summaryrefslogtreecommitdiff
diff options
context:
space:
mode:
authorlinus <linus@berlin.ccc.de>2020-04-06 15:19:28 +0000
committerlinus <linus@berlin.ccc.de>2020-05-23 13:40:25 +0000
commit4727c5f589b621ac806bd8c4d6907b469315a289 (patch)
tree6a2f0337b369588c33ff608ac907b92c6e1237e6
parent532584ff8be2057168b4318d3193f138bb8a7a25 (diff)
committing page revision 1
-rw-r--r--updates/2020/contact-tracing-requirements.md212
1 files changed, 212 insertions, 0 deletions
diff --git a/updates/2020/contact-tracing-requirements.md b/updates/2020/contact-tracing-requirements.md
new file mode 100644
index 00000000..3fc6234a
--- /dev/null
+++ b/updates/2020/contact-tracing-requirements.md
@@ -0,0 +1,212 @@
1title: 10 Prüfsteine für die Beurteilung von "Contact Tracing"-Apps
2date: 2020-04-06 15:19:28
3updated: 2020-04-06 15:19:28
4author: linus
5tags: pressemitteilung, updates
6
7Als Möglichkeit zur Eindämmung der SARS-CoV-2-Epidemie sind "Corona-Apps" in aller Munde. Der CCC veröffentlicht 10 Prüfsteine zu deren Beurteilung aus technischer und gesellschaftlicher Perspektive.
8
9<!-- TEASER_END -->
10
11Politik und Epidemiologie ziehen aktuell gestütztes "Contact Tracing"
12als Maßnahme in Erwägung, systematisch einer Ausbreitung von
13SARS-Cov-2-Infektionen entgegen zu wirken. Dies soll der Gesellschaft
14eine größere Freizügigkeit zurückgeben, indem Infektionsketten schneller
15zurückverfolgt und unterbrochen werden können. Durch eine solche Lösung
16sollen Kontakte von Infizierten schneller alarmiert werden und sich
17dadurch schneller in Quarantäne begeben können. Dadurch wiederum sollen
18weitere Infektionen ihrerseits verhindert werden. Eine "Corona-App" soll
19also weder uns selbst, noch unsere Kontakte schützen: Sie soll
20Infektionsketten unterbrechen, indem die Kontakte unserer Kontakte
21geschützt werden.
22
23## "Contact Tracing" als Risikotechnologie
24
25Für die technische Implementierung dieses Konzepts gibt es eine Reihe an
26Vorschlägen. Diese Empfehlungen reichen von dystopischen Vorschlägen für
27Vollüberwachung bis hin zu zielgenauen, vollständig anonymisierten
28Methoden der Alarmierung von potentiell Infizierten ohne Kenntnis der
29konkreten Person.
30
31Grundsätzlich wohnt dem Konzept einer "Corona App" aufgrund der
32möglicherweise erfassten Kontakt- und Gesundheitsdaten ein enormes
33Risiko inne. Gleichzeitig gibt es breite Anwendungsmöglichkeiten für
34"Privacy-by-Design"-Konzepte und -Technologien, die in den letzten
35Jahrzehnten von der Crypto- und Privacy-Community entwickelt wurden. Mit
36Hilfe dieser Technologien ist es möglich, die Potenziale des "Contact
37Tracing" zu entfalten, ohne eine Privatsphäre-Katastrophe zu schaffen.
38Allein deshalb sind sämtliche Konzepte strikt abzulehnen, die die
39Privatsphäre verletzen oder auch nur gefährden. Die auch bei
40konzeptionell und technisch sinnvollen Konzepten verbleibenden
41Restrisiken müssen fortlaufend beobachtet, offen debattiert und so weit
42wie möglich minimiert werden.
43
44Im Folgenden skizzieren wir gesellschaftliche und technische
45Minimalanforderungen für die Wahrung der Privatsphäre bei der
46Implementierung derartiger Technologien. Der CCC sieht sich in dieser
47Debatte in beratender und kontrollierender Rolle. Wir werden aus
48grundsätzlichen Erwägungen keine konkreten Apps, Konzepte oder Verfahren
49*empfehlen*. Wir raten jedoch von Apps *ab*, die diese Anforderungen
50nicht erfüllen.
51
52## I. Gesellschaftliche Anforderungen
53
54### 1. Epidemiologischer Sinn & Zweckgebundenheit
55
56Grundvoraussetzung ist, dass "Contact Tracing" tatsächlich realistisch
57dabei helfen kann, die Infektionszahlen signifikant und nachweisbar zu
58senken. Diese Beurteilung obliegt der Epidemiologie. Sollte sich
59herausstellen, dass "Contact Tracing" per App nicht sinnvoll und
60zielführend ist, muss das Experiment beendet werden.
