Ein Hub für digitale Ideen: Das Rolex Learning Center an der EPFL in Lausanne.

Die pragmatischen Puristen

Wie ein europäisches Team aus der Schweiz in den digitalen Kampf gegen die Pandemie zog und die grösste Datensammel­maschine aller Zeiten verhinderte.

Von Adrienne Fichter (Text) und Eva Lauterlein (Bilder), 26.06.2020

Unabhängiger Journalismus kostet. Die Republik ist werbefrei und wird finanziert von ihren Leserinnen. Trotzdem können Sie diesen Beitrag lesen.

Wenn Sie weiterhin unabhängigen Journalismus wie diesen lesen wollen, handeln Sie jetzt: Kommen Sie an Bord!

Kaum etwas ist so klar in dieser Krise wie die Art und Weise, wie sie enden wird. Es gibt drei Möglichkeiten.

Erstens: Das Virus zirkuliert so lange, bis genug Menschen entweder immun oder tot sind. Niemand kann das ernsthaft wollen. Zweitens: Eine Impfung oder ein Medikament nimmt dem Virus den Schrecken. Niemand kann wissen, wann und ob Impfstoff und Medikament gefunden werden. Oder drittens: Wir werden so gut darin, das Virus zu entdecken und einzudämmen, dass es zu keinen grossen Ausbrüchen mehr kommen kann. Entscheidend dabei ist, dass wir möglichst gut nachverfolgen können, mit wem eine Infizierte alles in Kontakt war – das sogenannte Contact-Tracing.

Bei der Impfung liefern sich die Grossmächte ein Wettrennen. China und die USA, die EU und Indien – sie pumpen Milliarden in Forschung und Produktion und rangeln jetzt schon um die ersten Impfdosen, von denen noch niemand weiss, ob sie überhaupt wirken.

Bei der dritten Option hingegen, der Eindämmung, da setzt die kleine Schweiz weltweit den Standard: Es waren Schweizer Wissenschaftler, die eine Contact-Tracing-App mit helvetischen Tugenden entwickelten – und damit einen echten Schweizer Qualitäts­export erschufen.

Zumindest wurde es in den Medien in den letzten Wochen oft genauso dargestellt. Die Realität ist einiges komplizierter.

Kompliziert ist auch das Akronym des Forschungs­teams, das die technische Grund­lage für das digitale Contact-Tracing entwickelt: DP3T. Das steht für: Decentralised Privacy-Preserving Proximity Tracing. Seine Arbeit mündete direkt in die Software-Schnitt­stellen von Apple und Google, die inzwischen in Millionen von Smart­phones implementiert sind. Zum Beispiel in Form der Swiss-Covid-App, die seit gestern offiziell für alle verfügbar ist. Sie wurde bereits 150’000-mal heruntergeladen.

Die Zentren der DP3T-Gruppe befinden sich tatsächlich in der Schweiz. Genauer: in Lausanne und Zürich, an der EPFL und der ETH. Doch hier endet die Swissness auch schon. Und die DP3T-Forscherinnen selber sind vom Schweiz-Label befremdet.

Vor dem Start der Swiss-Covid-App haben wir viele der wichtigsten DP3T-Forscher getroffen. Und auch jene, die sie kritisieren. Denn das Team hat im Kampf für eine schnelle digitale Eindämmung des Virus sehr rasch eine Reihe hoch­interessanter Entscheide getroffen.

Auch solche, die sich noch rächen könnten.

Die Gruppe, die es schaffte, den weltweiten Standard für eine datenschutz­konforme Contact-Tracing-Lösung zu prägen, ist ein bunt zusammen­gewürfeltes Team von Expats und Forscherinnen aus beteiligten Universitäten wie der KU Leuven in Belgien oder Oxford. Ein Netzwerk von Macherinnen und Forschenden, die aus Liechten­stein, Gross­britannien, Spanien, den Nieder­landen und anderswo aus Europa kommen.

Was diese Gruppe Menschen einte, war die Mission: Zu verhindern, dass mit dem digitalen Contact-Tracing die grösste Überwachungs­datenbank aller Zeiten gebaut würde. Dazu war eine grosse Portion Pragmatismus nötig.

Und daran stören sich nun einige.

DP3T ist in den vergangenen Wochen immer stärkeren Anfeindungen aus der Wissenschafts-Community ausgesetzt gewesen. Der Vorwurf: Die Gruppe würde die absolute Wahr­heit für sich beanspruchen und «aggressives Marketing» betreiben. Ausserdem enthalte das Konzept Schwächen, die dazu führen könnten, dass infizierte Personen mit Apps auf dessen Basis nicht anonym bleiben würden.

