In den kommenden Tagens soll die Corona-Warn-App eine zusätzliche
Funktion bekommen. Mithilfe eines QR-Codes soll man sich künftig bei
Besuchen von Lokalen, Veranstaltungen oder Versammlungen an- und wieder
abmelden können. Die Frage wird sein, ob das die Debatte um die digitale
Seuchenbekämpfung beruhigt.
Ein roter Faden dieser Debatte ist, dass Deutschland und Europa
bei der Digitalisierung hinter dem Rest der Welt hinterherhinken. Da
rächen sich die Versäumnisse der letzten Jahre, die aus dem
amerikanischen Kontinent eine digitale Weltmacht, aus Asien eine
digitalisierte Gesellschaft und aus Europa das digitale Schlusslicht der
Wohlstandregionen gemacht haben. In diese Debattenlage stoßen derzeit
ein paar digitale Start-ups in die Lücken. Die beiden prominentesten
Projekte sind der digitale Impfpass, den die Kölner Firma Ubirch
gemeinsam mit dem Konzern IBM entwickelt.
Gleich fünf Blockchains sind die Basis für das komplexe
Verfahren, um die Kommunikation zwischen Arzt, Geimpften und Abfragenden
zu organisieren. Blockchains sind - vereinfacht gesagt -
dezentralisierte Listen von Datensätzen, die ein digitales System
absichern, das beispielsweise eine virtuelle Währung wie Bitcoin oder
ein digitales Kunstwerk stützt, und dabei Fälschung oder Diebstahl
unmöglich machen.
Die Luca App ist wiederum vor allem deswegen im Gespräch, weil sich Smudo von den Fantastischen Vier
in Talkshows dafür starkmacht. Die Rapgruppe hat in das Projekt des
Berliner Start-ups Nexenio investiert, das Kontaktverfolgungen für
Veranstalter und Gastronomen digitalisieren soll, damit Gesundheitsämter
im Infektionsfall alle Anwesenden informieren können. Mehrere
Bundesländer und Kommunen haben diese App schon angekauft.
Ideales Ziel für einen Hackerangriff
Spricht man mit Wissenschaftlern, die sich mit solchen
Technologien auskennen, herrscht - höflich gesagt - kritische
Verwunderung. Tibor Jager von der Bergischen Universität Wuppertal, ein
angesehener Forscher auf dem Gebiet der Kryptografie, der digitalen
Verschlüsselungstechnologien, hat sich auch schon mit dem digitalen
Impfpass aus Köln beschäftigt. Da stimmt für ihn so einiges nicht.
Blockchains seien zwar derzeit in aller Munde, aber für einen
Impfpass die genau falsche Technologie. "Blockchains sind sinnvoll, wenn
es keine zentrale Instanz gibt, die Daten bestätigen kann, und wenn
jeder diese Daten öffentlich überprüfen können soll. Aber bei Impfpässen
will man es ja genau umgekehrt. In diesem Fall benötigen wir sogar
zentrale Stellen, nämlich die impfenden Ärzte, welche durch digitale
Impfpässe bestätigen, dass eine Impfung durchgeführt wurde. Und das
Gesundheitslogbuch oder Impfbuch eines Nutzers soll ja gerade nicht für
jeden öffentlich sichtbar sein."
Da sei man beim Problem, dass ein privater Anbieter wie Ubirch,
der diese Daten verarbeite, zu einem "single point of failure", zum
anfälligen Nadelöhr werde. Man könne sich beispielsweise ein
Eröffnungsspiel der Bundesliga mit hunderttausend Zuschauern in einem
Stadion vorstellen. Das wäre ein ideales Ziel für einen Hackerangriff.
Entweder um die Veranstaltung auszubremsen. Oder um die Daten
abzugreifen. "Sehr viel einfacher wäre es, wenn man digitale Signaturen
als Impfbescheinigung verwenden würde. Zum Beispiel vom impfenden Arzt.
