Entwickler der neuen Corona-App: „Auch alle Zufallskontakte in der U-Bahn können gewarnt werden“
IT-Experte Chris Boos berät die Bundesregierung und hat die Technik entwickelt, die Datenschutz in der Corona-App sichern soll. Hier erklärt er, wie das geht.
Herr Boos, Sie stehen an der Spitze der PEPP-PT-Initiative, dem „Pan-European Privacy-Preserving Proximity Tracing“. Diese entwickelt einen Standard für eine App, mit der Bürger einmal überprüfen sollen, ob sie mit Infizierten in Kontakt gekommen sind. Wie funktioniert das?
Fast jedes Smartphone hat heutzutage einen Bluetooth-Sender an Bord. Wir messen damit den Abstand und die Dauer zwischen zwei Handys. Wenn Sie sich also mit ihrem Handy in der Tasche im öffentlichen Nahverkehr bewegen, kann ihr Gerät alle Kontakte im Umfeld von zwei Metern abspeichern. All das geschieht absolut anonym. Für die App ist jeder App-Nutzer lediglich eine zufällige Kombination aus Buchstaben und Zahlen.
Wie soll das gegen das Coronavirus helfen?
Kommt es bei ihnen zu einer Infektion, können über die App alle Kontakte der letzten Tage gewarnt werden. Auch alle Zufallskontakte in der U-Bahn oder im Restaurant, die man gar nicht persönlich kennt und dem Gesundheitsamt nicht nennen könnte. Die wissen dann, dass sie sich ebenfalls testen lassen müssen. So können wir das Virus früher und gezielter eindämmen und kommen vielleicht an einen Punkt, an dem pauschale Einschränkungen nicht mehr notwendig sind.
Eine solche Technologie klingt nach Überwachung, wie man sie sonst nur aus nicht-demokratischen Ländern wie China kennt. Wie unterscheiden Sie sich von anderen Lösungen?
Unser App-Konzept stellt sicher, dass die Privatsphäre aller Nutzer gewährt bleibt. Statt der Handynummer oder einer eindeutigen Geräte-ID werden bei der Begegnung immer nur temporäre IDs abgespeichert. Diese Schlüssel verändern sich zudem ständig. Wir erstellen also keine Bewegungsprofile und wir tracken keine Mobilfunkdaten.
Der PEPP-PT-Standard wurde am 1. April offiziell vorgestellt. Was ist seitdem passiert?
Wir haben als Expertennetzwerk mit 130 Mitgliedern aus mehr als acht europäischen Ländern begonnen. In den letzten Wochen haben sich uns mehr als 40 Forschungseinrichtungen und Unternehmen angeschlossen. Wir wachsen so stark, dass es schwer ist, eine Übersicht zu behalten.
In dieser Woche haben Bund und Länder erstmals offiziell die Unterstützung des PEPP-PT-Standards erklärt. Die digitale Verfolgung von Infektionsketten sei ein wichtiger Baustein, um die Pandemie besser kontrollieren zu können, heißt es in den Beschlüssen von dieser Woche.
Zunächst muss die Reproduktionszahl – die Zahl die angibt, wie viele Menschen ein Infizierter im Schnitt ansteckt – stabil unter 1 gesenkt werden. Erst in der Phase danach, wenn Beschränkungen wieder gelockert werden, kann die App ein zentraler Baustein für den Kampf gegen das Coronavirus werden. Wenn Sie sich das Leopoldina-Papier anschauen, können Sie sehr gut sehen, dass die Regierung einen ganzen Strauß an Maßnahmen vorbereitet. Alle Elemente zielen darauf ab, eine Pandemie zu verwalten. Für smartes Pandemiemanagement sind technische Lösungen wie eine Tracing-App ideal, denn sie ermöglicht eine Alternative zu pauschalen Kontaktsperren und anderen Lockdown-Maßnahmen.
Es galt lange als offenes Geheimnis, dass Wissenschaftler aus dem Robert Koch-Institut und dem Heinrich-Hertz-Institut sowohl im PEPP-PT-Netzwerk aktiv sind und gleichzeitig direkt für die deutsche Regierung an App-Lösungen arbeiten. Ist nun entschieden, wer die deutsche App entwickelt?
Da müssen sie die Regierung fragen. Wir freuen uns, dass sich die Verantwortlichen mit uns für einen datenschutzkonformen und sicheren Standard entschieden haben. Eine fertige App brauchen wir erst, wenn wir in die Phase der Lockerungen kommen. Auf unserer Architektur können dann unterschiedliche nationale Apps entstehen, die dann alle miteinander kompatibel sind.
Für die technische Überprüfung hatte die Bundesregierung unter anderem Tests mit Soldaten in der Berliner Julius-Leber-Kaserne durchgeführt. Wie funktioniert das Tracing mit Bluetooth in der Praxis?
Die Tests im Freien und in Gebäuden zeigen, dass die Entfernung zwischen zwei Geräten mit einer Genauigkeit von 90 bis 95 Prozent gemessen werden kann. Auch ob ein Fenster oder eine Wand dazwischen ist, versteht die App.
Das ist ein wichtiger Baustein, wenn sie beispielsweise an Schulen denken: Wenn zwei Schüler nur einen Meter voneinander entfernt sitzen, aber in unterschiedlichen Klassenräumen, dann registriert die App eben keinen Kontakt. Insgesamt hat das Heinrich-Hertz-Institut hier sehr saubere Ingenieursarbeit abgeliefert.
