprofil des Erkrankten – geschieht dank der Corona-App jetzt synchron und automatisch.

Sie verfolgt die täglichen Wege des Nutzers. So findet sie heraus, wer zu wem in Kontakt stand und ob unter diesen Kontakten möglicherweise infizierte Personen waren. Das tut sie so anonym, dass zu keinem Zeitpunkt auch nur die leiseste Hinweis auf die Identität der Nutzer entsteht. Infiziert sich nun einer dieser Nutzer mit dem Virus, informiert die App alle Nutzer, die für einen ansteckungsrelevanten Zeitraum von 10 Minuten in seiner Nähe waren.

Bluetooth macht‘s möglich

Unter allen infrage kommenden Lokalisierungstechnologien hat sich Bluetooth als die mit dem geringsten Daten-Fußabdruck erwiesen. Während GPS nämlich Rückschlüsse auf die geografische Position des Handys zulässt und Ultrasonic Zugriff auf das Handy-Mikrofon verlangt, tauscht Bluetooth lediglich anonyme Keys zwischen den beteiligten Geräten aus – ohne Ort und Identität des Nutzers zu verraten. Dazu kommt, dass Bluetooth zuverlässiger ist als Sendemasten und über alle Anbieter hinweg sehr weit verbreitet.

Zentral oder dezentral? Eine Frage des Protokolls

Ein weiterer Baustein für den hohen Anonymisierungsgrad der Corona-App ist das Protokoll bzw. Speicherart und Speicherplatz der Daten

  • PEPP-PT*
    Beim von Deutschland anfangs favorisierten PEPP-PT  wären die Daten zentral in der Cloud gespeichert worden. Ein Umstand, der Bedenken laut werden ließ, der Cloud-Betreiber könne so unbemerkt auf die Daten zugreifen, weshalb Apple diesen Ansatz für das iPhone kategorisch ausschloss.
  • DP-3T** aka Exposure Notification API
    Ein alternativer Ansatz kam ursprünglich aus der Schweiz und konnte auch Apple überzeugen: DP-3T belässt die Daten bis zum Ereignis einer Infektion ausschließlich auf dem Handy des Nutzers und ist der technische Grundstein für das, was Apple und Google heute als Exposure Notification API zur Corona-App beisteuern.

Die genaue Datenschutz-Architektur der Corona-App und des zugehörigen Protokolls wird ab Minute 27″00 im Video vorgestellt.

Kryptographisches Verfahren

Sämtlicher Datentransfer auf der Corona-App ist verschlüsselt. Dazu wird ein kryptografisches Verfahren eingesetzt, das keinerlei Möglichkeit zur Identifikation des beteiligten Handys oder seines Besitzer bietet. Wie das im Einzelnen funktioniert, wird im Video ab Minute 09″16 detailliert erklärt.

Wie global ist die Corona-App?

Noch stößt die Corona-App an nationale Grenzen. Auch deshalb, weil unsere europäischen Nachbarn eigene App-Pläne verfolgen. So ist z. B. Frankreich nach wie vor ein Befürworter von PEPP-PT und es ist zum Zeitpunkt dieses Talks noch nicht klar, wohin die Reise unserer westlichen Freunde gehen wird.

Was für eine gesamt-europäische Lösung auf jeden Fall nötig werden wird, ist ein europäisches Roaming, damit die verschiedenen Apps untereinander überhaupt Daten austauschen können – etwa, wenn ein Franzose in Deutschland auf einen Infizierten trifft und umgekehrt. Noch komplizierter wird das, wenn sich ein Deutscher und ein Franzose in Italien treffen und sich einer von beiden später als infiziert erweist.

Apropos Reisen: Mit steigender Mobilität über die Landesgrenzen hinweg steigt natürlich auch die Anzahl der Kontakte, welche die App erfassen und verarbeiten muss. Auch das kann zur Belastungsprobe werden – sowohl für die Performance der App als auch für die Akkuleistung der Handys.

Matthias Altmann

Matthias Altmann

IT-Security Experte
Scroll to Top