61
62Die App selbst und jegliche gesammelten Daten dürfen ausschließlich zur
63Bekämpfung von SARS-Cov-2-Infektionsketten genutzt werden. Jede andere
64Nutzung muss technisch so weit wie möglich verhindert und rechtlich
65unterbunden werden.
66
67### 2. Freiwilligkeit & Diskriminierungsfreiheit
68
69Für eine epidemiologisch signifikante Wirksamkeit setzt eine "Contact
70Tracing"-App einen hohen Verbreitungsgrad in der Gesellschaft voraus –
71also Installationen auf den Smartphones möglichst vieler Menschen. Diese
72weite Verbreitung darf nicht durch Zwang erreicht werden, sondern kann
73nur durch ein vertrauenswürdiges, privatsphären-achtendes System erzielt
74werden. Vor diesem Hintergrund verbietet sich das Erheben von Gebühren
75für die Nutzung ebenso wie die Inzentivierung durch finanzielle Anreize.
76
77Menschen, die sich der Nutzung verweigern, dürfen keine negativen
78Konsequenzen erfahren. Dies sicherzustellen, ist auch eine Aufgabe von
79Politik und Gesetzgebung.
80
81Die App muss von sich aus regelmäßig auf ihren Betrieb hinweisen,
82einfach temporär zu deaktivieren und dauerhaft zu de-installieren sein.
83Die Implementierung restriktiver Maßnahmen, bspw. die Funktion
84"elektronischer Fußfesseln" zur Kontrolle von Ausgangs- und
85Kontaktbeschränkungen, halten wir für inakzeptabel.
86
87### 3. Grundlegende Privatsphäre
88
89Nur mit einem überzeugenden Konzept, das auf dem Grundsatz der Wahrung
90der Privatsphäre beruht, kann überhaupt eine gesellschaftliche Akzeptanz
91erreicht werden.
92
93Dabei sollen belegbare technische Maßnahmen wie Kryptografie und
94Anonymisierung die Privatsphäre der Nutzer zwingend sicherstellen. Es
95reicht nicht, sich auf organisatorische Maßnahmen, Versprechen und
96"Vertrauen" zu verlassen. Organisatorische oder rechtliche Hürden gegen
97einen Datenabfluss sind im derzeitigen gesellschaftlichen Klima von
98Notstands-Denken und möglichen weitgehenden Grundrechtsausnahmen durch
99das Infektionsschutzgesetz nicht hinreichend.
100
101Die Beteiligung von Unternehmen, die Überwachungstechnologien
102entwickeln, lehnen wir als "Covid-Washing" grundsätzlich ab.
103Grundsätzlich gilt: Die Nutzerinnen sollten keiner Person oder
104Institution mit Ihren Daten "vertrauen" müssen, sondern dokumentierte
105und geprüfte technische Sicherheit genießen.
106
107### 4. Transparenz und Prüfbarkeit
108
109Der vollständige Quelltext für App und Infrastruktur muss frei und ohne
110Zugangsbeschränkungen verfügbar sein, um Audits durch alle
111Interessierten zu ermöglichen. Durch Reproducible-Build-Techniken ist
112sicherzustellen, dass Nutzer überprüfen können, dass die App, die sie
113herunterladen aus dem auditierten Quelltext gebaut wurde.
114
115## II. Technische Anforderungen
116
117### 5. Keine zentrale Entität, der vertraut werden muss
118
119Ein vollständig anonymes "Contact Tracing" ohne allwissende zentrale
120Server ist technisch möglich. Es ist technisch nicht notwendig, alleine
121auf Vertrauenswürdigkeit und Kompetenz des Betreibers von zentraler
122Infrastruktur zu vertrauen, die Privatsphäre der Nutzer schon
123ausreichend zu schützen. Darauf beruhende Konzepte lehnen wir daher von
124vornherein als fragwürdig ab.
125
126Hinzu kommt, dass die Sicherheit und Vertrauenswürdigkeit
127zentralisierter Systeme – etwa gegen die Verknüpfung von IP-Adressen mit
128anonymen Nutzer-IDs – für die Anwender nicht effektiv überprüfbar ist.
129Die Sicherheit und Vertraulichkeit des Verfahrens muss daher
130ausschließlich durch das Verschlüsselungs- und Anonymisierungskonzept
131und die Verifizierbarkeit des Quellcode gewährleistet werden können.
132
133### 6. Datensparsamkeit
134
135Es dürfen nur minimale und für den Anwendungszweck notwendige Daten und
136Metadaten gespeichert werden. Diese Anforderung verbietet die Erfassung
137sämtlicher Daten, die über einen Kontakt zwischen Menschen und dessen
138Dauer hinausgehen, wie zum Beispiel Lokationsdaten.