Die Auseinander­setzungen zwischen der DP3T-Gruppe und anderen Forscherinnen dreht sich im Kern um eine alte Frage. Eine Frage, die in der Wissen­schaft immer wieder von Neuem aufkommt, wenn es um Privat­sphäre und Sicher­heit geht.

Was ist wichtiger: ein funktionierendes, aber auch angreifbares System – oder das wissen­schaftlich perfekte Modell?

Bei einer Impfung kann Pragmatismus tödlich enden. Was zum Beispiel, wenn die klinischen Sicherheits­studien so stark abgekürzt werden, dass eine schwere Neben­wirkung erst nach der Zulassung entdeckt wird? Das Vertrauen wäre dahin – und es wäre gut möglich, dass sich viele Menschen dauerhaft gegen eine Impfung wehren würden.

Und beim digitalen Contact-Tracing? Mit einer App, die allein in der Schweiz Millionen von Menschen auf ihr Handy laden müssen, damit sie wirksam ist? Wie sicher muss sie sein? Was wären potenzielle Neben­wirkungen? Und sind diese verkraftbar?

Die Massenüberwachung verhindern

In einem Café in der Nähe des ETH-Haupt­gebäudes treffen wir Kryptografie-Professor Kenneth Paterson. Wegen des Strassenbau­lärms verlagern wir das Gespräch nach drinnen, zu den weit auseinander­geschobenen Tischen, auf denen Desinfektions­mittel steht. Auf einer Liste können die Gäste für das Offline-Contact-Tracing freiwillig Name und Telefon­nummer hinterlassen.

Die Liste ist leer.

Paterson erinnert sich, wie er Mitte März einen Anruf des ETH-Vize­präsidenten Lothar Thiele erhielt. Ob er Lust habe, die Contact-Tracing-App für die Schweiz zu entwickeln. Für den Briten, der seit April 2019 an der ETH Zürich arbeitet, war der Fall klar: «Ich musste das nicht tun, aber ich wollte. Wir sind von der Schweiz finanziert und können damit auch etwas Gutes leisten. Eine solche Tracing-Technologie könnte eine Goldgrube für Geheim­dienste werden. Das galt es zu verhindern.»

Auch enge Winkel können den Blick auf die Welt öffnen.

226 Kilometer weiter westwärts, in Lausanne, fand zu diesem Zeit­punkt ein ähnlicher Gedanken­austausch zwischen dem EPFL-Vize­präsidenten Edouard Bugnion und der IT-Assistenz­professorin Carmela Troncoso statt, sie leitet das «Security and Privacy Engineering Lab».

Mit Sorge blicken die beiden Akademiker nach Asien: In Singapur war zum Beispiel über lange Zeit ein Tool im Internet aufgeschaltet, wo der Standort von Infizierten in Echtzeit beobachtet werden konnte. Betroffene waren dabei nur schwach anonymisiert, bei jedem Eintrag sah man Alter, Beruf und Infektions­historie. Diese Standort­daten stammten zwar nicht von der dort eingesetzten App «WeTrace», die «nur» Begegnungen protokollierte. Doch sobald die App einen möglichen Infekt meldete, griffen Contact-Tracing-Detektive auf Kreditkarten­daten, Überwachungs­kameras und GPS-Daten der Smart­phones zu. Und konnten alle Bewegungen und Kontakt­personen lückenlos nachzeichnen.

Ein weiteres dystopisches Beispiel lieferte Israel, wo anhand von Handy­daten die Verordnung und Einhaltung der Quarantäne kontrolliert wurde. Dabei wertete der Inland­geheimdienst die GPS-Daten, Social-Media-Einträge und etwa 14 Sensoren der Smart­phones von Infizierten aus, so etwa Bewegung, Beschleunigung oder die Licht­verhältnisse. Wenn Personen Infizierten «zu nah» kamen, erhielten sie automatisch eine SMS mit der Aufforderung, sich ebenfalls in Quarantäne zu begeben.

Der Kern der Gruppe, die bald zu DP3T werden sollte, findet sich schnell.

