"Stopp Corona", die App des Österreichischen Roten Kreuzes und des Dienstleisters Accenture, hat in den letzten Wochen für einige Aufmerksamkeit gesorgt. Kritiker witterten in dem Programm, das bei der Maßnahmensetzung gegen die Sars-CoV-2-Pandemie helfen soll, einen Angriff auf die Privatsphäre, speziell nachdem Nationalratspräsident Wolfgang Sobotka (ÖVP) eine verpflichtende Verwendung ins Spiel gebracht hatte, die mittlerweile aber vom Tisch ist. Scharfe Kritik war auch von der FPÖ gekommen, die die Datenschutzbehörde angerufen hat.

In naher Zukunft soll der Quellcode der App für die Öffentlichkeit verfügbar werden. Vorab legte das Rote Kreuz diesen aber schon drei Organisationen zur Analyse vor. SBA Research, Noyb und Epicenter Works haben am Mittwoch gemeinsam mit dem unabhängigen Open-Source-Entwickler Armin Ronacher nun das Ergebnis ihrer Auswertung (PDF) präsentiert.

Schrems: "Lasse die App installiert"

Sie stellen "Stopp Corona" insgesamt ein gutes Attest aus. "Ich lasse die App weiter auf meinem Handy installiert", sagt der Jurist Max Schrems von Noyb. Die App sei damals als eine der ersten App-Initiativen "state of the art" gewesen und mit viel Bedacht auf Datenschutz umgesetzt worden. Dennoch fand man insgesamt 26 Punkte – sowohl technischer als auch datenschutzrechtlicher Natur –, bei denen man Verbesserungspotenzial sieht. Die Entwickler der App reagieren nun rasch auf diese Kritik: 16 der angesprochenen Punkte wurden bereits in einem am Mittwoch verteilten Hotfix-Update bereinigt. Einige andere sollen mit einem weiteren Update kommende Woche ausgeräumt werden, der Rest soll dann im Lauf der kommenden Wochen folgen, da es hierfür Änderungen an der grundlegenden Architektur braucht.

Problematische Funktionen entfernt

Eine der wichtigsten Änderungen ist dabei die Deaktivierung der Statistikfunktionen der App. Diese hatte in den vergangenen Wochen für einige Kritik gesorgt, da hier sämtliche Handshakes – wenn auch anonymisiert – in der Cloud von Microsoft gelagert werden. Accenture hatte damals betont, dass diese Funktion auf expliziten Wunsch des Roten Kreuzes implementiert worden sei, damit man sieht, wie es mit der aktiven Nutzung der App aussieht. Die Experten kritisieren aber nun, dass dies einen Angriffspunkt für die Deanonymisierung von Nutzern schaffen könnte. Dem stimmte auch Christof Tschohl, Datenschutzbeauftragter des Österreichischen Roten Kreuzes, bei einem Pressegespräch zu. Gleichzeitig betonte er, dass solche statistischen Analysen natürlich wertvoll seien, darum wolle man sich in Zukunft Verfahren ansehen, bei denen die Privatsphäre der Nutzer besser geschützt wird – Stichwort "Differential Privacy".

Ein weiteres Problem ist, dass sich der permanent vom Smartphone aus geänderte Schlüssel bisher nie ändert. Das könnte es einem Angreifer ermöglichen, mithilfe von Tracking-Equipment die Schlüssel vorbeigehender Menschen an verschiedenen Orten einzusammeln und so Aufschluss über deren Bewegungen zu bekommen. Kombiniert man dies mit anderen Beobachtungen, etwa durch den Einsatz von Gesichtserkennung, wäre es theoretisch sogar möglich, einzelne Nutzer zu identifizieren. Dem könne man begegnen, indem der öffentliche Schlüssel regelmäßig geändert wird. Das soll laut dem Roten Kreuz auch implementiert werden – und zwar voraussichtlich Ende nächster Woche

SMS-Krücke

Kritik gibt es zudem an der Abwicklung einer Infektionsmeldung: Bisher wird in dieser Situation eine Authentifizierung über eine SMS-TAN vorgenommen. Damit will man absichtliche Falschmeldungen verhindern. Genau dies kritisiert nun aber der aktuelle Bericht. Besser wäre ein Token-System, das keine Rückführung auf eine konkrete Person erlaubt. Immerhin wüssten die Mobilfunkprovider zumeist, wer hinter einer Telefonnummer steckt – vor allem seitdem auch Wertkarten-SIMs registriert werden müssen.

