From 4727c5f589b621ac806bd8c4d6907b469315a289 Mon Sep 17 00:00:00 2001
From: linus <linus@berlin.ccc.de>
Date: Mon, 6 Apr 2020 15:19:28 +0000
Subject: committing page revision 1

---
 updates/2020/contact-tracing-requirements.md | 212 +++++++++++++++++++++++++++
 1 file changed, 212 insertions(+)
 create mode 100644 updates/2020/contact-tracing-requirements.md

diff --git a/updates/2020/contact-tracing-requirements.md b/updates/2020/contact-tracing-requirements.md
new file mode 100644
index 00000000..3fc6234a
--- /dev/null
+++ b/updates/2020/contact-tracing-requirements.md
@@ -0,0 +1,212 @@
+title: 10 Prüfsteine für die Beurteilung von "Contact Tracing"-Apps
+date: 2020-04-06 15:19:28 
+updated: 2020-04-06 15:19:28 
+author: linus
+tags: pressemitteilung, updates
+
+Als Möglichkeit zur Eindämmung der SARS-CoV-2-Epidemie sind "Corona-Apps" in aller Munde. Der CCC veröffentlicht 10 Prüfsteine zu deren Beurteilung aus technischer und gesellschaftlicher Perspektive.
+
+<!-- TEASER_END -->
+
+Politik und Epidemiologie ziehen aktuell gestütztes "Contact Tracing"
+als Maßnahme in Erwägung, systematisch einer Ausbreitung von
+SARS-Cov-2-Infektionen entgegen zu wirken. Dies soll der Gesellschaft
+eine größere Freizügigkeit zurückgeben, indem Infektionsketten schneller
+zurückverfolgt und unterbrochen werden können. Durch eine solche Lösung
+sollen Kontakte von Infizierten schneller alarmiert werden und sich
+dadurch schneller in Quarantäne begeben können. Dadurch wiederum sollen
+weitere Infektionen ihrerseits verhindert werden. Eine "Corona-App" soll
+also weder uns selbst, noch unsere Kontakte schützen: Sie soll
+Infektionsketten unterbrechen, indem die Kontakte unserer Kontakte
+geschützt werden.
+
+## "Contact Tracing" als Risikotechnologie
+
+Für die technische Implementierung dieses Konzepts gibt es eine Reihe an
+Vorschlägen. Diese Empfehlungen reichen von dystopischen Vorschlägen für
+Vollüberwachung bis hin zu zielgenauen, vollständig anonymisierten
+Methoden der Alarmierung von potentiell Infizierten ohne Kenntnis der
+konkreten Person.
+
+Grundsätzlich wohnt dem Konzept einer "Corona App" aufgrund der
+möglicherweise erfassten Kontakt- und Gesundheitsdaten ein enormes
+Risiko inne. Gleichzeitig gibt es breite Anwendungsmöglichkeiten für
+"Privacy-by-Design"-Konzepte und -Technologien, die in den letzten
+Jahrzehnten von der Crypto- und Privacy-Community entwickelt wurden. Mit
+Hilfe dieser Technologien ist es möglich, die Potenziale des "Contact
+Tracing" zu entfalten, ohne eine Privatsphäre-Katastrophe zu schaffen.
+Allein deshalb sind sämtliche Konzepte strikt abzulehnen, die die
+Privatsphäre verletzen oder auch nur gefährden. Die auch bei
+konzeptionell und technisch sinnvollen Konzepten verbleibenden
+Restrisiken müssen fortlaufend beobachtet, offen debattiert und so weit
+wie möglich minimiert werden.
+
+Im Folgenden skizzieren wir gesellschaftliche und technische
+Minimalanforderungen für die Wahrung der Privatsphäre bei der
+Implementierung derartiger Technologien. Der CCC sieht sich in dieser
+Debatte in beratender und kontrollierender Rolle. Wir werden aus
+grundsätzlichen Erwägungen keine konkreten Apps, Konzepte oder Verfahren
+*empfehlen*. Wir raten jedoch von Apps *ab*, die diese Anforderungen
+nicht erfüllen.
+
+## I. Gesellschaftliche Anforderungen
+
+### 1. Epidemiologischer Sinn & Zweckgebundenheit
+
+Grundvoraussetzung ist, dass "Contact Tracing" tatsächlich realistisch
+dabei helfen kann, die Infektionszahlen signifikant und nachweisbar zu
+senken. Diese Beurteilung obliegt der Epidemiologie. Sollte sich
+herausstellen, dass "Contact Tracing" per App nicht sinnvoll und
+zielführend ist, muss das Experiment beendet werden.
