Corona-Tracing-App: Experte warnt vor falschem Sicherheitsgefühl
Der Bundesrat will schnellstmöglich eine Corona-App. Doch es fehlen bislang gesetzliche Grundlagen. IT-Experte Hernâni Marques sieht diese als notwendig an.
Das Wichtigste in Kürze
- In den nächsten Wochen soll die angekündigte Corona-App lanciert werden.
- Das Parlament will eine gesetzliche Grundlage.
- Auch für IT-Experte Hernâni Marques ist dies nötig – gleichzeitig warnt er vor Risiken.
Ab dem 11. Mai gilt das Contact-Tracing: Die Kantone sind verpflichtet, Infizierte und insbesondere deren Kontakte aufzuspüren und zu isolieren. Eine Smartphone-App für Android und iOS – genannt Proximity-Tracing-App – soll die Behörden dabei unterstützen.
Virtuelles #OpenHearing von @parldigi zur #COVID2019 Tracing App ist gelungen! Danke @marcelsalathe für Input, danke @EdithGraf für Begrüssung und danke @HPPortmann @judithbellaiche @Storni @Martin_Baeumle @joergmaeder @KatjaChrist uvm. für Fragen. Video: https://t.co/avCeWc0khg
— Matthias Stürmer @[email protected] (@maemst) May 5, 2020
Die App soll freiwillig sein – und dies ist laut Hernâni Marques vom Chaos Computer Club Schweiz «das A und O». Wie der IT-Experte sagt, braucht es zudem klare Spielregeln: «Es muss gesetzliche Grundlagen geben, die den Funktionsumfang der App einschränken, technische Massnahmen zum Schutz der Privatsphäre beinhalten und insbesondere die Freiwilligkeit garantieren».
National- und Ständerat für gesetzliche Grundlagen
Der Bundesrat wollte diese nicht, erachtete das Epidemiengesetz als ausreichend an. Der Ständerat will die Gewährleistung der Freiwilligkeit und Datenschutz in Form einer gesetzlichen Grundlage.
Jetzt live im Nationalrat: Bundesrat @alain_berset erklärt, warum es eigentlich keine gesetzliche Grundlage für die neue #COVID19 Tracing App braucht -> https://t.co/9x8sRWD59q Motionstext: https://t.co/SWpe2FRmTj @parldigi @EdithGraf @FranzGrueter @bglaettli @judithbellaiche pic.twitter.com/1r5Qmg4ljv
— Matthias Stürmer @[email protected] (@maemst) May 5, 2020
Am Montagabend hiess die kleine Kammer eine entsprechende Motion gut. Und so will es auch der Nationalrat: Er folgte dem Ständerat am Dienstagabend mit klarem Mehr. Die Lancierung am 11. Mai wird damit unwahrscheinlich.
«Privatsphäre sekundär bei freiwilliger Nutzung»
Wird die Freiwilligkeit nicht gewährleistet, könnte ein Arbeitgeber oder ein Grossverteiler die App vorschreiben. Die App würde so zu einer Art Passierschein – damit wird auch die Privatsphäre massiv eingeschränkt.
Denn wie Marques erklärt, «ist die Privatsphäre sekundär, solange die Freiwilligkeit gegeben ist». Wenn die Verwendung nicht aufgezwungen werde, sei der Sprung zu herkömmlichen Diensten wie beispielsweise jenen von Google nicht allzu gross.
«Würde die App erzwungen werden, wäre ich dagegen», so Marques.
Das ist vor allem dann problematisch, wenn bei zunehmenden Fallzahlen #ContactTracing-User Prio hätten, denn betagtere Menschen der Risikogruppen sind weniger digitalaffin, mögen skeptischer sein oder gar kein Smartphone haben: die bräuchten dann dringender die Testkapazitäten.
— 🏴 Hernâni Marques 🐈⬛ (@vecirex) May 4, 2020
Weiter sei es wichtig, gesetzlich den Datenschutz zu gewährleisten. Denn sonst könne über ein späteres Update die App erweitert werden. Dies würde ermöglichen, weitere eventuell heikle Daten zu übermitteln oder bereits bestehende Informationen zuzuordnen, ohne dass ein Gesetz überschritten würde.
