Erhebliche Privatheitsmängel im Corona-Warn-App Konzept der SAP/Telekom

Erste technische Details der Corona-Warn-App, die von SAP und Telekom entwickelt wird, sind herausgegeben worden. Es scheint, dass sich diese Lösung sehr eng an dem von Apple und Google gemachten Vorschlag orientieren wird. Dies ist zum einen gut, da der Grundansatz auf einer verteilten Ermittlung von Kontakten basiert, aber andererseits auch enttäuschend, da dieser Ansatz erhebliche Defizite in Hinsicht auf die Privatheit und Anonymität von infizierten Nutzern vorweist.

Wie schon in einem früheren Blogbeitrag erläutert, ist es klar, dass der Kontaktnachverfolgungsprozess auf einer verteilten Kontaktüberprüfung basieren sollte. Die drei wichtigsten Tracing-Konzepte, die ein solches Modell verfolgen, sind das von Apple und Google vorgeschlagene Konzept, welches jetzt auch für die Corona-Warn-App angewandt wird, der in der Schweiz initiierte Ansatz DP-3T sowie TraceCORONA, das von der Technischen Universität Darmstadt entwickelt wurde.

Von diesen ist der Vorschlag von Apple und Google im Bezug auf den Schutz der Privatheit Infizierter am schwächsten, da infizierte Personen quasi alle Bluetooth-IDs veröffentlichen müssen, die sie an den Tagen verwendet haben, an denen sie möglicherweise infektiös waren (genauer gesagt sind es kryptographische Schlüssel, anhand derer die entsprechenden Bluetooth-IDs abgeleitet werden können). Somit ist es allen am System beteiligten Apps und Systemen möglich, die Bewegungen infizierter Personen während dieser Tage nachzuvollziehen, indem sie Aufzeichnungen von Bluetooth-IDs an spezifischen strategisch gewählten Orten in einem bestimmten Gebiet sammeln und diese dann mit den von Infizierten veröffentlichten Bluetooth-IDs abgleichen. (Dieser Ansatz ist übrigens konzeptuell äquivalent mit dem Design 1 des DP-3T Projekts.) Dies ist eine große Bedrohung für die Anonymität der Nutzer, da bekanntermaßen ein erheblicher Teil aller Menschen anhand ihrer Bewegungsprofile eindeutig identifiziert werden können.

Das Design 2 des Schweizer DP-3T-Projekts bietet einen besseren Schutz für infizierte Personen, da die Verlinkung zwischen den Bluetooth-IDs einer infizierten Person in diesem Modell nur dem Backend-System bekannt ist. Daher können andere Nutzer des Systems die Bluetooth-IDs von Infizierten nicht zur Nachverfolgung ihrer Bewegungen missbrauchen. Im DP-3T-Design 2 ist es jedoch durchaus möglich, dass das Backend-System infizierte Personen missbräuchlich verfolgen könnte, da alle Bluetooth-IDs eines spezifischen Nutzers dem Backend-System bekannt sind.

Im Gegensatz zu fast allen anderen vorgeschlagenen Kontaktnachverfolgungsmodellen basiert TraceCORONA nicht auf häufig wechselnden pseudonymen Bluetooth-IDs, sondern auf Kontakt-Token, die eigentlich starke kryptographische Schlüssel sind und für jede Begegnung zwischen zwei Nutzern separat generiert werden. Die kryptographischen Eigenschaften dieser Kontakt-Token ermöglichen es, dass selbst bei unbefugtem Zugriff auf Informationen im Backend-System sie nicht mit den Bluetooth-IDs verknüpft werden können, die die Geräte über Bluetooth übertragen und mit Bluetooth-Sensoren erfasst werden können. Die Feststellung eines Kontakts ist deshalb nur für die direkt an einem Kontakt beteiligten Geräte möglich, und die Verfolgung infizierter Benutzer daher selbst unter Verwendung von Backend-Systeminformationen nicht möglich. Ein Vergleich der Funktionen und Eigenschaften von TraceCORONA mit anderen wichtigen Tracing-Anwendungsmodellen finden Sie hier.

Tags: , , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*