Die COVID-19-Pandemie ist momentan weltweit das beherrschende Thema. Gesundheitsbehörden und Regierungen auf der ganzen Welt versuchen gemeinsam an Lösungen zu arbeiten, um die Pandemie zu verlangsamen und eine Normalisierung des Alltags wieder zu ermöglichen.

Besonders viel Hoffnung wird dabei auf sogenannte “Corona-Apps” gelegt. Sie sollen dabei helfen, das Virus trotz Lockerungsmaßnahmen unter Kontrolle zu halten und dessen Verbreitung zu verlangsamen.

Aber was genau sind diese “Corona-Apps” oder “Contact Tracing-Apps” eigentlich? Wie funktionieren sie und welche Unterschiede gibt es bei den Apps, die bereits in anderen Ländern eingesetzt werden? Und welche Probleme bringen diese Apps mit sich, vor allem im Datenschutz?
Unser Team entwickelt tagtäglich Medical Apps und Health Apps für Kunden im Gesundheitswesen. Auf Basis unserer Erfahrung, möchten wir hier konkrete Antworten auf diese Fragen geben.

Was ist Contact Tracing?

“Corona Apps” basieren auf dem “Contact Tracing”. Darunter versteht man eine medizinisch-epidemiologische Methode zur Rückverfolgung von Infektionskrankheiten, wie beispielsweise COVID-19. Ziel dieser Methode ist es, mögliche Kontaktpersonen von Infizierten schnell zu identifizieren, diese darüber zu informieren und Maßnahmen einzuleiten, um die weitere Verbreitung der Krankheit zu verhindern bzw. zu verlangsamen. Es geht also vor allem darum, Infektionsketten frühzeitig zu erkennen und zu unterbrechen.

Das funktioniert natürlich auch ohne Apps. Bei der manuellen Variante der Kontaktnachverfolgung werden infizierte Personen von Mitarbeitern der Gesundheitsbehörden befragt, mit welchen anderen Personen sie in ihrer infektiösen Zeit (bis zu 21 Tage nach der Infektion) Kontakt hatten. Diese werden dann informiert, dass eine Kontaktperson positiv auf die Krankheit getestet wurde und je nach Risikostufe werden verschiedene Maßnahmen eingeleitet – etwa eine vorgeschriebene Quarantäne oder ein Test, ob sie nun selbst Träger des Virus sind.

Dieses Verfahren ist sehr aufwendig und nur dann sinnvoll, wenn die Anzahl der infizierten Personen noch relativ klein ist. Diese Schwelle wurde bei COVID-19 bereits nach kurzer Zeit überschritten und obwohl die Gesundheitsbehörden ihr Personal zurzeit stark aufstocken, wird es in naher Zukunft nicht möglich sein, die Virusverbreitung alleine mit der manuellen Kontaktnachverfolgung einzudämmen.

Wie können uns Smartphones helfen?

Durch die Verwendung moderner technischer Werkzeuge, wie Smartphones, kann ein Teil des Prozesses der Kontaktnachverfolgung automatisiert, verbessert und deutlich schneller durchgeführt werden. Vor allem einige asiatische Länder, allen voran Singapur, haben sehr schnell reagiert und Smartphone-Apps als Hilfsmittel zur Eindämmung der Corona-Pandemie eingesetzt. Andere Länder sind dem Beispiel bereits gefolgt und viele weitere planen die Einführung von Corona-Apps in den folgenden Wochen. Auch in Deutschland ist eine solche Corona-App im Gespräch.

Ziel einer solchen App ist es, genau wie bei der manuellen Kontaktnachverfolgung die unmittelbare Nähe zu einer infizierten Person festzustellen und die Nutzer vor einer möglichen Infektion zu warnen.

Dazu gehören immer drei Schritte:

1. Aufzeichnung

Kontakte zu anderen Personen müssen durchgehend aufgezeichnet werden.

2. Meldung

Eine infizierte Person muss sich sich als infiziert melden bzw. markieren.

3. Benachrichtigung

Alle Personen, die im möglichen Infektionszeitraum unmittelbaren Kontakt mit einer als infiziert gemeldeten Person hatten, werden darüber informiert.

