Die 10 Prüfsteine des Chaos Computer Clubs für „Contact-Tracing“-Apps

Im Rahmen der „Corona-App“-Debatte zur Eindämmung der SARS-COV-2 (COVID-19)-Epidemie, hat der Chaos Computer Club (CCC) 10 Prüfsteine veröffentlicht. Sie dienen der Beurteilung der Apps aus einer technischen und gesellschaftlichen Perspektive.

Durch eine App zum „Contact-Tracing“ sollen Infektionsketten schneller zurückverfolgt und unterbrochen werden können. Kontakte von Infizierten könnten schneller alarmiert werden und sich in Quarantäne begeben. Weitere Infektionen würden dadurch verhindert und Infektionsketten unterbrochen. Im Gegenzug bekäme die Gesellschaft einen Teil ihrer Freizügigkeit zurück.

Die primäre Aufgabe einer Corona-App besteht nicht darin, uns selber und unsere Kontakte zu schützen, stattdessen sollen sie Infektionsketten unterbrechen, „indem die Kontakte unserer Kontakte geschützt werden“.[1]

Grundsätzlich kann man festhalten: In dem Konzept einer „Corona-App“, steckt ein enormes inhärentes Risiko. Die Crypto- und Privacy-Community hat in den letzten Jahrzehnten eine Vielzahl von Anwendungsmöglichkeiten für „Privacy-by-Design“-Konzepte und -Technologien entwickelt. Diese Technologien könnten das „Contact-Tracing“ umsetzen, ohne die Privatsphäre zu sehr zu beeinträchtigen. Allerdings müssten verbleibende Restrisiken stets beobachtet und offen debattiert werden.

Der CCC skizziert in einer aktuellen Publikation gesellschaftliche und technische Minimalanforderungen für die Wahrung der Privatsphäre bei der Verwendung derartiger Technologien. Der CCC empfiehlt in diesem Kontext keine konkreten Apps, Konzepte oder Verfahren, sondern er stellt grundsätzliche Erwägungen an und gibt Empfehlungen. Diese werden nachfolgend zusammenfassend dargestellt.

I. Gesellschaftliche Anforderungen

1. Epidemiologischer Sinn und Zweckgebundenheit

Die Beurteilung, inwiefern eine App die Infektionszahlen tatsächlich und nachweislich senkt, obliegt der Epidemiologie. Stellt sich heraus, dass der Einsatz der App nicht sinnvoll und zielführend ist, gilt es das Experiment zu beenden.

Die App und sämtliche gesammelten Daten dürfen nur zur Bekämpfung von SARS-CoV-2-Infektionsketten genutzt werden. Andere Nutzungen müssen „technisch so gut wie möglich verhindert und rechtlich unterbunden werden.“[2]

2. Freiwilligkeit und Diskriminierungsfreiheit

Die signifikante Wirksamkeit einer App setzt einen hohen Verbreitungsgrad in der Gesellschaft voraus. Um ein System zu gewährleisten, dass die Privatsphäre achtet, muss die Nutzung der App gebührenfrei bleiben.

Menschen, welche die Nutzung der App verweigern, dürfen keine negativen Konsequenzen erfahren. Eine Aufgabe, die der Politik und Gesetzgebung obliegt.

3. Grundlegende Privatsphäre

Für den Nutzer ist es nicht ausreichend, „sich auf organisatorische Maßnahmen, Versprechen und Vertrauen zu verlassen.“[3] Es gilt, technische Maßnahmen wie Kryptografie und Anonymisierung umzusetzen, um die Privatsphäre der Nutzer zu schützen.

„Die Nutzerinnen sollten keiner Person oder Institution mit Ihren Daten „vertrauen“ müssen, sondern dokumentierte und geprüfte technische Sicherheit genießen.“[4]

4. Transparenz und Prüfbarkeit

Der vollständige Quelltext der App und Infrastruktur soll frei und uneingeschränkt verfügbar sein. Dies ermöglicht die Auditierung durch interessierte Gruppen.

II. Technische Anforderungen

5. Keine zentrale Entität, der vertraut werden muss

Es gilt, die Nutzung allwissender zentraler Server zu vermeiden. Es ist technisch nicht notwendig, auf die Vertrauenswürdigkeit und Kompetenz eines einzigen Betreibers mit zentraler Infrastruktur zu vertrauen.

Zusätzlich ist die Sicherheit und Vertrauenswürdigkeit zentralisierter Systeme nicht zuverlässig überprüfbar.

6. Datensparsamkeit

Es dürfen nur notwendige Daten und Metadaten gespeichert werden. Nach dem Minimalprinzip dürfen Nutzerinnen nicht dazu gezwungen oder verleitet werden, die Daten Dritter weiterzugeben. Nicht mehr benötigte Daten sind zu löschen. Sensible Daten, die lokal auf dem Smartphone gespeichert werden, müssen verschlüsselt werden. Eine Einwilligung muss explizit eingeholt und jederzeit widerrufbar sein. Die Einwilligung darf keine Voraussetzung für die Nutzung der App darstellen.

7. Anonymität

Die erhobenen Daten müssen für die De-Anonymisierung von Nutzern ungeeignet sein. Die Nutzung des Systems muss möglich sein, ohne dass persönliche Daten erfasst werden. Die Ableitung von Datensätzen durch IDs auf Kommunikationsbegleitdaten wie Push-Tokens, Telefonnummern, verwendeten IP-Adressen, Gerätekennungen, gilt es zu verbieten.

8. Kein Aufbau von zentralen Bewegungs- und Kontaktprofilen

Der Aufbau des Systems darf keine absichtlichen oder unabsichtlichen Rückschlüsse auf Bewegungsprofile zulassen. Location-Logging oder die Verknüpfung von Daten mit Telefonnummern, Social-Media-Accounts sind grundsätzlich abzulehnen.

9. Unverkettbarkeit

Die Generierung einer ID muss so gestaltet sein, dass sie ohne den Besitz des privaten Schlüssels nicht verkettet werden können. Sie dürfen nicht aus anderweitigen Daten abgeleitet werden. Es gilt, die Verkettung von gesammelten „Contact-Tracing“ Daten über längere Zeiträume auszuschließen.

10. Unbeobachtbarkeit der Kommunikation

Aus der Übermittlung von Daten darf nicht unmittelbar geschlossen werden, dass eine Person infiziert ist oder Kontakt zu Infizierten hatte. Dieser Umstand ist gegenüber anderen Nutzern sowie gegenüber der Infrastruktur, Netzbetreibern oder Angreifern mit Einblick in die Systeme sicherzustellen.


[1] https://www.ccc.de/de/updates/2020/contact-tracing-requirements

[2] Ebd.

[3] Ebd.

[4] Ebd.

Bisher ohne Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.