Paterson, Troncoso und Bugnion tauschen sich aus, alte Netzwerke werden aktiviert. Bekannte und Kolleginnen aus der nieder­ländischen TU Delft, der KU Leuven, der Oxford-Universität und weiteren Universitäten schliessen sich der Gruppe an. Man kennt sich aus etlichen Forschungs­kollaborationen und von Konferenzen. 34 Forschende verzeichnet die Liste, die EPFL-Vize Edouard «Ed» Bugnion der Reporterin in die Hand drückt. Und alle Personen, mit denen die Republik für diesen Beitrag gesprochen hat, betonen: Dieses Netzwerk ist europäisch, international.

Ein Kernprinzip war für die Mitglieder von Anfang an klar: Die sensiblen persönlichen Daten müssen auf den End­geräten bleiben. Sie dürfen auf keinen Fall zentral auf einem Server gesammelt werden.

Nur so kann das Schlimmste verhindert werden: Rundum-Überwachung im Stil von Singapur – oder Israel.

«Privatsphäre ist Voraus­setzung für eine intakte Demokratie», sagt Carmela Troncoso. DP3T trägt ihre Hand­schrift, wie praktisch alle Mitglieder einhellig betonen. Die 37-jährige Assistenz­professorin forscht zu «privatsphäre­fördernden Technologien». In verschiedenen Auftritten wie etwa am WEF 2019 weist sie auf aggressive Algo­rithmen hin, die alle möglichen Daten verwurschten, die sie finden. Das Problem in ihren Augen: «Unschuldige» Ansammlungen von Daten, bei denen heute noch nicht klar ist, wofür sie dereinst zu gebrauchen sind. Und die dann für solche Algo­rithmen zur Gold­grube werden.

«Wenn Daten einfach mal pro forma auf Vorrat gesammelt werden, auch ohne konkrete Verwendung, dann wird das gemacht», sagt Carmela Troncoso.

Ein paar Wochen lang sah es danach aus, als würde genau das mit den Covid-Apps in Europa passieren.

Ich will es genauer wissen: So funktioniert die Schweizer App

Die Swiss-Covid-App ist eine Anwendung, die auf Android und iOS herunter­geladen werden kann. Damit sie funktioniert, muss Bluetooth aktiviert werden. Nach der Installation sendet das Smartphone über Bluetooth verschlüsselte IDs aus, sogenannte Prüfsummen oder auch pseudonymisierte Identitäten. Wenn sich ein anderes Smart­phone, auf dem die Swiss-Covid-App ebenfalls installiert ist, für insgesamt mehr als 15 Minuten in weniger als 2 Metern Abstand befindet, tauschen die Geräte ihre Prüfsummen aus. So entsteht eine lokale Liste mit Prüf­summen, die nur auf den jeweiligen Smart­phones abgespeichert wird. Wenn ein Swiss-Covid-App-Benutzer positiv auf das Corona­virus getestet wird, erhält er vom kantons­ärztlichen Dienst einen sogenannten Covid-Code. Erst nach dieser Aktivierung werden die gesammelten Prüf­summen auf den zentralen Server geschickt und die anderen App-Benutzer benachrichtigt. Wer mit der positiv getesteten Person nahe in Kontakt war, wird durch die Swiss-Covid-App informiert. (Eine ausführliche Erklärung lesen Sie in diesem Beitrag.)

«Privatsphäre ist Voraussetzung für eine intakte Demokratie»: IT-Assistenzprofessorin Carmela Troncoso.

Die meisten Staaten wollten erst sammeln wie wild

Ob Frankreichs Digitalminister Cédric O, Deutschlands Digitalberater der Bundesregierung Hans-Christian Boos oder in Gross­britannien Vertreter des berühmten NHS-Gesundheitssystems: In den meisten EU-Staaten hatten die Behörden genaue Vorstellungen, wie sie digitale Kontakt­verfolgung betreiben wollen.

Um Begegnungen zwischen Infizierten und ihren Kontakt­personen nachzu­vollziehen, brauchte es ihrer Ansicht nach: Daten in rauen Mengen. Nur damit könne man Infektions­ketten, Verläufe und Muster rekonstruieren.

Und: Alles sollte zentral gesammelt und ausgewertet werden.

Der Daten­hunger der Schweizer Bundes­behörden dagegen war – gleich null. Das Bundesamt für Gesund­heit stellte keinerlei Ansprüche. Sang-Il Kim, der Leiter Digitale Transformation beim BAG, schreibt auf Anfrage der Republik: «Ich kann ihnen nur mitteilen, dass das BAG niemals über eine zentrale Tracing-App-Lösung nachgedacht hat.»