Technologien zur Nachverfolgung von nahen Kontakten

Um einen möglichen Kontakt zu erkennen, werden verschiedenste Technologien eingesetzt: Funkzellendaten, das Global Positioning Network (GPS) und, die wohl am meisten erfolgsversprechende Technologie, Bluetooth Low Energy (BLE). Aber wie genau funktionieren diese?

Funkzellendaten

Smartphones wählen sich durchgehend über Funkmasten in das jeweilige Netz des Mobilfunkbetreibers ein. Da sich meist mehrere Mobilfunkmasten in der Umgebung befinden, können deren Positionen und die Richtung der Signale für die sogenannte Triangulation verwendet werden. Damit kann der Betreiber der Mobilfunknetze die Position eines Smartphones und folglich auch die Position dessen Nutzers auf etwa 50 Meter genau berechnen.

Diese Methode zur Positionserkennung wird bereits vielfach angewandt (z.B. zur Verfolgung von Kriminellen) und hat den Vorteil, dass dabei keine App auf den Smartphones installiert werden muss. Damit kann natürlich die Freiwilligkeit der Datenabgabe nicht gewährleistet werden und aus diesen Daten könnten sich sehr leicht komplexere Bewegungsprofile generieren lassen.

Darüber hinaus eignet sich die Genauigkeit von 50 Metern nicht wirklich, um die unmittelbare Nähe von Personen genau zu identifizieren. Daher kommt diese Technologie für die Bekämpfung der Corona-Pandemie nicht in Betracht.

Global Positioning System (GPS)

Für eine genauere Positionierung von Personen kann das sogenannte Global Positioning System (besser bekannt als GPS) verwendet werden. Damit erreicht man im Durchschnitt bereits eine Genauigkeit von nur wenigen Metern.

Allerdings ist die Genauigkeit sehr von der Umgebung abhängig, je nachdem wie stark die Satellitensignale abgeschirmt werden. Sie ist beispielsweise in einem stark bebauten Gebiet viel geringer. Außerdem funktioniert die Technologie nicht mehr, sobald sich eine Person im Inneren eines Gebäudes befindet, da dabei keine Verbindung zu den GPS-Satelliten aufgebaut werden kann.

Damit ist auch diese Technologie eher ungeeignet für die Kontaktnachverfolgung, die mit Contact Tracing-Apps ermöglicht werden soll. Trotzdem wird sie vor allem in Kombination mit anderen Technologien eingesetzt, wie beispielsweise bei den Corona-Apps in China oder Israel. Denn das GPS-Signal kann dafür verwendet werden, um infizierte Personen zu finden und diese dann zu Quarantänemaßnahmen zu zwingen. Eine solche Anwendung ist in Deutschland nicht geplant.

Bluetooth Low Energy (BLE)

Die Technologie, welche momentan als am geeignetsten für den Einsatz der Kontaktverfolgung eingestuft wird, ist Bluetooth Low Energy (BLE). Diese Funktechnik ist in den meisten modernen Smartphones verbaut und ermöglicht es diesen, mit Bluetooth-fähigen Geräten wie drahtlosen Kopfhörern oder anderen Smartphones über kurze Distanz zu kommunizieren.

BLE eignet sich somit also im Gegensatz zu den zuvor genannten Technologien nicht zur Positionsbestimmung von Nutzern, kann aber sehr gut dazu verwendet werden, andere Nutzer im nahen Umkreis zu erkennen. Mit der Signalstärke kann man zudem ungefähr feststellen, wie groß die Distanz zwischen zwei Smartphones ist.

Genau diese Funktionalität nutzen Contact Tracing-Apps aus. Die Apps laufen im Hintergrund, also auch während sich das Smartphone im Standby-Modus befindet oder andere Apps verwendet werden. Sie senden kontinuierlich Bluetooth-Signale an alle anderen Geräte in ihrer Nähe und zeichnen wiederum die empfangenen Signale der anderen Smartphones auf. Dabei wird eine Art Logbuch geführt, welche Geräte an welchem Zeitpunkt und mit welcher Signalstärke bzw. Distanz erkannt wurden.

Wird nun ein App-Nutzer positiv auf COVID-19 getestet, kann er dieses Logbuch an einen Server hochladen. Bei der Auswertung dieser Daten gibt es zwei verschiedene Ansätze:

1. Zentraler Ansatz

Der Server wertet die Daten selbstständig aus. Er ermittelt, welche Nutzer sich in der Nähe der infizierten Person aufgehalten haben und informiert diese dann über deren App.

