GI unterstützt App-Framework zur Eindämmung des Corona-Virus
Zur Kontaktnachverfolgung von Covid-19-Infizierten könnten sogenannte „Corona-Apps“ sinnvolle Unterstützung leisten. Das App-Framework „Pan-European Privacy-Preserving Proximity Tracing“ (PEPP-PT) ist ein vielversprechender Ansatz – bei der Entwicklung von Apps auf dieser Basis müssen aber folgende Prinzipien beachtet werden: Verschlüsselung, Anonymisierung, zeitlich befristete, dezentrale Speicherung und freier Zugang zum Quellcode.
Berlin, 6. April 2020 – Die Gesellschaft für Informatik e.V. (GI) begrüßt die Entwicklung des PEPP-PT-Frameworks zur automatischen Kontaktnachverfolgung von Covid-19-Infizierten. „Corona-Apps“, die auf diesem Framework basieren, können einen wertvollen Beitrag zur Eindämmung des Virus leisten. Das App-Framework „Pan-European Privacy-Preserving Proximity Tracing“ (PEPP-PT) erfüllt dabei nach Ansicht der GI alle wichtigen Anforderungen an Datenschutz, Integrität und IT-Sicherheit.
GI-Präsident Prof. Dr. Hannes Federrath: „Die Informatik sollte der Gesellschaft dienen und uns in dieser Krise unterstützen, weswegen ich das PEPP-PT-Framework zur Kontaktverfolgung gutheiße. Eine Installation möglicher darauf basierender Anwendungen muss jedoch freiwillig erfolgen und erfordert das Vertrauen der Bevölkerung. Der Quellcode aller client- und serverseitigen Softwarekomponenten einer ‚Corona-App‘ muss daher offen einsehbar und überprüfbar sein. Ich persönlich kann nur einer Open-Source-Lösung vertrauen.“
Mit der dem europäischen App-Framework PEPP-PT liegt ein guter Vorschlag auf dem Tisch, wie das Prinzip „privacy by design“ in einer möglichen „Corona-App“ implementiert werden kann. Dennoch erfordern auch diesen Lösungen eine kritische Begutachtung hinsichtlich des Datenschutzes und der IT-Sicherheit. Denn bereits kleinste Abweichungen von den Spezifikationen oder Programmierfehler könnten eine De-Anonymisierung der Nutzerinnen und Nutzer ermöglichen. Aus Sicht der GI muss eine „Corona-App“ daher zwingend mit frei einsehbarem Quellcode (Open Source) veröffentlicht werden. Nur so lassen sich Angaben der Entwicklerinnen und Entwickler durch unabhängige Fachleute verifizieren.
Zudem darf die Installation einer solchen App ausschließlich auf freiwilliger Basis erfolgen. Eine verpflichtende Installation verbietet sich nicht nur aus Gründen des Grundrechtsschutzes, sondern wäre auch technisch kaum umsetzbar. Um dennoch die nötige Verbreitung in der Bevölkerung zu gewährleisten, ist Vertrauen in die Sicherheit der App essentiell. Nur eine Open-Source-Lösung, die von unabhängigen Informatikerinnen und Informatikern begutachtet werden kann, ist in der Lage dieses notwendige Vertrauen zu schaffen.
Auch müssten Quellcode und Installationsdateien der fertigen Apps außerhalb der App-Stores von Apple und Google angeboten werden, um Datenschutz zu gewährleisten und auch Nutzerinnen und Nutzer alternativer Systeme eine Installation zu ermöglichen. Der Framework-Ansatz PEPP-PT erfüllt wichtige Anforderungen an den Datenschutz. Als Open-Source-Lösung böte er zudem weitere Chancen: So ließen sich alternative, kompatible Apps entwickeln, welche den Nutzenden einen Mehrwert, wie Informationsangebote zu Hygienemaßnahmen oder zur aktuellen Lage der Infektionszahlen, bieten. Solche Angebote könnten die Akzeptanz und damit die notwendige Verbreitung der App weiterbefördern.
Neben PETT-PT existieren weitere sehr gute dezentrale Ansätze, etwa Decentralized Privacy-Preserving Proximity Tracing (DP-3T) und Contact Event Numbers (CEN). Allerdings wäre es notwendig, dass sich die Ansätze nicht gegenseitig Konkurrenz machen, wenn sie in die Praxis überführt werden, damit hohe Nutzerzahlen auch zu einem signifikanten Nutzen führen.
Weitere Informationen zum „Pan-European Privacy-Preserving Proximity Tracing“ (PEPP-PT).
