From 4727c5f589b621ac806bd8c4d6907b469315a289 Mon Sep 17 00:00:00 2001 From: linus Date: Mon, 6 Apr 2020 15:19:28 +0000 Subject: committing page revision 1 --- updates/2020/contact-tracing-requirements.md | 212 +++++++++++++++++++++++++++ 1 file changed, 212 insertions(+) create mode 100644 updates/2020/contact-tracing-requirements.md diff --git a/updates/2020/contact-tracing-requirements.md b/updates/2020/contact-tracing-requirements.md new file mode 100644 index 00000000..3fc6234a --- /dev/null +++ b/updates/2020/contact-tracing-requirements.md @@ -0,0 +1,212 @@ +title: 10 Prüfsteine für die Beurteilung von "Contact Tracing"-Apps +date: 2020-04-06 15:19:28 +updated: 2020-04-06 15:19:28 +author: linus +tags: pressemitteilung, updates + +Als Möglichkeit zur Eindämmung der SARS-CoV-2-Epidemie sind "Corona-Apps" in aller Munde. Der CCC veröffentlicht 10 Prüfsteine zu deren Beurteilung aus technischer und gesellschaftlicher Perspektive. + + + +Politik und Epidemiologie ziehen aktuell gestütztes "Contact Tracing" +als Maßnahme in Erwägung, systematisch einer Ausbreitung von +SARS-Cov-2-Infektionen entgegen zu wirken. Dies soll der Gesellschaft +eine größere Freizügigkeit zurückgeben, indem Infektionsketten schneller +zurückverfolgt und unterbrochen werden können. Durch eine solche Lösung +sollen Kontakte von Infizierten schneller alarmiert werden und sich +dadurch schneller in Quarantäne begeben können. Dadurch wiederum sollen +weitere Infektionen ihrerseits verhindert werden. Eine "Corona-App" soll +also weder uns selbst, noch unsere Kontakte schützen: Sie soll +Infektionsketten unterbrechen, indem die Kontakte unserer Kontakte +geschützt werden. + +## "Contact Tracing" als Risikotechnologie + +Für die technische Implementierung dieses Konzepts gibt es eine Reihe an +Vorschlägen. Diese Empfehlungen reichen von dystopischen Vorschlägen für +Vollüberwachung bis hin zu zielgenauen, vollständig anonymisierten +Methoden der Alarmierung von potentiell Infizierten ohne Kenntnis der +konkreten Person. + +Grundsätzlich wohnt dem Konzept einer "Corona App" aufgrund der +möglicherweise erfassten Kontakt- und Gesundheitsdaten ein enormes +Risiko inne. Gleichzeitig gibt es breite Anwendungsmöglichkeiten für +"Privacy-by-Design"-Konzepte und -Technologien, die in den letzten +Jahrzehnten von der Crypto- und Privacy-Community entwickelt wurden. Mit +Hilfe dieser Technologien ist es möglich, die Potenziale des "Contact +Tracing" zu entfalten, ohne eine Privatsphäre-Katastrophe zu schaffen. +Allein deshalb sind sämtliche Konzepte strikt abzulehnen, die die +Privatsphäre verletzen oder auch nur gefährden. Die auch bei +konzeptionell und technisch sinnvollen Konzepten verbleibenden +Restrisiken müssen fortlaufend beobachtet, offen debattiert und so weit +wie möglich minimiert werden. + +Im Folgenden skizzieren wir gesellschaftliche und technische +Minimalanforderungen für die Wahrung der Privatsphäre bei der +Implementierung derartiger Technologien. Der CCC sieht sich in dieser +Debatte in beratender und kontrollierender Rolle. Wir werden aus +grundsätzlichen Erwägungen keine konkreten Apps, Konzepte oder Verfahren +*empfehlen*. Wir raten jedoch von Apps *ab*, die diese Anforderungen +nicht erfüllen. + +## I. Gesellschaftliche Anforderungen + +### 1. Epidemiologischer Sinn & Zweckgebundenheit + +Grundvoraussetzung ist, dass "Contact Tracing" tatsächlich realistisch +dabei helfen kann, die Infektionszahlen signifikant und nachweisbar zu +senken. Diese Beurteilung obliegt der Epidemiologie. Sollte sich +herausstellen, dass "Contact Tracing" per App nicht sinnvoll und +zielführend ist, muss das Experiment beendet werden. + +Die App selbst und jegliche gesammelten Daten dürfen ausschließlich