Da gäbe es keine Zentralisierung, keinen zentralen Punkt, der überlastet
werden kann." Fazit: Blockchain ist die schlechteste Lösung. "Das ist,
als wenn sie Käse mit dem Käsehobel schneiden könnten, aber stattdessen
fünf Kettensägen nehmen."
Aber es geht eben auch um Geld. "Blockchain ist ein Hype. Aber
mit Zertifikaten aus den Achtzigerjahren kann man kein Geld verdienen."
Denn die Technologie für digitale Unterschriften ist zwar zuverlässig,
aber sehr einfach. Und aus dem Jahr 1978. Seitdem sind sie so etwas wie
das robuste "kryptografische Rückgrat" der Kommunikation im Internet. Er
sei da auch nicht alleine mit seiner Einschätzung. "Die Kollegen sind
alle fassungslos."
Auch Luca hat er sich angesehen. Auch da gebe es wieder das
Problem der singulären Fehlerquelle. Mal davon abgesehen, dass er die
App für unausgereift hält. "Da sind verschiedene
Verschlüsselungsverfahren zusammengetüftelt worden", sagt er "Das
Sicherheitskonzept ist für mich als Experten nicht nachvollziehbar. Und
es gibt Amateurfehler, wie dass die Telefonnummer des Nutzers auf dem
Gerät geprüft wird."
Überhaupt, so sagt er, solle man auf keinen Fall eine
zentralisierte App wie Luca ins Spiel bringen, denn damit sei das
Grundprinzip des ja schon bestehenden Systems ausgehebelt. "Luca hebelt
das Prinzip des Privacy by Design aus", sagt Jager. Also den Grundsatz,
dass die Privatsphäre in der Technologie selbst garantiert wird, und
nicht erst bei der Anwendung als "privacy by default" eingerichtet wird.
Die Corona-Warn-App des Bundes wurde nach der Richtlinie entwickelt,
dass die Privatsphäre in jedem Fall erhalten bleibt.
Am Anfang stand das Nachdenken über eine Infrastruktur
Die Professorin für Informatik Carmela Troncoso von der EPFL,
der technischen Hochschule in Lausanne, stöhnt bei der Frage nach Luca:
"Das sind gerade die exakt gleichen Debatten, die wir vor einem Jahr
schon einmal geführt haben." Sie arbeitet mit einem Team, zu dem auch
Marcel Salathé, Professor für digitale Epidemiologie an der EPFL,
gehört. Gemeinsam haben sie ein Protokoll entwickelt, das unter dem
Kürzel DPT3 bekannt wurde. Das steht für "dezentrale,
datenschutzkonforme Näherungsermittlung" und ist die Grundlage für zum
Beispiel die deutsche Corona-Warn-App. "Wir haben damals nicht über eine
App nachgedacht, sondern über eine Infrastruktur", sagt sie. Das sei
der entscheidende Unterschied im Ansatz.
Luca hat das Team auch untersucht, nachdem Nexenio den zuvor
geheimen Quellcode der App auf Drängen der Wissenschaftler und
Programmierer freigab. Prompt stießen sie und andere Teams auf eine
ganze Kaskade von Problemen, von der Registratur heikler Versammlungen
bis hin zu geklauten Open-Source-Codes. Aber es gibt einen ganz
grundsätzlichen Denkfehler. Apps sind klassisches Silicon-Valley-Denken,
demnach gibt es für jedes Problem eine App. Und umgekehrt, wie im Fall
Luca-App, die viele Daten erhebt, die beispielsweise das RKI gar nicht
abgefragt hat.
Eine App schaffe aber eben auch eine Infrastruktur. Troncoso erinnert
sich: "Wir haben für die Corona-App eine minimale Infrastruktur
geschaffen. Der Server hinter der App ist beispielsweise nur ein Kanal,
der ist nach dem Ende der Pandemie nutzlos." Die Daten, die durch ihn
strömten, sind auf den Telefonen der Nutzer geblieben.