2. Dezentraler Ansatz

Der Server schickt die Daten an alle Nutzer der App, welche diese dann lokal auf dem Smartphone auswertet.

Beide Ansätze bringen Vor- und Nachteile mit sich, die wir im Folgenden noch besprechen werden.

Der Einsatz von Bluetooth Low Energy für die Kontaktnachverfolgung gilt für Deutschland als gesichert. Auch andere europäische Länder verfolgen diese Strategie und einige arbeiten dabei zusammen an gemeinsamen Standards. Im nachfolgenden Teil dieses Artikels gehen wir deshalb davon aus, dass Bluetooth Low Energy als Technologie zur Kontaktnachverfolgung eingesetzt wird.

Auswirkungen auf den Datenschutz

Obwohl der Einsatz von Contact Tracing-Technologien langfristig Leben retten und die Lockerung von einigen Freiheitseinschränkungen ermöglichen kann, darf der Datenschutz dabei nicht komplett außer Acht gelassen werden. Es gilt bereits als bewiesen, dass durch den Einsatz von smarten und modernen Lösungen ein zu großer Eingriff in die Datenschutzrechte und die Privatsphäre der Nutzer vermieden werden kann.

Der Ablauf des zuvor beschriebenen Mechanismus kann nahezu vollständig anonym durchgeführt werden. Natürlich muss die Nutzung dieser Apps auf freiwilliger Basis stattfinden, die Tracing-Daten dürfen vor einem amtlich bestätigten positiven Testresultat ausschließlich lokal gespeichert werden und die gesendeten Bluetooth-Daten sollten anonymisiert werden. Der Chaos Computer Club hat hier bereits 10 Anforderungen an Contact Tracing-Apps definiert.

In Europa haben sich mehrere Initiativen gebildet, um Contact Tracing-Standards zu entwickeln, die zu unserer Datenschutzgrundverordnung (DSGVO) konform sind. Hierzu zählen die beiden bekanntesten Initiativen PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) und DP-3T (Decentralized Privacy-Preserving Proximity Tracing).

Beide Standards haben einige Gemeinsamkeiten. Jedes Smartphone erhält eine zufällige Identifikationsnummer und sendet diese kontinuierlich per Bluetooth an die Geräte im Umkreis. Diese ID wird nun in regelmäßigen Zeitabständen geändert. Dadurch ist es nicht möglich, einzelne Personen nach Ablauf dieses Zeitfensters wiederzuerkennen.

Das verwendete Zeitfenster wird dabei so klein gewählt, dass keine Bewegungsprofile erstellt werden können, muss aber gleichzeitig so groß sein, dass ein längeres Aufhalten in der Nähe einer Person nachgewiesen werden kann. Beispielsweise kann mit einem Zeitfenster von 15 Minuten (Empfehlung des Robert-Koch-Instituts) erkannt werden, ob ein Gerät mehrmals gesehen wurde. Dies deutet darauf hin, dass sich eine Person für einen längeren Zeitraum in der Nähe aufgehalten hat und ein erhöhtes Infektionsrisiko besteht, sofern genau diese andere Person positiv auf COVID-19 getestet wurde.

Vergleich der verschiedenen Ansätze

Die anonymen und temporären Daten der Begegnungen werden dabei in verschlüsselter Form nur lokal auf den Smartphones gespeichert. Erst, wenn es wirklich ein positives Testergebnis gab, kann ein Nutzer seine Contact-Tracing-Daten freigeben.

Damit die positiven Testergebnisse wirklich validiert werden können und es nicht zu absichtlichen Falschmeldungen kommt, müssen die positiven Tests amtlich bestätigt werden, bevor die Daten freigegeben werden können. Dazu kann die Gesundheitsbehörde beispielsweise einen Code generieren, der für die Meldung in der App benötigt wird. Dies setzt natürlich voraus, dass es dafür einen einheitlichen Standard gibt und die Gesundheitsbehörden das technische Know-How dafür besitzen.

Wie bereits erwähnt, gibt es zwei konkurrierende Varianten, deren zentraler Unterschied darin besteht, ob es einen zentralen – und somit allwissenden – Server gibt oder nicht. Beide Varianten haben Vor- und Nachteile:

Zentrale Lösung

Bei der ersten Variante (PEPP-PT ist deren prominentester Vertreter) gibt es einen zentralen Server, welcher die zufälligen Identifikationsnummern generiert und an die Smartphones weitergibt. Diese Daten geben aber noch keine Rückschlüsse auf die Identität der Kontaktpersonen.