zur +Bekämpfung von SARS-Cov-2-Infektionsketten genutzt werden. Jede andere +Nutzung muss technisch so weit wie möglich verhindert und rechtlich +unterbunden werden. + +### 2. Freiwilligkeit & Diskriminierungsfreiheit + +Für eine epidemiologisch signifikante Wirksamkeit setzt eine "Contact +Tracing"-App einen hohen Verbreitungsgrad in der Gesellschaft voraus – +also Installationen auf den Smartphones möglichst vieler Menschen. Diese +weite Verbreitung darf nicht durch Zwang erreicht werden, sondern kann +nur durch ein vertrauenswürdiges, privatsphären-achtendes System erzielt +werden. Vor diesem Hintergrund verbietet sich das Erheben von Gebühren +für die Nutzung ebenso wie die Inzentivierung durch finanzielle Anreize. + +Menschen, die sich der Nutzung verweigern, dürfen keine negativen +Konsequenzen erfahren. Dies sicherzustellen, ist auch eine Aufgabe von +Politik und Gesetzgebung. + +Die App muss von sich aus regelmäßig auf ihren Betrieb hinweisen, +einfach temporär zu deaktivieren und dauerhaft zu de-installieren sein. +Die Implementierung restriktiver Maßnahmen, bspw. die Funktion +"elektronischer Fußfesseln" zur Kontrolle von Ausgangs- und +Kontaktbeschränkungen, halten wir für inakzeptabel. + +### 3. Grundlegende Privatsphäre + +Nur mit einem überzeugenden Konzept, das auf dem Grundsatz der Wahrung +der Privatsphäre beruht, kann überhaupt eine gesellschaftliche Akzeptanz +erreicht werden. + +Dabei sollen belegbare technische Maßnahmen wie Kryptografie und +Anonymisierung die Privatsphäre der Nutzer zwingend sicherstellen. Es +reicht nicht, sich auf organisatorische Maßnahmen, Versprechen und +"Vertrauen" zu verlassen. Organisatorische oder rechtliche Hürden gegen +einen Datenabfluss sind im derzeitigen gesellschaftlichen Klima von +Notstands-Denken und möglichen weitgehenden Grundrechtsausnahmen durch +das Infektionsschutzgesetz nicht hinreichend. + +Die Beteiligung von Unternehmen, die Überwachungstechnologien +entwickeln, lehnen wir als "Covid-Washing" grundsätzlich ab. +Grundsätzlich gilt: Die Nutzerinnen sollten keiner Person oder +Institution mit Ihren Daten "vertrauen" müssen, sondern dokumentierte +und geprüfte technische Sicherheit genießen. + +### 4. Transparenz und Prüfbarkeit + +Der vollständige Quelltext für App und Infrastruktur muss frei und ohne +Zugangsbeschränkungen verfügbar sein, um Audits durch alle +Interessierten zu ermöglichen. Durch Reproducible-Build-Techniken ist +sicherzustellen, dass Nutzer überprüfen können, dass die App, die sie +herunterladen aus dem auditierten Quelltext gebaut wurde. + +## II. Technische Anforderungen + +### 5. Keine zentrale Entität, der vertraut werden muss + +Ein vollständig anonymes "Contact Tracing" ohne allwissende zentrale +Server ist technisch möglich. Es ist technisch nicht notwendig, alleine +auf Vertrauenswürdigkeit und Kompetenz des Betreibers von zentraler +Infrastruktur zu vertrauen, die Privatsphäre der Nutzer schon +ausreichend zu schützen. Darauf beruhende Konzepte lehnen wir daher von +vornherein als fragwürdig ab. + +Hinzu kommt, dass die Sicherheit und Vertrauenswürdigkeit +zentralisierter Systeme – etwa gegen die Verknüpfung von IP-Adressen mit +anonymen Nutzer-IDs – für die Anwender nicht effektiv überprüfbar ist. +Die Sicherheit und Vertraulichkeit des Verfahrens muss daher +ausschließlich durch das Verschlüsselungs- und Anonymisierungskonzept +und die Verifizierbarkeit des Quellcode gewährleistet werden können. + +### 6. Datensparsamkeit + +Es dürfen nur minimale und für den Anwendungszweck notwendige Daten und +Metadaten gespeichert werden. Diese Anforderung verbietet die Erfassung +sämtlicher Daten, die über einen Kontakt zwischen Menschen und dessen +Dauer hinausgehen, wie