Blog

Author Markus MiettinenPosted on No comment on Erhebliche Privatheitsmängel im Corona-Warn-App Konzept der SAP/Telekom

Erhebliche Privatheitsmängel im Corona-Warn-App Konzept der SAP/Telekom

Erste technische Details der Corona-Warn-App, die von SAP und Telekom entwickelt wird, sind herausgegeben worden. Es scheint, dass sich diese Lösung sehr eng an dem von Apple und Google gemachten Vorschlag orientieren wird. Dies ist zum einen gut, da der Grundansatz auf einer verteilten Ermittlung von Kontakten basiert, aber andererseits auch enttäuschend, da dieser Ansatz erhebliche Defizite in Hinsicht auf die Privatheit und Anonymität von infizierten Nutzern vorweist.

Wie schon in einem früheren Blogbeitrag erläutert, ist es klar, dass der Kontaktnachverfolgungsprozess auf einer verteilten Kontaktüberprüfung basieren sollte. Die drei wichtigsten Tracing-Konzepte, die ein solches Modell verfolgen, sind das von Apple und Google vorgeschlagene Konzept, welches jetzt auch für die Corona-Warn-App angewandt wird, der in der Schweiz initiierte Ansatz DP-3T sowie TraceCORONA, das von der Technischen Universität Darmstadt entwickelt wurde.

Von diesen ist der Vorschlag von Apple und Google im Bezug auf den Schutz der Privatheit Infizierter am schwächsten, da infizierte Personen quasi alle Bluetooth-IDs veröffentlichen müssen, die sie an den Tagen verwendet haben, an denen sie möglicherweise infektiös waren (genauer gesagt sind es kryptographische Schlüssel, anhand derer die entsprechenden Bluetooth-IDs abgeleitet werden können). Somit ist es allen am System beteiligten Apps und Systemen möglich, die Bewegungen infizierter Personen während dieser Tage nachzuvollziehen, indem sie Aufzeichnungen von Bluetooth-IDs an spezifischen strategisch gewählten Orten in einem bestimmten Gebiet sammeln und diese dann mit den von Infizierten veröffentlichten Bluetooth-IDs abgleichen. (Dieser Ansatz ist übrigens konzeptuell äquivalent mit dem Design 1 des DP-3T Projekts.) Dies ist eine große Bedrohung für die Anonymität der Nutzer, da bekanntermaßen ein erheblicher Teil aller Menschen anhand ihrer Bewegungsprofile eindeutig identifiziert werden können.

Das Design 2 des Schweizer DP-3T-Projekts bietet einen besseren Schutz für infizierte Personen, da die Verlinkung zwischen den Bluetooth-IDs einer infizierten Person in diesem Modell nur dem Backend-System bekannt ist. Daher können andere Nutzer des Systems die Bluetooth-IDs von Infizierten nicht zur Nachverfolgung ihrer Bewegungen missbrauchen. Im DP-3T-Design 2 ist es jedoch durchaus möglich, dass das Backend-System infizierte Personen missbräuchlich verfolgen könnte, da alle Bluetooth-IDs eines spezifischen Nutzers dem Backend-System bekannt sind.

Im Gegensatz zu fast allen anderen vorgeschlagenen Kontaktnachverfolgungsmodellen basiert TraceCORONA nicht auf häufig wechselnden pseudonymen Bluetooth-IDs, sondern auf Kontakt-Token, die eigentlich starke kryptographische Schlüssel sind und für jede Begegnung zwischen zwei Nutzern separat generiert werden. Die kryptographischen Eigenschaften dieser Kontakt-Token ermöglichen es, dass selbst bei unbefugtem Zugriff auf Informationen im Backend-System sie nicht mit den Bluetooth-IDs verknüpft werden können, die die Geräte über Bluetooth übertragen und mit Bluetooth-Sensoren erfasst werden können. Die Feststellung eines Kontakts ist deshalb nur für die direkt an einem Kontakt beteiligten Geräte möglich, und die Verfolgung infizierter Benutzer daher selbst unter Verwendung von Backend-Systeminformationen nicht möglich. Ein Vergleich der Funktionen und Eigenschaften von TraceCORONA mit anderen wichtigen Tracing-Anwendungsmodellen finden Sie hier.