Zu jedem Nutzer wird dabei zusätzlich ein sogenannter Push Token gespeichert. Dieser ermöglicht es dem Server, Nutzer zu benachrichtigen, die Kontakt zu einer positiv getesteten Person hatten. Man kann sich diesen Token als eine sehr schwer zu merkende, vorübergehende Telefonnummer vorstellen.

Somit sind die Identifikationsnummern natürlich nicht mehr wirklich anonym, sondern lediglich pseudonymisiert (jeder Mensch, der meine Telefonnummer kennt, kann mich womöglich auch über meine Telefonnummer identifizieren). Die Push Tokens werden von den Betriebssystemen der Smartphones generiert (meist Android oder iOS). Entsprechend findet auch die Zuweisung der Push Token an die einzelnen Nutzer auf Apples bzw. Googles Servern statt.

Wird nun ein Patient positiv getestet, kann er sein Kontaktlogbuch der vergangenen Tage auf den zentralen Server hochladen. Auf Basis dieses Logbuchs errechnet der Server die Wahrscheinlichkeit einer Infektion für jede begegnete Person und kann diese Person anhand der Push Token gezielt informieren.

Grundlage dieser Berechnung sind mehrere Parameter, unter anderem die gemessene Signalstärke zwischen beiden Smartphones, der Typ des Smartphones (verschiedene Smartphones senden unterschiedlich starke Signale aus) und das Datum des Kontakts. Der Algorithmus kann sich in dieser zentralen Variante immer wieder ändern und sich mit neu gewonnen Daten verbessern. Zusätzlich erlaubt die zentrale Lösung in einfacher Art und Weise, diese erhobenen Daten anschließend für wissenschaftliche Zwecke zu verwenden, um weitere Erkenntnisse über die Ausbreitung des Virus zu bekommen.

Der zentrale Server muss dabei nicht zwangsläufig ein einzelner Server sein. Jedes Land bzw. jede Gesundheitsbehörde kann auf eine eigene App und/oder einen eigenen Server setzen. Um dabei aber Infektionen über Ländergrenzen hinweg zu erkennen, tauschen diese Server ihre Daten untereinander über Schnittstellen aus.

Wie bereits erwähnt, ist bei dieser Variante der zentrale Server das allwissende Element. Die Logbücher werden zwar erst nach einem durchgeführten positiven Test und auf freiwilliger Basis hochgeladen, allerdings können Bewegungsprofile von Personen auch durch die Logbuch-Daten anderer Personen erstellt werden. In der Folge muss dieser zentrale Server also von einem vertrauenswürdigen Institut bereitgestellt werden muss. Der Server ist dabei natürlich ein sehr attraktives Ziel für Hacker.

Dezentrale Lösung

Die dezentrale Lösung hat als oberstes Ziel, genau dieses Problem zu lösen und ohne zentralen Server auszukommen. Ihr bekanntester Vertreter ist das DP3T-Projekt (kurz für “Decentralized Privacy-Preserving Proximity Tracing”).

Hier sollen die temporären Identifikationsnummern lokal auf dem Smartphone generiert werden. Eine Zuordnung der Nutzer auf einem zentralen Server ist damit also nicht möglich. Kommt es nun zu einem positiven Testresultat, kann der Infizierte seine Contact-Tracing-Daten für alle App-Nutzer freigeben. Die Identifikationsnummern der Kontakte werden dann an alle Nutzer der Contact-Tracing-App weitergegeben. Jedes Smartphone mit einer solchen App gleicht dann die Identikationsschlüssel der positiv getesteten Personen mit seinem lokalen Logbuch ab. Sollte dieser Vergleich eine Übereinstimmung finden – der Benutzer war also in Kontakt mit der infizierten Person – wird er von der App auf seinem Smartphone informiert.

Da der Algorithmus lokal auf dem Smartphone ausgeführt wird und die Server nur für den Datenaustausch der Smartphones verwendet werden, gibt es auch kein zentrales Angriffsziel, ein Datenmissbrauch wird stark erschwert. Dieser dezentrale Ansatz wird unter anderem vom Chaos Computer Club präferiert.