zum Beispiel Lokationsdaten. + +Sofern lokal auf den Telefonen Daten wie Aufenthaltsorte erfasst werden, +dürfen Nutzerinnen nicht gezwungen oder verleitet werden, diese Daten an +Dritte weiterzugeben oder gar zu veröffentlichen. Daten, die nicht mehr +benötigt werden, sind zu löschen. Auch lokal auf dem Telefon müssen +sensible Daten sicher verschlüsselt werden. + +Für freiwillige, über den eigentlichen Zweck des Contact Tracing +hinausgehende Datenerhebungen zum Zweck der epidemiologischen Forschung +muss in der Oberfläche der App eine klare, separate Einwilligung +explizitit eingeholt und jederzeit widerrufen werden können. Diese +Einwilligung darf nicht Voraussetzung für die Nutzung sein. + +### 7. Anonymität + +Die Daten, die jedes Gerät über andere Geräte sammelt, dürfen zur +Deanonymisierung ihrer Nutzer nicht geeignet sein. Die Daten, die jede +Person ggf. über sich weitergibt, dürfen nicht zur Deanonymisierung der +Person selbst geeignet sein. Daher muss die Nutzung des Systems möglich +sein, ohne dass persönliche Daten jedweder Art erfasst werden oder +abgeleitet werden können. Diese Anforderung verbietet eindeutige +Nutzerkennungen. + +IDs für "Contact Tracing" über Drahtlostechnik (z. B. Bluetooth oder +Ultraschall) dürfen nicht auf Personen zurückführbar sein und müssen +häufig wechseln. Aus diesem Grund verbietet sich auch eine Verbindung +mit oder Ableitung von IDs aus Kommunikationsbegleitdaten wie +Push-Tokens, Telefonnummern, verwendeten IP-Adressen, Gerätekennungen +etc. + +### 8. Kein Aufbau von zentralen Bewegungs- und Kontaktprofilen + +Das System muss so beschaffen sein, dass weder absichtlich noch +unabsichtlich Bewegungsprofile (Standortverfolgung) oder Kontakt-Profile +(auf konkrete Menschen zurückführbare Muster von häufigen Kontakten) +aufgebaut werden können. Methoden wie zentrales GPS/Location-Logging +oder eine Verknüpfung der Daten mit Telefonnummern, +Social-Media-Accounts u. ä. sind daher grundsätzlich abzulehnen. + +### 9. Unverkettbarkeit + +Das Design der ID-Generierung muss so gestaltet sein, dass diese ohne +den Besitz des privaten Schlüssels nicht verkettbar sind. Sie dürfen +also nicht aus anderweitigen Daten abgeleitet werden. Egal auf welchem +Weg IDs im Infektionsfall kommuniziert werden, muss ausgeschlossen sein, +dass die gesammelten "Contact Tracing"-Daten über längere Zeiträume +verketten werden können. + +### 10. Unbeobachtbarkeit der Kommunikation + +Auch wenn die Übermittlung einer Nachricht im System beobachtet wird (z. +B. über die Metadaten der Kommunikation), darf daraus nicht geschlossen +werden können, dass eine Person selbst infiziert ist oder Kontakt zu +Infizierten hatte. Dies ist sowohl gegenüber anderen Nutzern als auch +gegenüber Infrastruktur- und Netzbetreibern oder Angreifern, die +Einblick in diese Systeme erlangen, sicherzustellen. + +## Rolle und Selbstverständnis des CCC + +Seit weit über 30 Jahren engagiert sich der CCC ehrenamtlich im +Spannungsfeld zwischen Technologie und Gesellschaft. [Unsere ethischen +Prinzipien](/de/hackerethik) stehen für Privatsphäre, Dezentralisierung +und Datensparsamkeit – und gegen jede Form von Überwachung und Zwang. + +Ohne Anspruch auf Vollständigkeit benennen wir in diesem Beitrag +Mindestanforderungen, denen eine "Corona App" entsprechen muss, um +gesellschaftlich und technisch überhaupt tolerabel zu sein. Der CCC wird +aus grundsätzlichen Erwägungen unter keinen Umständen jemals eine +konkrete Implementierung mit Zustimmung, Empfehlung oder gar einem +Zertifikat oder Prüfsiegel versehen. + +Es obliegt den Entwicklern von "Contact Tracing"-Systemen, die Erfüllung +dieser Anforderungen zu belegen, oder von unabhängigen Dritten belegen +zu lassen. -- cgit v1.2.3