Trotzdem wollen die Entwickler der App vorerst bei der SMS-Lösung bleiben, auch weil es derzeit keine tauglichen Alternativen gibt. Langfristig schwebt Datenschützer Tschohl aber ein europaweites System für die Nummerierung der Tests vor, das dann als Ersatz zum Einsatz kommen könnte. Solche Abmachungen auf europäischer Ebene bräuchten aber natürlich ihre Zeit.

Server-Kritik

Nicht geäußert haben sich Noyb, SBA und Epicenter Works zu sicherheitstechnischen Belangen, was etwa die Server des Roten Kreuzes betrifft. Hierzu konnte man zwar Entdeckungen machen, jedoch hat Accenture 15 Tage Zeit erhalten, die Probleme zu beheben, ehe man sie im Rahmen der in der IT-Sicherheitsbranche üblichen "Responsible Disclosure" öffentlich macht.

Quellcode-Freigabe

Weiters ist man der Ansicht, dass kein Weg daran vorbeiführe, dass der Quellcode der App – wie vom Roten Kreuz angekündigt – der Öffentlichkeit bereitgestellt wird. Erst das ermögliche es jedem Interessierten, Einsicht zu nehmen und selbst zu überprüfen, ob die abgegebenen Versprechen eingehalten werden. Aufgrund des relativ kurzen Zeitraums, in dem die Analyse durch SBA, Noyb und Epicenter Works durchgeführt wurde, sei diese auch nicht als in allen Bereichen vollständig anzusehen.

Doch auch in dieser Hinsicht gibt es gute Nachrichten: Wie Accenture und das Rote Kreuz auf Nachfrage des STANDARD versichern, soll der Quellcode bereits in den kommenden Tagen öffentlich freigegeben werden – wenn alles gutgeht, eventuell sogar noch am Mittwoch.

Wechsel auf DP-3T geplant

Einer der größeren Kritikpunkte an der bisherigen App ist die Nutzung des Google-Nearby-Protokolls für den manuellen Abgleich zwischen zwei Geräten – also den Handshake. Davon will man sich ebenso verabschieden wie von der Nutzung des P2PKit, das bislang beim automatisierten Aufzeichnen von Kontakten zum Einsatz kommt. Dieser Vorgang wird nämlich über die Infrastruktur der Schweizer Firma Uepaa abgewickelt, der damit ein interessantes Ziel für Angreifer darstellen könnte.

Stattdessen will das Rote Kreuz künftig auf DP-3T setzen, das sich nach Ansicht der Experten als "Goldstandard" für die Corona-Trackingapps herauskristallisiert. Zusätzlich arbeite man mit Google und Apple zusammen, um deren vor kurzem angekündigte Lösung zum Contact-Tracing, die sehr ähnlich zu DP-3T ist, zu implementieren. Der Grund dafür ist ein einfacher: Realistisch kommt man um diese nicht herum. So ist es bisher etwa bei iPhones generell nicht möglich, im Hintergrund einen automatischen Handshake zwischen zwei Geräten vorzunehmen. Die App muss also immer geöffnet sein, damit sie funktioniert, was die reale Nützlichkeit stark reduziert. Auch bei diversen Android-Smartphones funktioniert dieser Ansatz bisher nicht zuverlässig. Genau dieses Defizit wollen Apple und Google mit einer Lösung ausräumen, die fix in die eigenen Betriebssysteme integriert wird.