139
140Sofern lokal auf den Telefonen Daten wie Aufenthaltsorte erfasst werden,
141dürfen Nutzerinnen nicht gezwungen oder verleitet werden, diese Daten an
142Dritte weiterzugeben oder gar zu veröffentlichen. Daten, die nicht mehr
143benötigt werden, sind zu löschen. Auch lokal auf dem Telefon müssen
144sensible Daten sicher verschlüsselt werden.
145
146Für freiwillige, über den eigentlichen Zweck des Contact Tracing
147hinausgehende Datenerhebungen zum Zweck der epidemiologischen Forschung
148muss in der Oberfläche der App eine klare, separate Einwilligung
149explizitit eingeholt und jederzeit widerrufen werden können. Diese
150Einwilligung darf nicht Voraussetzung für die Nutzung sein.
151
152### 7. Anonymität
153
154Die Daten, die jedes Gerät über andere Geräte sammelt, dürfen zur
155Deanonymisierung ihrer Nutzer nicht geeignet sein. Die Daten, die jede
156Person ggf. über sich weitergibt, dürfen nicht zur Deanonymisierung der
157Person selbst geeignet sein. Daher muss die Nutzung des Systems möglich
158sein, ohne dass persönliche Daten jedweder Art erfasst werden oder
159abgeleitet werden können. Diese Anforderung verbietet eindeutige
160Nutzerkennungen.
161
162IDs für "Contact Tracing" über Drahtlostechnik (z. B. Bluetooth oder
163Ultraschall) dürfen nicht auf Personen zurückführbar sein und müssen
164häufig wechseln. Aus diesem Grund verbietet sich auch eine Verbindung
165mit oder Ableitung von IDs aus Kommunikationsbegleitdaten wie
166Push-Tokens, Telefonnummern, verwendeten IP-Adressen, Gerätekennungen
167etc.
168
169### 8. Kein Aufbau von zentralen Bewegungs- und Kontaktprofilen
170
171Das System muss so beschaffen sein, dass weder absichtlich noch
172unabsichtlich Bewegungsprofile (Standortverfolgung) oder Kontakt-Profile
173(auf konkrete Menschen zurückführbare Muster von häufigen Kontakten)
174aufgebaut werden können. Methoden wie zentrales GPS/Location-Logging
175oder eine Verknüpfung der Daten mit Telefonnummern,
176Social-Media-Accounts u. ä. sind daher grundsätzlich abzulehnen.
177
178### 9. Unverkettbarkeit
179
180Das Design der ID-Generierung muss so gestaltet sein, dass diese ohne
181den Besitz des privaten Schlüssels nicht verkettbar sind. Sie dürfen
182also nicht aus anderweitigen Daten abgeleitet werden. Egal auf welchem
183Weg IDs im Infektionsfall kommuniziert werden, muss ausgeschlossen sein,
184dass die gesammelten "Contact Tracing"-Daten über längere Zeiträume
185verketten werden können.
186
187### 10. Unbeobachtbarkeit der Kommunikation
188
189Auch wenn die Übermittlung einer Nachricht im System beobachtet wird (z.
190B. über die Metadaten der Kommunikation), darf daraus nicht geschlossen
191werden können, dass eine Person selbst infiziert ist oder Kontakt zu
192Infizierten hatte. Dies ist sowohl gegenüber anderen Nutzern als auch
193gegenüber Infrastruktur- und Netzbetreibern oder Angreifern, die
194Einblick in diese Systeme erlangen, sicherzustellen.
195
196## Rolle und Selbstverständnis des CCC
197
198Seit weit über 30 Jahren engagiert sich der CCC ehrenamtlich im
199Spannungsfeld zwischen Technologie und Gesellschaft. [Unsere ethischen
200Prinzipien](/de/hackerethik) stehen für Privatsphäre, Dezentralisierung
201und Datensparsamkeit – und gegen jede Form von Überwachung und Zwang.
202
203Ohne Anspruch auf Vollständigkeit benennen wir in diesem Beitrag
204Mindestanforderungen, denen eine "Corona App" entsprechen muss, um
205gesellschaftlich und technisch überhaupt tolerabel zu sein. Der CCC wird
206aus grundsätzlichen Erwägungen unter keinen Umständen jemals eine
207konkrete Implementierung mit Zustimmung, Empfehlung oder gar einem
208Zertifikat oder Prüfsiegel versehen.
209
210Es obliegt den Entwicklern von "Contact Tracing"-Systemen, die Erfüllung
211dieser Anforderungen zu belegen, oder von unabhängigen Dritten belegen
212zu lassen.