+
+Die App selbst und jegliche gesammelten Daten dürfen ausschließlich zur
+Bekämpfung von SARS-Cov-2-Infektionsketten genutzt werden. Jede andere
+Nutzung muss technisch so weit wie möglich verhindert und rechtlich
+unterbunden werden.
+
+### 2. Freiwilligkeit & Diskriminierungsfreiheit
+
+Für eine epidemiologisch signifikante Wirksamkeit setzt eine "Contact
+Tracing"-App einen hohen Verbreitungsgrad in der Gesellschaft voraus –
+also Installationen auf den Smartphones möglichst vieler Menschen. Diese
+weite Verbreitung darf nicht durch Zwang erreicht werden, sondern kann
+nur durch ein vertrauenswürdiges, privatsphären-achtendes System erzielt
+werden. Vor diesem Hintergrund verbietet sich das Erheben von Gebühren
+für die Nutzung ebenso wie die Inzentivierung durch finanzielle Anreize.
+
+Menschen, die sich der Nutzung verweigern, dürfen keine negativen
+Konsequenzen erfahren. Dies sicherzustellen, ist auch eine Aufgabe von
+Politik und Gesetzgebung.
+
+Die App muss von sich aus regelmäßig auf ihren Betrieb hinweisen,
+einfach temporär zu deaktivieren und dauerhaft zu de-installieren sein.
+Die Implementierung restriktiver Maßnahmen, bspw. die Funktion
+"elektronischer Fußfesseln" zur Kontrolle von Ausgangs- und
+Kontaktbeschränkungen, halten wir für inakzeptabel.
+
+### 3. Grundlegende Privatsphäre
+
+Nur mit einem überzeugenden Konzept, das auf dem Grundsatz der Wahrung
+der Privatsphäre beruht, kann überhaupt eine gesellschaftliche Akzeptanz
+erreicht werden.
+
+Dabei sollen belegbare technische Maßnahmen wie Kryptografie und
+Anonymisierung die Privatsphäre der Nutzer zwingend sicherstellen. Es
+reicht nicht, sich auf organisatorische Maßnahmen, Versprechen und
+"Vertrauen" zu verlassen. Organisatorische oder rechtliche Hürden gegen
+einen Datenabfluss sind im derzeitigen gesellschaftlichen Klima von
+Notstands-Denken und möglichen weitgehenden Grundrechtsausnahmen durch
+das Infektionsschutzgesetz nicht hinreichend.
+
+Die Beteiligung von Unternehmen, die Überwachungstechnologien
+entwickeln, lehnen wir als "Covid-Washing" grundsätzlich ab.
+Grundsätzlich gilt: Die Nutzerinnen sollten keiner Person oder
+Institution mit Ihren Daten "vertrauen" müssen, sondern dokumentierte
+und geprüfte technische Sicherheit genießen.
+
+### 4. Transparenz und Prüfbarkeit
+
+Der vollständige Quelltext für App und Infrastruktur muss frei und ohne
+Zugangsbeschränkungen verfügbar sein, um Audits durch alle
+Interessierten zu ermöglichen. Durch Reproducible-Build-Techniken ist
+sicherzustellen, dass Nutzer überprüfen können, dass die App, die sie
+herunterladen aus dem auditierten Quelltext gebaut wurde.
+
+## II. Technische Anforderungen
+
+### 5. Keine zentrale Entität, der vertraut werden muss
+
+Ein vollständig anonymes "Contact Tracing" ohne allwissende zentrale
+Server ist technisch möglich. Es ist technisch nicht notwendig, alleine
+auf Vertrauenswürdigkeit und Kompetenz des Betreibers von zentraler
+Infrastruktur zu vertrauen, die Privatsphäre der Nutzer schon
+ausreichend zu schützen. Darauf beruhende Konzepte lehnen wir daher von
+vornherein als fragwürdig ab.
+
+Hinzu kommt, dass die Sicherheit und Vertrauenswürdigkeit
+zentralisierter Systeme – etwa gegen die Verknüpfung von IP-Adressen mit
+anonymen Nutzer-IDs – für die Anwender nicht effektiv überprüfbar ist.
+Die Sicherheit und Vertraulichkeit des Verfahrens muss daher
+ausschließlich durch das Verschlüsselungs- und Anonymisierungskonzept
+und die Verifizierbarkeit des Quellcode gewährleistet werden können.
+
+### 6. Datensparsamkeit
+
+Es dürfen nur minimale und für den Anwendungszweck notwendige Daten und
+Metadaten gespeichert werden. Diese Anforderung verbietet die Erfassung
+sämtlicher Daten, die über einen Kontakt zwischen Menschen und dessen
+Dauer hinausgehen, wie zum Beispiel Lokationsdaten.