Apple und Googles Zusammenarbeit

Über 99% aller Smartphones verwenden als Betriebssystem entweder Googles Android oder Apples iOS. Die beiden Hersteller haben in einer gemeinsamen Pressemitteilung erklärt, zusammenarbeiten zu wollen, um die Kontaktnachverfolgung durch Smartphones mit einem gemeinsamen Standard zu ermöglichen.

Ziel ist es die Kompatibilität zwischen allen Smartphones, aber auch zwischen den verschiedenen Apps sicherzustellen. Das alles soll ermöglicht werden, während Datenschutz und Transparenz gewährleistet bleiben.

Beide wollen Programmierschnittstellen, sogenannte APIs, in ihren Betriebssystemen zur Verfügung stellen, um Gesundheitsbehörden (leichter) zu ermöglichen, Contact Tracing-Apps zu entwickeln. Der Zugriff zu diesen Schnittstellen wird stark eingeschränkt sein und wohl nur Regierungs-, Gesundheits- und verwandten Behörden zur Verfügung stehen.

In einem zweiten Schritt wollen Apple und Google eine umfassendere Integration in ihre Betriebssysteme einführen. Noch ist nicht genau klar, was die beiden Hersteller genau umsetzen wollen. Ziel soll es aber sein, die Funktionalität noch prominenter auf Smartphones zu präsentieren und auch Nutzern auch die Teilnahme ermöglichen, die sich keine Apps installieren wollen oder können.

Der von den Apple und Google entwickelte Standard ist nach jetzigem Stand nur mit einer dezentralen Variante vereinbar und löst dabei bereits einige komplizierte und datenschutzrelevante Themen durch den Einsatz von kryptographischen Methoden.

Auf Apples iOS-Betriebssystem ist eine Umsetzung einer Contact Tracing-App ohne Verwendung dieser neuen Schnittstellen nicht ohne Einschränkungen möglich. Die Sicherheitsmaßnahmen von iOS schränken die Bluetooth-Funktionalität von Apps im Hintergrund sehr stark ein. Somit können auch die Identifikationsnummern nicht zuverlässig ausgetauscht werden. Um diese Einschränkung zu umgehen müsste die App durchgehend geöffnet bleiben. Dies hat natürlich starke Auswirkungen auf die Akkulaufzeit des Smartphones und ist auch sonst nicht besonders praktikabel.
Die zukünftigen Anapssungen werden dieses Problem lösen. Dies zeigt jedoch auch wie abhängig alle Länder und Gesundheitsbehörden von Apple/Google bei der Umsetzung von praktikablen Lösungen sind.

Ausblick

In den folgenden Wochen werden einige weitere Länder ihre eigenen Contact Tracing-Apps auf Basis der Bluetooth-Technologie veröffentlichen. Länder wie Singapur oder Österreich haben ihre Apps bereits veröffentlicht und den Quellcode und das Protokoll frei zur Verfügung gestellt. Deutschland plant momentan die Entwicklung einer solchen App, die dem dezentralen Ansatz folgt. Andere Länder wie Frankreich arbeiten weiterhin daran, eine zentrale Lösung umsetzen und versuchen Druck auf Apple aufzubauen, um die technischen Hürden zu überwinden.

Die meisten dieser Apps sollen nach der COVID-19-Pandemie wieder zurückgenommen werden, befinden sich dann aber sicher auch weiterhin in der Schublade der Gesundheitsbehörden. Vorstellbar wäre der Einsatz solcher Apps natürlich auch für andere infektiöse Krankheiten. Höchstwahrscheinlich ist die aktuelle Pandemie auch ein Anlass, um an verbesserten Technologien zu arbeiten, die beispielsweise eine genauere und zuverlässigere Berechnung der Distanz zwischen zwei Endgeräten zu ermöglichen.

Die COVID-19-Pandemie hat nun aber erstmals auch die Wichtigkeit von Smartphones und Apps für den Gesundheitssektor in der breiten Öffentlichkeit klar gemacht. Smartphones und andere mobile Endgeräte, mit all ihren Sensoren und Kommunikationsschnittstellen, werden in Zukunft sicherlich noch eine wichtigere Rolle bei der Erkennung von Krankheiten, aber auch in deren Bekämpfung einnehmen.