Dezentraler Ansatz

Sowohl DP-3T als auch das Apple/Google-Modell verfolgen einen dezentralen Ansatz bei der Abwicklung der Benachrichtigung von Infizierten. Es gibt also keine zentrale Instanz, bei der sämtliche Meldungen gespeichert werden. Und genau dieses Modell halten auch das Rote Kreuz und Accenture für das richtige. So betont Gerry Foitik, Bundesrettungskommandant vom Österreichischen Rotes Kreuz, dass es dabei um grundlegende Fragen gehe. Immerhin wolle man "nicht mal in die Nähe einer Diskussion kommen", in der dann irgendwann solche in der Krise aufgebauten Systeme zum Abbau von Grundrechten missbraucht werden könnten.

Einen fixen Termin für den Wechsel auf DP-3T und die Apple/Google-Schnittstellen gibt es derzeit noch nicht. Das habe den simplen Grund, dass man dabei auch von den Entwicklungen bei den großen Softwareherstellern abhängig sei, formuliert es Michael Zettel, Country Managing Director von Accenture Österreich. Allerdings stehe man in engem Austausch mit den beiden Unternehmen sowie dem DP-3T-Projekt, um dann so schnell wie möglich wechseln zu können. Frühestens werde es wohl irgendwann im Mai so weit sein.

Länderübergreifende Kooperation

Besonderen Wert will man künftig zudem auf die Interoperabilität mit den Apps anderer Länder legen. Immerhin endet die Verbreitung des Virus ja nicht an Staatsgrenzen. Hier sei man aber überzeugt, dass sich DP-3T sowie das dezentrale Prinzip schlussendlich durchsetzen werden, formuliert es Accenture.

Warten auf Bluetooth Beacons

Keine relevanten Neuerungen gibt es hingegen zu jenen Bluetooth-Schlüsselanhängern, die immer wieder für Nutzer ohne Smartphone im Gespräch waren. Da diese mit zusätzlichen Privatsphärenproblemen verbunden seien, wolle man sich dabei lieber Zeit lassen, betont Foitik. Immerhin könne man hier eine Anonymisierung nicht so einfach vornehmen wie auf dem Smartphone, da diese "Bluetooth Beacons" ja nur passiv agieren. Insofern sei die anonyme Zuordnung zu einer Person, die dann über eine potenzielle Infektion informiert werden soll, sehr schwer. Hier warte man also lieber auf Konzepte von Projekten wie DP-3T oder Pepp-PT, die derzeit in Entwicklung seien. Schlussendlich gehe es auch darum, dass man hierfür irgendwann entsprechende Hardware anschaffen müsse; wenn diese grundlegende Fehler hätte, wäre das fatal.

Rechtsfragen

In rechtlicher Hinsicht stellen sich bezüglich der App selbst nur wenige Fragen, zumindest solange die Verwendung freiwillig erfolgt. Interessanter ist in dieser Hinsicht laut Schrems eher, wie die Daten, die die App liefert, weiter verwendet werden. Das sei allerdings auf politischer Ebene zu klären.

Beim Roten Kreuz zeigte man sich in einer ersten Reaktion erfreut über das Attest zu "Stopp Corona". "Wir sind den Datenschützern für die kritische und konstruktive Arbeit sehr dankbar", so Foitik. "Dass wir nach einer tiefgehenden technischen Analyse ein gutes Zeugnis erhalten, stärkt das Vertrauen der Menschen – und das brauchen wir, um Corona zu stoppen und unsere gewohnten Freiheiten möglichst bald wieder zu leben. Dabei soll uns die App helfen."

Kritik ist wichtig

Datenschutzexperte Tschohl bedankt sich ebenfalls bei den Kritikern: Die App des Roten Kreuzes sei sehr früh entwickelt worden, als noch viele technische Fragen offen waren. Das Feedback sowie all die internationalen Projekte, die seitdem entstanden sind, hätten geholfen, all die grundlegenden Fragen zu klären. Es gehe dabei nicht bloß darum, die Rechtskonformität der App zu sichern, man wolle weit darüber hinausgehen und die "höchsten Ansprüche" erfüllen. Nur so könne man auch die Kritiker für sich gewinnen. Genau das sei nötig, damit solche Apps auch ausreichend genutzt und somit überhaupt effektiv im Kampf gegen Covid-19 eingesetzt werden könnten. (Georg Pichler, Andreas Proschofsky, 22.4.2020)