Luca dagegen schaffe Verzeichnisse für jedes Treffen, das Nutzer
damit registrieren. Für Konzerte, Abendessen, aber damit es wirklich
funktioniert auch für private Treffen, private Feiern, politische
Versammlungen, für Schutzräume wie Frauenhäuser. Das seien alle Daten,
die Epidemiologen gar nicht bräuchten. "Die brauchen keine Namen, die
müssen nur wissen, wo jemand infiziert oder nicht infiziert ist, um die
Ansteckungsketten zu brechen."
Mit dem DPT3-Protokoll haben sie auch eine dezentrale App für
Kontaktverfolgung konstruiert, die in der Schweiz auch schon unter dem
Namen Crowdnotifier im Einsatz ist. Eine zentralisierte App wie Luca sei
immer ein Problem. "Man könnte die für Wahlbehinderung einsetzen. Oder
für die Verfolgung von Minderheiten", warnt Carmela Troncoso. Und wenn
es eine Infrastruktur erst einmal gebe, sei es schwierig, die wieder
abzuschaffen.
"Wir haben gerade echt andere Probleme."
Die Digitalisierung ist - und da sind sich Wissenschaftler,
Programmierer und Datenschützer gerade sehr einig - auch wirklich nicht
das Problem der Stunde. Tibor Jager sagt: "Ich habe Virologen
gesprochen, die sagen, wir haben gerade echt andere Probleme. Die
Diskussion um digitale Technologien lenkt nur von den eigentlichen
Themen ab." Vom Personalmangel der Gesundheitsämter, Kliniken und auch
des RKI. Von der Hilfe, die Unternehmer brauchen, um zu überleben. Die
Einführung neuer Systeme würde das überlastete Gesundheitswesen
zusätzlich überfordern Die Corona-Warn-App hat ja auch den Vorteil, dass
es schon 26 Millionen Nutzer gibt, die sie zumindest heruntergeladen
haben.
Die Fixierung auf digitale Debatten habe bei der
Seuchenbekämpfung oft etwas von Aberglaube. Das erinnert an die Probleme
in der Debatte um künstliche Intelligenz (KI). Der werden wahre
Wunderdinge zugetraut. Auch in der Seuchenbekämpfung. In Wahrheit ist KI
eine hoffnungslos überschätzte Form von Automatisierung, die enorm
aufwendig ist. KI-Systeme müssen nicht nur installiert, das Personal
nicht nur damit geschult werden.
Auch die KI selbst muss für eine so komplexe Aufgabe wie die
Kontaktverfolgung oder auch die Impfstoffverteilung bei mehreren
Millionen Zielpersonen erst einmal trainiert werden. Das kann Monate und
länger dauern. In Deutschland und Europa noch länger, denn hier sind
die Datensätze qualitativ und quantitativ vergleichbaren Erhebungen in
den USA oder China weit unterlegen. Aber das sind auch andere
Gesellschaften mit anderen Werten.
Es gibt einen historischen Rahmen, der hilft, das Ausmaß der
digitalen Corona-Maßnahmen zu erfassen. Seuchen verändern Gesellschaften
auf lange Sicht. Die Impfkampagnen gegen Pocken im frühen 19.
Jahrhundert waren der Beginn des modernen Gesundheitswesens. Die
Cholera-Epidemien des späten 19. Jahrhunderts waren in London und
Hamburg die Geburtsstunde des modernen Städtebaus, zu dem vor allem ein
hygienisches Kanalisationssystem gehörte.
Die Ebola-Ausbrüche in Westafrika in den vergangenen 25 Jahren
brachten internationale Frühwarnsysteme und ein verschärftes Bewusstsein
für die Gefahren einer Pandemie. Was Deutschland jetzt aufbaut, ist
eine digitale Infrastruktur, die der Gesellschaft sehr viel länger
bleiben wird als die Pandemie.