Ein Insider aus der Strategie-Arbeits­gruppe sagt: Man habe genommen, was kam – einfach, um etwas zu haben. Aber nicht alle eidgenössischen Institu­tionen agierten so passiv. Massgeblich die Nationale Ethik­kommis­sion und der Eidgenössische Datenschutzbeauftragte machten sich für Privat­sphäre stark. Sie prüften das DP3T-Konzept – und gaben grünes Licht für eine Schweizer Tracing-App auf dieser Basis.

Eine gute Ausgangs­lage, um nicht nur in der Schweiz zu verhindern, dass die Contact-Tracing-App zur Über­wachung der Massen führt.

Einflüsterer im Silicon Valley

Die Ambitionen von DP3T waren nie auf die Schweiz beschränkt: Das Konzept sollte welt­weiter Standard werden. Und dafür brauchte es die richtigen Voreinstellungen in den Smart­phone-Betriebs­systemen, die Forscher waren also auf die Mithilfe von Apple und Google angewiesen. Denn das Rückgrat von DP3T ist die Bluetooth-Technologie. Und die war nicht dafür entwickelt worden, Distanz­messungen vorzunehmen und im permanenten Betrieb zu funktionieren, wie es für digitales Contact-Tracing nötig ist.

Ich will es genauer wissen: Kann Bluetooth-Tracing funktionieren?

Es gibt Kritiker, die ganz grundsätzlich infrage stellen, ob das Tracing via Bluetooth funktionieren kann. Tatsächlich sind Bluetooth-Signal­stärken hochgradig volatil und ungenau, weswegen IT-Experten wie Bruce Schneier diese Apps zum Scheitern verurteilen. Mathias Payer, Security-Mastermind der DP3T-Gruppe, berät bei diesen Fragen Google- und Apple-Ingenieure. Er gibt sich zuversichtlich: «Wir brauchen nicht die technisch genaue Distanz zwischen zwei Personen zu wissen. Wir brauchen nur so viel Informationen, um die epidemio­logische Frage beantworten zu können: Ist das ein relevanter Kontakt oder nicht? Dafür haben wir alle Parameter.» Für ihn ist die stetige Kalibrierung work in progress. Es gebe kein Schwarz-Weiss.

Der Trumpf für DP3T: Sie waren die Ersten. Die Forschungs­gruppe veröffentlichte ihr Protokoll bereits früh auf der Plattform Github, schon Anfang April. Und: Sie hatten dank EPFL-Vize­präsident Bugnions lang­jährigem Aufenthalt in Stanford (und auch sonst einem ausgezeichneten Kontakt­netzwerk) manch einen direkten Draht ins Silicon Valley.

Der Durchbruch für die DP3T-Forscherinnen kam am 10. April, als sie eine historische Partner­schaft zwischen Google und Apple einfädeln konnten. Die beiden Tech-Konzerne verpflichteten sich auf eine Schnitt­stelle im Betriebs­system, die nur ein dezentrales Modell zulässt. Und mit der keine Daten zur Lokalisierung von Personen erhoben werden können.

Der hochrangige Google-Kader Dave Burke sagte dazu zwei Wochen später auf einem Panel: «Als wir [...] uns verschiedene Herangehens­weisen angeschaut haben, haben uns die DP3T-Gruppe und ihr Ansatz sehr inspiriert. Und das haben wir dann übernommen.»

Tatsächlich waren Google und Apple nicht nur «inspiriert» von DP3T. Die Wissenschaftlerinnen werden quasi zu den Beratern und Einflüsterern des Silicon Valley. Viele der konzeptionellen Eigen­heiten von DP3T werden 1:1 über­nommen, etwa die Idee, dass die ausgetauschten pseudonymisierten Identitäten auf den Smartphones alle 15 Minuten wieder änderten.

Gedankenaustausch braucht Raum: Der Campus der EPFL.

Neben dem engen Austausch mit den Ingenieuren von Google und Apple verfolgte die DP3T-Gruppe noch ein anderes Ziel: das zentralisierte Modell als Option europäischer Politikerinnen zum Verschwinden zu bringen.

Marcel Salathé, EPFL-Epidemiologe und ebenfalls DP3T-Mitglied, sorgte dafür, dass sich die Gruppe der paneuropäischen sogenannten PEPP-PT-Forschungsgemeinschaft von Unternehmen und 130 Wissenschaftlerinnen anschloss. Dieses Konsortium hätte eigentlich den europäischen Standard für eine Tracing-App etablieren sollen. Doch es sollte sich bald als Farce herausstellen.