Was ist eigentlich mit Personen, die über kein Smartphone verfügen und die App nicht nutzen können?
Auch dafür arbeiten wir an Lösungen. Im PEPP-PT-Netzwerk haben wir mehrere Forschergruppen, die derzeit alternative Bluetooth-Token testen. Sobald wir da gute Ergebnisse haben, werden wir sie mit der Öffentlichkeit teilen.
Welche europäischen Länder haben neben Deutschland zugesagt, den PEPP-PT-Standard zu unterstützen?
Neben Deutschland werden auch Frankreich, Italien, Spanien, Österreich, Dänemark, Malta und die Schweiz PEPP-PT nutzen. Wir freuen uns außerdem auch sehr, dass wir mit dem National Health Service in England kooperieren – Brexit hin oder her.
[Alle wichtigen Updates des Tages zum Coronavirus finden Sie im kostenlosen Tagesspiegel-Newsletter "Fragen des Tages". Dazu die wichtigsten Nachrichten, Leseempfehlungen und Debatten. Zur Anmeldung geht es hier.]
Ist die Initiative damit bereits nach zwei Wochen am Ziel?
PEPP-PT ist mit zwei Zielen angetreten: Eine Tracing-Lösung zu entwickeln, die die Privatsphäre schützt und sicher ist. Das haben wir geschafft. Das zweite Ziel ist, diese Lösung zu einem Exportschlager zu machen. Da sehe ich noch viel Potenzial, sowohl in Europa als auch über die Grenzen des Kontinents hinaus.
Die Initiative DP3T verfolgt ein ganz ähnliches App-Konzept wie PEPP-PT und wurde bisher auf der Webseite von PEPP-PT offiziell unterstützt. Gestern sind die Hinweise auf DP3T verschwunden. Gibt es Streit?
Zwischen Wissenschaftlern gibt es immer Diskussionen um die beste Lösung, und das ist auch gut so. Im Kern geht es um die Frage, ob Tracing-Apps dezentral kommunizieren oder zentral über einen Server. Beides hat Vor- und Nachteile, was Sicherheit, Angriffsvektoren und Kryptografie betrifft.
Ein Beispiel: Bei der dezentralen Lösung entsteht viel Traffic zwischen den Geräten; bei der Lösung mit Server muss ich dem Betreiber des Servers vertrauen, da dort die anonymen IDs der Nutzer gespeichert werden. In einem Land kann das eine System sinnvoll sein, in einem anderen Land die andere Lösung. Bei PEPP-PT müssen wir sicherstellen, dass beide Ansätze interoperabel funktionieren. Für Deutschland stelle ich mir eine Server-Lösung vor.
Und warum wurde die Webseite angepasst?
Es gibt weitaus mehr Ansätze als nur zentrale oder dezentrale Lösungen, daher wollten wir neben dem PEPP-PT nicht nur einen weiteren Vorschlag auf der Webseite featuren. Man sollte aus dieser Debatte keine Religionsfrage machen. Wichtiger ist es, sicherzustellen, dass die Maßnahme in beiden Fällen technisch sauber funktioniert und die Privatsphäre achtet. Wir müssen vermeiden, dass wir durch Fachdebatten das Vertrauen der Bürger in Lösungen verspielen.
Kritiker werfen ihnen Intransparenz vor. Im Gegensatz zu DP3T haben Sie bisher keinen Code veröffentlicht.
Jedes Unternehmen und jeder Wissenschaftler, der bei uns ernsthaft mitarbeiten will, hat Zugriff auf unsere Spezifikationen. Wir verstecken nichts. Gleichzeitig wollen wir, dass unser Code unter Sicherheitsaspekten einmal komplett überprüft wurde, bevor er Open Source wird. Ich halte nichts davon, dass Software beim Kunden reift. Sobald das gewährleistet ist, werden wir den Code auch der Öffentlichkeit zugänglich machen.
[Behalten Sie den Überblick: Jeden Morgen ab 6 Uhr berichten Chefredakteur Lorenz Maroldt und sein Team im Tagesspiegel-Newsletter Checkpoint über die aktuellsten Entwicklungen rund um das Coronavirus. Jetzt kostenlos anmelden: checkpoint.tagesspiegel.de.]
Auch Google und Apple haben Unterstützung bei der technischen Umsetzung angeboten.
Die Schaffung einer Schnittstelle für Tracing-Apps ist ausgesprochen hilfreich – insbesondere von den Unternehmen, die das Betriebssystem von 99 Prozent aller Smartphones in Deutschland stellen. Wir bei PEPP-PT werden die Schnittstelle von Google und Apple nutzen. Wenn dadurch Apps leichter zu programmieren sind, erhöht das die Qualität – und damit die Akzeptanz beim Nutzer.
Beide Unternehmen planen außerdem, mittelfristig eine eigene Tracing-Funktion direkt in das jeweilige Smartphone-Betriebssystem zu integrieren. Apps würden so unnötig werden. Was halten sie von der Ankündigung?
Was Google und Apple hier im Detail vorgeschlagen haben, Bedarf wahrscheinlich Änderungen. Andernfalls werden wir womöglich neue Diskussionen mit Datenschützern und der Politik führen müssen, die Bürger von einer freiwilligen Nutzung von Tracing-Lösungen abschrecken.
Chris Boos gründete 1995 das auf Künstliche Intelligenz (KI) spezialisierte Unternehmen Arago und ist Berater der Bundesregierung zu Digitalfragen.