+
+Sofern lokal auf den Telefonen Daten wie Aufenthaltsorte erfasst werden,
+dürfen Nutzerinnen nicht gezwungen oder verleitet werden, diese Daten an
+Dritte weiterzugeben oder gar zu veröffentlichen. Daten, die nicht mehr
+benötigt werden, sind zu löschen. Auch lokal auf dem Telefon müssen
+sensible Daten sicher verschlüsselt werden.
+
+Für freiwillige, über den eigentlichen Zweck des Contact Tracing
+hinausgehende Datenerhebungen zum Zweck der epidemiologischen Forschung
+muss in der Oberfläche der App eine klare, separate Einwilligung
+explizitit eingeholt und jederzeit widerrufen werden können. Diese
+Einwilligung darf nicht Voraussetzung für die Nutzung sein.
+
+### 7. Anonymität
+
+Die Daten, die jedes Gerät über andere Geräte sammelt, dürfen zur
+Deanonymisierung ihrer Nutzer nicht geeignet sein. Die Daten, die jede
+Person ggf. über sich weitergibt, dürfen nicht zur Deanonymisierung der
+Person selbst geeignet sein. Daher muss die Nutzung des Systems möglich
+sein, ohne dass persönliche Daten jedweder Art erfasst werden oder
+abgeleitet werden können. Diese Anforderung verbietet eindeutige
+Nutzerkennungen.
+
+IDs für "Contact Tracing" über Drahtlostechnik (z. B. Bluetooth oder
+Ultraschall) dürfen nicht auf Personen zurückführbar sein und müssen
+häufig wechseln. Aus diesem Grund verbietet sich auch eine Verbindung
+mit oder Ableitung von IDs aus Kommunikationsbegleitdaten wie
+Push-Tokens, Telefonnummern, verwendeten IP-Adressen, Gerätekennungen
+etc.
+
+### 8. Kein Aufbau von zentralen Bewegungs- und Kontaktprofilen
+
+Das System muss so beschaffen sein, dass weder absichtlich noch
+unabsichtlich Bewegungsprofile (Standortverfolgung) oder Kontakt-Profile
+(auf konkrete Menschen zurückführbare Muster von häufigen Kontakten)
+aufgebaut werden können. Methoden wie zentrales GPS/Location-Logging
+oder eine Verknüpfung der Daten mit Telefonnummern,
+Social-Media-Accounts u. ä. sind daher grundsätzlich abzulehnen.
+
+### 9. Unverkettbarkeit
+
+Das Design der ID-Generierung muss so gestaltet sein, dass diese ohne
+den Besitz des privaten Schlüssels nicht verkettbar sind. Sie dürfen
+also nicht aus anderweitigen Daten abgeleitet werden. Egal auf welchem
+Weg IDs im Infektionsfall kommuniziert werden, muss ausgeschlossen sein,
+dass die gesammelten "Contact Tracing"-Daten über längere Zeiträume
+verketten werden können.
+
+### 10. Unbeobachtbarkeit der Kommunikation
+
+Auch wenn die Übermittlung einer Nachricht im System beobachtet wird (z.
+B. über die Metadaten der Kommunikation), darf daraus nicht geschlossen
+werden können, dass eine Person selbst infiziert ist oder Kontakt zu
+Infizierten hatte. Dies ist sowohl gegenüber anderen Nutzern als auch
+gegenüber Infrastruktur- und Netzbetreibern oder Angreifern, die
+Einblick in diese Systeme erlangen, sicherzustellen.
+
+## Rolle und Selbstverständnis des CCC
+
+Seit weit über 30 Jahren engagiert sich der CCC ehrenamtlich im
+Spannungsfeld zwischen Technologie und Gesellschaft. [Unsere ethischen
+Prinzipien](/de/hackerethik) stehen für Privatsphäre, Dezentralisierung
+und Datensparsamkeit – und gegen jede Form von Überwachung und Zwang.
+
+Ohne Anspruch auf Vollständigkeit benennen wir in diesem Beitrag
+Mindestanforderungen, denen eine "Corona App" entsprechen muss, um
+gesellschaftlich und technisch überhaupt tolerabel zu sein. Der CCC wird
+aus grundsätzlichen Erwägungen unter keinen Umständen jemals eine
+konkrete Implementierung mit Zustimmung, Empfehlung oder gar einem
+Zertifikat oder Prüfsiegel versehen.
+
+Es obliegt den Entwicklern von "Contact Tracing"-Systemen, die Erfüllung
+dieser Anforderungen zu belegen, oder von unabhängigen Dritten belegen
+zu lassen.
-- 
cgit v1.2.3