Denn der PEPP-PT-Koordinator, der deutsche Unternehmer und Regierungs­berater Hans-Christian Boos, liess DP3T Mitte April still­schweigend und ohne Vorwarnung von der Website des Konsortiums entfernen. (Mehr zu den Streitigkeiten und dem PEPP-PT-Fiasko lesen Sie in diesem Beitrag.)

Die DP3T-Forscher waren entsetzt. «PEPP-PT war im Grunde gar nie europäisch, sondern einfach ein Projekt für deutsche Unter­nehmer mit dem Fraunhofer IT-Institut», sagt ETH-Forscher Paterson. Das Gebaren des PEPP-Koordinators Hans-Christian Boos sei für sie als Akademiker untragbar geworden, sei zur Hypo­thek für ihre akademische Reputation geworden.

Denn das Konsortium plante genau die Art von Dystopie, wovor die DP3T-Forscher warnten: eine zentrale Daten­bank, aus der sich später möglicher­weise KI-Algorithmen bedienen und Geschäfts­modelle speisen können.

Marcel Salathé, der PEPP-PT sogar mitgegründet hatte, stieg nach der Episode um die gesäuberte Website ganz aus dem Konsortium aus. Kurz danach reichte auch Kenneth Paterson stell­vertretend für die ETH Zürich das Austritts­schreiben ein. Weitere Institutionen folgten, darunter die belgische KU Leuven, deren Forschende ebenfalls bei DP3T mitwirkten.

Virtuell kam es zu einem regel­rechten Schlag­abtausch zwischen PEPP-PT, das zwischen­zeitlich nur noch aus deutschen und französischen Firmen und wenigen Forschenden bestand, und DP3T. Publizierte das Konsortium neue Richt­linien für einen möglichen europäischen Standard, folgte innert kurzer Zeit eine Analyse der DP3T-Gruppe. Meist fiel sie vernichtend aus, begleitet von Twitter-Salven von Michael Veale, Digital­jurist am University College London und ebenfalls DP3T-Mitglied, ETH-Forscher Paterson und EPFL-Kollege Salathé. «Function Creep» (wenn der vorgeschlagene Standard einen schleichenden Über­wachungsausbau möglich machen würde) oder «Trojanisches Pferd» waren ihre pfeffrigsten Schlagworte.

Für Aussen­stehende wirkte die ganze Episode ziemlich verstörend. Nicht nur wegen der Querelen. Sondern auch, weil die übliche Erzählung von David gegen Goliath – die gute EU versus das gierige Silicon Valley – plötzlich nicht mehr funktionierte. Sie verkehrte sich ins Gegenteil.

Die Dezentralisten setzen sich fast überall durch

Normalerweise binden die EU-Behörden die Daten­sammel­wut der Tech-Konzerne zurück. Berühmtestes Beispiel ist sicher die Datenschutz­grund­verordnung, die DSGVO, die nun seit zwei Jahren in Kraft ist. In der Pandemie pochten nun die beiden EU-Staaten mit den strengsten Datenschutz­gesetzen – Deutsch­land und Frank­reich – plötzlich auf maximale Daten­ausbeute. Und die Konzerne Apple und Google sowie ein grosser Teil der akademischen Welt setzten auf Daten­sparsamkeit und orientierten sich dabei an der DSGVO.

In dieser Zeit blühte die DP3T-Gruppe zur Höchst­form auf, ihre Vorarbeiten zahlten sich nun aus. Doch sie waren auch intensiv, anstrengend und aufregend. «Es wäre gelogen, wenn wir sagen würden, dass uns dieses Projekt nicht auch persönlich viel gekostet hat. Bei vielen von uns hat es wirklich jeden wachen Atem­zug in Anspruch genommen», sagt Jurist Michael Veale. Die Gruppe opferte viel Freizeit für ihre Analysen und Stellung­nahmen, beantwortete sämtliche Fragen auf Twitter, Github oder dem Messenger­dienst Signal und erhielt international viel Lob.

In der zweiten April­hälfte ging die DP3T-Gruppe einen weiteren Schritt in die Offensive und betrieb offen politisches Lobbying. Am Montag, 20. April, veröffentlichten 300 Wissenschaft­lerinnen weltweit einen von der Gruppe angestossenen offenen Brief. Er forderte von den politischen Entscheidungs­trägerinnen, nur eine dezentrale Contact-Tracing-App zu implementieren. Immer mehr Länder schwenkten in der Folge bei der App-Entwicklung auf dezentrale Modelle um, so auch Deutsch­land und Öster­reich. Estland und Finn­land verkündeten offiziell, mit dem DP3T-Protokoll zu arbeiten. Das PEPP-PT-Konsortium war erledigt.