Tags: , , , , , , , ,

Author Markus MiettinenPosted on 1 Kommentar zu Risiken von Tracing Apps mit unzureichenden Datenschutzlösungen

Risiken von Tracing Apps mit unzureichenden Datenschutzlösungen

Die größten Risiken, die mit Kontaktnachverfolgungs-Apps (Contact Tracing) verbunden sind, ergeben sich aus dem potenziellen Missbrauch der von ihnen gesammelten Daten. Im Vergleich zu vielen anderen Anwendungen sammelt eine App zur Kontaktnachverfolgung gezwungenermaßen vertrauliche und detaillierte Informationen über Kontakte und Beziehungen zwischen einzelnen Nutzern. Dazu kommt, dass um effektiv zu sein, eine solche App von möglichst vielen Bürgern freiwillig installiert und aktiv benutzt werden muss. Daher hat eine solche App das Potenzial, erheblich mehr Informationen über Kontakte von Personen zu sammeln als jedes andere derzeit von Behörden verwendete System! Es ist daher wichtig, dass die Implementierung eines solchen Systems so gestaltet wird, dass eine effektive Kontaktnachverfolgung zwar ermöglicht wird, aber dabei die Privatheit der Nutzer so weit wie möglich gewahrt bleibt.

Zentralisierte Tracing-Modelle wie z.B. die in Singapur verwendete TraceTogether-Lösung oder die in Australien verwendete CovidSafe-Anwendung sowie das in Deutschland entwickelte PEPP-PT-Modell bieten diesbezüglich keinen angemessenen Schutz der Privatsphäre für ihre Nutzer.

Diese Systeme basieren auf einem Ansatz, bei dem ein zentrales Back-End-System jeder Benutzeranwendung eine eindeutige Kennung (ein Pseudonym) zuweist, aus der häufig wechselnde pseudonyme Kennnummern (Proximity-IDs) abgeleitet und über Bluetooth an andere Geräte in der Nähe übermittelt werden. Die Schwäche dieses Ansatzes besteht darin, dass das Backend-System alle Proximity-IDs aller Nutzer mit dem eindeutigen Pseudonym eines jeden Nutzers verknüpfen kann. Dies ermöglicht wiederum eine umfassende Überwachung aller Nutzer des Systems.

Durch das Aufzeichnen von Proximity-IDs, die von Bluetooth-Sensoren an mehreren strategisch platzierten Beobachtungspunkten in einem bestimmten Gebiet (z.B. in einer bestimmten Stadt) beobachtet werden, ist es im Prinzip möglich, die Bewegungen einzelner Nutzer zwischen diesen Beobachtungspunkten zu verfolgen und so eventuell sehr detaillierte Bewegungsprofile einzelner Personen zu erfassen.

Obwohl das System die wahren Identitäten einzelner Nutzer nicht explizit erfasst oder aufzeichnet, ermöglichen jedoch solche Bewegungsprofile, einen Großteil der Nutzer mit hoher Wahrscheinlichkeit zu identifizieren. Dies liegt daran, dass Bewegungsprofile von Person zu Person sehr einzigartig sind. Wenn man beispielsweise lediglich die Standorte des Zuhauses einer Person (Hauptaufenthaltsort während der Nacht) und des Arbeitsplatzes (Hauptaufenthaltsort tagsüber) kennt, kann man einen Großteil aller Personen eindeutig identifizieren. Auch andere Möglichkeiten zur De-Anonymisierung gibt es: beispielsweise ist es denkbar, dass man einen Bluetooth-Sensor in die Nähe einer Kamera mit der Fähigkeit zur Gesichtserkennung platziert und dadurch ermöglicht, über Bluetooth die Proximity-ID und damit das personenspezifische Pseudonym einer erkennbaren Person zuzuordnen. Somit würde die betroffene Person vollständig de-anonymisiert.

Aus den oben genannten Gründen sollten Kontaktnachverfolgungs-Apps auf ein dezentrales Kontaktnachverfolgungsmodell aufbauen. In solchen Modellen bekommt das Backend-System keine Informationen über die kurzlebigen Pseudonyme der Nutzer und kann diese daher auch nicht einzelnen identifizierbaren Personen zuordnen. Folglich hat wegen der grundsätzlichen Probleme, die mit dem zentralisierten Modell verbunden sind, die Bundesregierung vor einiger Zeit beschlossen, den von ihr ursprünglich unterstützten Ansatz des PEPP-PT-Konsortiums aufzugeben, und anstatt klar festgelegt, dass die deutsche Coronavirus-Tracing App auf einem dezentralen Ansatz zur Kontaktnachverfolgung aufbauen soll.

Tags: , , , , ,