Wie es um Sicherheit und Nutzen von Clustererkennungs-Apps steht
Der Ausschuss Digitale Agenda unter Leitung von Manuel Höferlin (FDP) hat sich am Mittwoch, 5. Mai 2021, in einem öffentlichen Fachgespräch mit der Sicherheit und Koordinierung der Nutzung von sogenannten Clustererkennungs-Apps wie der Corona-Warn-App der Bundesregierung (CWA) oder der Luca-App beschäftigt. Die Luca-App wird bereits in einigen Bundesländern zur Kontaktnachverfolgung eingesetzt, war aber zuletzt wegen Datenschutzmängeln in die Kritik geraten.
“Es kommt vor allem auf Schnelligkeit an„
Ende April wurde auch die CWA, die über 27 Millionen Downloads verzeichnet, um eine anonyme Check-In-Funktion per QR-Code erweitert: Wer beispielsweise an einem öffentlichen Ort ist oder eine Veranstaltung besucht, kann so benachrichtigt werden, falls jemand von den anderen Besuchern positiv getestet wird. Bislang basierte die Kontaktnachverfolgung etwa bei Restaurantbesuchen vor allem auf handschriftlichen Listen. Alternativ zur manuellen Cluster-Erkennung ist auch eine automatische Erkennung in der Diskussion – aber auch die Angabe von Kontaktdaten in Papierform wird weiter möglich sein.
SAP-Entwickler Martin Fassunge, der die CWA mitentwickelt hat, erklärte in dem Fachgespräch, dass die Situation im April 2020 sich fundamental von der heute unterscheide – es komme vor allem auf Schnelligkeit an. Nutzer nähmen die neuen Features der CWA gut an, sagte Fassunge und verwies darauf, dass es etwa bei Events Kombinationslösungen, analog und digital, dazu brauche, wie der Informationsaustausch zwischen App-Nutzern und Nicht-App-Nutzern gewährleistet werden kann.
“Corona-Warn-App mit datenschutzfreundlicher Cluster-Erkennung„
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Professor Ulrich Kelber (SPD), sagte, die CWA habe seit dem Update eine gut funktionierende und datenschutzfreundliche Cluster-Erkennung. Die neuen Funktionen könnten ein Schub für die CWA sein. Je mehr Menschen mitmachten, desto größer sei der Nutzen für alle. Er hoffe, dass über eine Art “Broadcasting„ nachgedacht werde, sodass Besucher von Events per App eine Warnung erhalten könnten.
Der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, betonte, dass die Anzahl der Smartphone-Nutzer sowie die der Apps rasant steige. Ihm bereite die hohe Bedrohungslage Sorge, täglich kämen zwischen 300.000 und 400.000 neue Schadprogramme hinzu. Wichtig sei daher die Auslieferung der Apps nach den Prinzipien “security by design“ und „security by default“. Die CWA nannte er diesbezüglich „eine der erfolgreichsten Apps europaweit“.
„Problematische Fehleranfälligkeit“
Henning Tillmann (D64-Zentrum für digitalen Fortschritt) betonte, dass Deutschland spät dran sei mit den Weiterentwicklungen der CWA. Eine grundlegende Frage sei, ob es darum gehe, dass Gesundheitsämter mehr Daten verarbeiten können oder Menschen gewarnt werden sollen.
Problematisch an der manuellen Cluster-Erkennung per QR-Code sei die Fehleranfälligkeit, etwa beim Ausloggen beim Verlassen einer Location. Die automatische Cluster-Erkennung könne daher essentiell sein. Die Corona-Warn-App müsse auch insgesamt noch besser werden, also etwa Nutzern mehr Informationen zum Pandemiegeschehen anzeigen.
„Bedarfsgetriebene Daten statt einer Datenautobahn“
Martin Tschirsich vom Innovationsverbund Öffentliche Gesundheit betonte, dass die Hoffnung auf eine einzige digitale Gesamtlösung eine löchrige sei: „Die pandemische Realität ist sehr komplex, es benötigt ein kluges Zusammenspiel mehrerer technischer Lösungen“, sagte er. Der Innovationsverbund habe daher die offene Schnittstelle IRIS ins Leben gerufen, sodass mehrere Akteure an der Kontaktnachverfolgung mitwirken könnten. Diese sei so etwas wie „die letzte Meile ins Gesundheitsamt“, sagte Tschirsich. Es brauche keine Datenautobahn, sondern viel mehr bedarfsgetriebene Daten – und der Bedarf entstehe im Gesundheitsamt.
Die für das Gesundheitsamt Bodenseekreis tätige Sachverständige Bianca Kastl betonte, dass die CWA Gesundheitsämtern früh Arbeit abnehmen könne. Funktionen wie das Kontakttagebuch könnten helfen, die Gespräche der Gesundheitsämter effizienter zu gestalten. Gästelisten seien hingegen kein Tagesgeschäft von Gesundheitsämtern. Diese Daten bräuchten oftmals eine ausführliche Analyse, und diese lohne sich oftmals nur bei einem hohen Risiko eines Clusters. Die Datenqualität bei der Luca-App sei zudem „nicht immer hoch“; auch gebe es Probleme bei der Zugänglichkeit, etwa was die Barrierefreiheit, aber auch was Sicherheitslücken für Hacks angehe.
„Entscheidend sind Zielgerichtetheit und Effizienz“
Kritik an der Luca-App äußerte auch Linus Neumann vom Chaos Computer Club. Es betrübe ihn, dass über 21,8 Millionen Euro für Lizenzen einer zentralen Lösung ausgegeben wurden, bei der es immer wieder Sicherheitslücken wie etwa bei den Fake-Check-Ins oder den sogenannten Schlüsselanhängern gebe. Entscheidend seien die Zielgerichtetheit und Effizienz, auch um die Gesundheitsämter zu entlasten, nicht zu belasten. Die Cluster-Funktion der CWA sei überfällig, der Chaos Computer Club habe diese bereits seit Oktober 2020 gefordert.
Der CEO der Luca-App des Berliner Start-ups Nexenio, Patrick Hennig, betonte, dass sich die Firma bewusst sei, dass Datensicherheit und Datenschutz erfüllt sein müssen. Auch deshalb sei der Quellcode ihres Systems offengelegt, um eine Weiterentwicklung der Software zu ermöglichen. Die Einsatzbereiche im Vergleich zur CWA seien unterschiedlich. Die Luca-App könne Gesundheitsämtern gute Hinweise geben, um zum Beispiel ein Hygiene-Konzept eines Ortes zu überprüfen. Auch erste Daten aus Modellregionen wie Nordfriesland zeigten, dass die App funktioniere. (lbr/05.05.2021)