Doch dass Google und Apple die DNA von DP3T mit allen Grund­sätzen über­nahmen, gefiel nicht allen. Und es rief auch viel Neid hervor. Hier beginnt der Konflikt, der bis heute anhält: der Binnen­konflikt der «Dezentralisten», zwischen den Verfechtern einer kompletten Anonymisierung und den DP3T-Forschenden.

Oder auch: zwischen den Perfektionisten und den Pragmatikern.

Kritik am DP3T-Konzept wird lauter

Der offene Brief der Akademikerinnen vom 20. April hätte eigentlich ein klares Bekenntnis zur Absage an das zentrale Modell sein sollen. Doch einige der unter­zeichnenden Forscherinnen kritisierten hinter vorgehaltener Hand, dass die Gruppe diese Unterschriften­sammlung für ihre Zwecke miss­braucht hätte – als reine Werbe­aktion für DP3T.

Erste Vorwürfe wurden laut. Von Forschenden, die sich noch mehr Anonymität und Sicher­heit für die Schnitt­stelle von Google und Apple gewünscht hätten.

Die Debatte wurde schroffer. Und: Immer mehr wurde aneinander vorbeigeredet.

Etwa beim Thema Sicher­heit: Vielen Forschenden geht die Verschlüsselung von DP3T nicht weit genug. Wenn man wolle, könne man als Angreiferin die Identität einer Infizierten beim DP3T-Modell ohne weiteres entlarven. So formulierte es eine Forschergruppe der Universität im italienischen Salerno in ihrer Analyse: «Auf der Grund­lage neuerer Literatur und neuer Erkenntnisse erörtern wir, wie eine Regierung den Einsatz von DP3T nutzen kann, um im Rahmen eines Massen­überwachungs­programms erfolgreich Angriffe auf die Privat­sphäre durchzuführen.»

DP3T öffne Tür und Tor für Paparazzi-Angriffe, sagt der italienische Informatik­professor und Mitautor Ivan Visconti. Es handelt sich um altbekannte Schwach­stellen der Bluetooth-Technologie.

Der Kern des Problems: Alles, was miteinander via Bluetooth kommunizieren kann, kommuniziert miteinander.

Damit die Contact-Tracing-App funktioniert, sollte sie auf möglichst allen Geräten getestet werden: Gut gefüllte Schublade im Büro vom Mathias Payer, Security-Mastermind der DP3T-Gruppe.

Ein extrem verknapptes Beispiel: Eine Angreiferin könnte mehrere Geräte aufstellen, welche die Informationen der Swiss-Covid-App aufzeichnen. Mithilfe von Kameras, weiteren Smart­phones und den (anonymisierten) Daten vom Bundes­amt für Gesund­heit könnte so theoretisch die Identität eines Infizierten rückverfolgt werden. Das wäre relativ aufwendig, aber eben möglich.

Ich will es genauer wissen: Wie würde so eine Attacke funktionieren?

Versendete Funk­meldungen werden grund­sätzlich von allen Geräten empfangen. Das bedeutet also, dass Nutzerinnen der Swiss-Covid-App ihre pseudonymisierten Identitäten nicht nur unter­einander versenden, sondern quasi «planlos» an alle Bluetooth-Empfängerinnen verschicken, zum Beispiel an die Trägerin eines Bluetooth-Kopfhörers. Das allein wäre an und für sich nicht problematisch. Heikler sind sogenannte passive Bluetooth-Geräte – auch Beacon-Antennen genannt –, die selber keine Signale senden und «still» aufnehmen. Sie sind leicht zu beschaffen und günstig. Es reicht natürlich auch ein Smart­phone mit Kamera- und eingeschalteter Bluetooth-Funktion.

Stellen wir uns also vor, eine böswillige Person A platziert viele Bluetooth-Geräte – oder eben präparierte Smart­phones – mit Kamera­funktion an verschiedenen neuralgischen Punkten (z.B. beim Hauptbahnhof in Bern, beim Central in Zürich). Diese Geräte speichern den ganzen Tag alle pseudonymisierten Identitäten und Begegnungs­daten von vorbei­laufenden Passanten, die Bluetooth aktiviert haben. Auch die verschlüsselte Identität von Swiss-Covid-App-Nutzer B. Nun lädt die böse Person A vom öffentlichen Server des BAG den Schlüssel der infizierten Person B herunter. Mit einem Abgleich der pseudonymisierten Identitäten und den Antennen- oder Smart­phone-Aufzeichnungen von Bahnhof Bern oder Central Zürich kann Person A schnell rekonstruieren, ob Person B an jenen Orten vorbei­gelaufen ist. Gibt es Bilder­aufnahmen dazu, wird die Person schnell geoutet, ohne dass man deren exakten Namen zu wissen braucht.