«User müssen sich Risiken bewusst sein»
Marques wird die App nach eigenen Angaben selbst nicht nutzen. Er halte sich schon seit Beginn der Krise strikt an die Hygiene- und Verhaltensregeln. Er sieht deshalb den Nutzen für sich nicht. Doch er ist nicht per se gegen die Handy-Applikation: «Wir möchten als CCC nicht, dass Leuten vorgeschrieben wird, welche Apps sie nutzen dürfen – egal ob das Instagram, WhatsApp oder die Warn-App ist. Jedoch müssen sich die User der jeweiligen Risiken bewusst sein.»
Daten werden nicht anonymisiert
Und diese seien auch bei der Tracing-App keineswegs zu vernachlässigen. So werden die Daten nicht anonymisiert, sondern lediglich pseudonymisiert.
Mit genug grossem Aufwand könnten beispielsweise staatliche Organe, Telekom-Anbieter oder sogar Dritte die Puzzlestücke verknüpfen – und so auf eine konkrete Person oder zumindest einen engen Personenkreis schliessen. Das technische Konzept würde dies erschweren, aber sicherlich nicht verunmöglichen, so Marques.
Vielen Falschmeldungen mit grossen Gefahren
Zudem müsse man die Frage aufwerfen, wie effektiv die App generell ist: «In anderen Ländern gibt es viele falsch-positive oder falsch-negative Fälle, das wird schnell zum Problem», vermutet Marques.
So würden potenzielle Infektionen Testressourcen und Fachkräfte binden, eine Überlastung des Gesundheitssystems ist wahrscheinlicher. Insbesondere, wenn es eine erneute Welle mit vielen angeblichen Kranken geben würde, wäre dies möglicherweise verheerend.
Und auf der anderen Seite «kann eine solche App ein falsches Sicherheitsgefühl vermitteln – besonders bei Jungen.» Marques erklärt weiter: «Die Corona-Krise ist ein soziales und gesundheitliches Problem. Die Technik kann helfen, ist aber keineswegs ein Allheilmittel. Der Bund muss die Einführung der App unbedingt mit einer entsprechenden Kommunikation begleiten, welche zu hohe Erwartungen dämpft.»
Sicherlich könne der manuelle Aufwand der Kantone verringert werden, das Contact-Tracing zu vollziehen, falls es schweizweit nur einzelne positive Fälle gibt und entsprechend nur wenige Meldungen auf den Handys aufpoppen würden.
Laut Marques «wird sich der effektive Nutzen der App erst noch zeigen». Dieser hänge schliesslich davon ob, was die User beim Auftreten der Meldungen machen würden: «Werden die Meldungen eher ignoriert, passiert wenig Negatives. Wollen bei zunehmenden Fallzahlen sehr viele mehrmals pro Woche zum Arzt rennen, ist das hingegen kontraproduktiv», gibt Marques zu Bedenken.
Bluetooth schafft weitere Sicherheitslücken
Ein weiteres Problem ist die verwendete Kurzfunktechnologie Bluetooth. Sie gilt als nicht besonders sicher. Immer wieder gibt es schwerwiegende Sicherheitslücken, die teils auf Hardwaremängel zurückzuführen sind und nicht behoben werden können.
«Eine dauerhafte Bluetooth-Verwendung von 60 bis 70 Prozent der Schweizer Bevölkerung ruft Kriminelle auf den Plan», vermutet Marques. Bei einer solch grossen Anzahl sei es zudem gegeben, dass auch Geräte mit bekannten Schwachstellen im Umlauf sind.
«Gut denkbar, dass Cyberkriminelle durch die Gegend laufen und Angriffe ausüben», sagt Marques. Laut der Einschätzung des Experten sind insbesondere Android-Geräte gefährdet. Vor der Nutzung der App sollten jedoch sowohl auf iOS- als auch Android-Smartphones die neusten Sicherheitsupdates installiert werden.