Die italienische Forscher­gruppe ist nicht die einzige, die vor solchen Attacken warnt. Der Kryptograf Serge Vaudenay, der ebenfalls an der EPFL arbeitet, wies mehrfach auf die Gefahren hin und beteiligte sich am Public Security-Test des Bundes.

Doch was wären die Alternativen?

Weg vom «Broadcasting»-Prinzip hin zur gezielten Bluetooth-Verschlüsselung, wie dies eine Forscher­gruppe der Universität Zürich bereits vorgeschlagen hat in ihrem Konzept namens «WeTrace». Diese setzt auf die bekannte Public-Kryptografie mit privaten und öffentlichen Schlüsseln. «Anstatt dass wir alle den ganzen Tag Pseudonyme in alle Richtungen versenden und die Schlüssel auf einen Server senden, schicken wir uns gegenseitig geschnürte Pakete.» Nur die App-Nutzerinnen können damit etwas anfangen, die Aussen­stehenden nicht, sagt ein Mitautor des Konzepts, Alessandro De Carli.

De Carli suchte den Austausch mit den Forschenden der EPFL und der ETH für eine allfällige Mitarbeit und Verbesserung des Konzepts. Es war eine frustrierende Erfahrung, wie er sagt. Zwar würde man die offene Debatte betonen, aber an einer echten Auseinander­setzung und dem Hinter­fragen des DP3T-Designs sei niemand interessiert. Er kam zum Schluss: Die DP3T-Forscher­gruppe war nicht wirklich empfänglich für einen Austausch neuer Ideen.

Internationaler Netzwerker: EPFL-Vizepräsident Edouard Bugnion …
… und eines der Forschungsgebäude.

Ein anderes und viel diskutiertes Problem des DP3T-Konzepts sind die sogenannten «Replay»-Attacken.

Soll heissen: Wer will, kann aus Spass das System trollen und Begegnungen mit Infizierten vortäuschen. Troll A spaziert in Basel herum, zeichnet mit einer spezifischen App alle pseudonymisierten Identitäten seiner Umgebung auf – und über­mittelt diese an seinen Komplizen B in Genf. B wiederum sendet diese, möglicher­weise sogar an mehreren Standorten, in die ganze Schweiz hinaus. Unschuldige Passanten mit installierter App zeichnen so Prüfsummen auf von Personen in Basel, denen sie gar nie begegnet sind. Stellt sich eine der Begegnungen in Basel als infiziert heraus, erhalten Tausende von Kontakt­personen eine Benachrichtigung. Dieser Angriff würde massen­weise «False Positives», also Falsch­alarme, kreieren, schreiben der italienische Forscher Ivan Visconti und der Lausanner Kryptograf Serge Vaudenay in ihren Papers.

Contact-Tracing ist das neue Blockchain

Und wie reagieren die DP3T-Forscherinnen auf die teils harschen Vorwürfe?

Teils mit genervtem Augen­rollen, teils mit Schulter­zucken, aber auch mit Einsicht. In der Tat handelt es sich um altbekannte Schwach­stellen, um sogenannte «Bluetooth­sphäre-Verschmutzungen». Man habe sich immer wieder mit der richtige Balance zwischen Hacking-Prävention und maximaler Privat­sphäre beschäftigt und unterschied­liche Versionen durchgedacht, sagt der Digital­jurist Michael Veale. Und mit DP3T einen Kompromiss gefunden.

Auf die Kritik von Vaudenay, Visconti und De Carli haben alle dieselbe Antwort parat:

«We need to keep it simple.» Alles einfach halten.

Viele der skizzierten Hacking-Szenarien seien relativ unrealistisch, sagt IT-Assistenz­professorin Carmela Troncoso. Sie würden viel kriminelle Energie und Aufwand voraus­setzen und müssten sich innerhalb kurzer Zeit­fenster ereignen. Man könnte natürlich zusätzliche Verschlüsselungs­schichten einbauen. Aber das würde auf Kosten der Zeit und des Batterie­verbrauchs gehen, argumentieren die DP3T-Forschenden in einer E-Mail an Alessandro De Carli. Und jede zusätzliche Komplexitäts­ebene, die man drauflege, würde neue Unberechenbar­keiten mit sich bringen, sagt Troncoso. Eine Studie der TU Darmstadt bestätigt diese Meinung: Gerade wenn man solche Replay-Manipulationen mit Erhebung von Zusatz­informationen vermeiden will, geht das entweder auf Kosten der Privat­sphäre oder der Smartphone-Batterie.

Der Tenor im DP3T-Team: Für aufwendigere und ausgeklügeltere App-Modelle fehlt uns die Zeit. Dem Virus sind die besten wissenschaft­lichen Security-Modelle egal. Zwischen Praktikabilität und akademischer Perfektion, zwischen Machbar­keit und Dogmen entschied sich die Gruppe von Anfang an für Ersteres. Und hier zeigt sich neben der proaktiven Kommunikation eine weitere Stärke der Gruppe: Pragmatismus.

Etwa, wenn die Privacy-Advokatin Carmela Troncoso erklärt, warum das BAG für die Verteilung der Schlüssel von Infizierten auf einen umstrittenen Tech-Riesen wie Amazon zurückgreifen muss.

Oder wenn Epidemiologen wie Marcel Salathé unkonventioneller­weise für Daten­sparsamkeit lobbyieren und dezentrale Modelle vehement verteidigen. Seine Zunft möchte vor allem viele Daten erheben, um die Infektions­kette genau aufzuspüren und Prognosen zu modellieren. So waren es auch Epidemiologinnen in Frank­reich, Deutsch­land und England, die das zentralisierte Server-Modell durchsetzen wollten. «Meine Debatten mit manchen Kollegen wurden dadurch nicht einfacher», sagt Salathé heute augenzwinkernd.

«Wir können wunder­schöne Papiere schreiben, in denen etwaige Angriffs­szenarien ausgeschlossen werden. Aber dann hätten wir bis heute keine App», sagt Troncoso. Die Forschenden haben bei DP3T nicht in erster Linie an eine wissen­schaftliche Publikation gedacht.

Und der 39-jährige Liechten­steiner Mathias Payer, Security-Mastermind der DP3T-Gruppe, ergänzt: «Das ist nicht rocket science.» Über eine stärkere Verschlüsselung habe man nach­gedacht. Das wäre vor allem akademisch interessant, könne wegen der zunehmenden Komplexität aber nie technisch umgesetzt werden. «Unser System ist langweilig. Wir setzen auf etablierte Mechanismen. Dafür funktioniert es.»

Entwicklung als stetes work in progress: …
… Mathias Payer, von Liechtenstein via USA an den Genfersee gekommen.

Als Laie ist es schwierig zu beurteilen, wer recht hat. Der Realitäts­check ist seit gestern im Gang, dem offiziellen Launch­datum der Swiss-Covid-App. Dann lassen sich sämtliche Thesen der Kritiker falsifizieren oder verifizieren.

Die potenziellen Angriffs­szenarien klingen in der Tat gar abenteuerlich. Ausserdem funktionieren sie nicht, wenn sich zu viele Smart­phone-Nutzer an einem Ort aufhalten, denn die Zuordnung via Bezahl­terminals und Kamera würde durch den vielen digitalen «Lärm» schwierig werden. Das Nationale Zentrum für Cybersicherheit hat die DP3T-Schwach­stellen der «gefälschten Begegnungen» mit Infizierten offiziell eingeräumt, schreibt aber, dass solche Angriffe nach dem Schweizerischen Strafgesetzbuch illegal seien, und hält die Risiken «für vertretbar».

Doch vielleicht genügt auch nur ein publik gewordener Vorfall, eine übersehene Neben­wirkung, um Misstrauen in die Swiss-Covid-App zu säen.

Fakt ist: Das Thema Contact-Tracing wird die Wissenschaft­lerinnen auch nach der Pandemie noch eine Weile beschäftigen. In der akademischen Welt avancierte es bereits zum Hype-Thema. «Contact-Tracing ist das neue Block­chain», witzelt Troncoso. In fünf Jahren könnten Forscher beurteilen, welches Modell aus wissenschaft­licher Sicht das beste gewesen sei.

Zuerst gilt es, das Virus zu besiegen.

Wenn Sie weiterhin unabhängigen Journalismus wie diesen lesen wollen, handeln Sie jetzt: Kommen Sie an Bord!


seit 2018