Es ist mit unserem Gesundheitsminister so wie mit einem tragischen Helden in einer Teenager-Horrorkomödie. Man fragt sich die ganze Zeit, wie kommt dieser College-Student eigentlich in dieses verlassene Horrorhaus und warum nimmt er immer den falschen Weg, obwohl das Publikum doch schon längst alles besser zu wissen scheint?
Sicher, Horrorkomödien sind auch immer so angelegt, dass das Publikum manchmal in die Irre geleitet wird. Und am Ende kommt immer die große Überraschung in Form einer Kettensäge oder dem glücklichen Aufwachen aus dem Alptraum (je nachdem, wie gut es der Regisseur mit uns meint).
Was die neueste Episode der spahnschen Horrorshow angeht, bin ich mir aber nicht sicher, ob unser Leinwandheld hier auch nur die geringste Chance hat, die richtige Entscheidung getroffen zu haben. Dabei ist es doch eine gute Nachricht: “Die Corona-App kommt endlich”. Nicht die “Datenspende-App“, die vor knapp zwei Wochen für Verwirrung sorgte, sondern nun endlich die “Tracing-App”, die helfen soll Infektionswege zu erkennen und potentiell Infizierte rechtzeitig zu warnen (hier ein paar mehr Infos zu den Unterschieden der beiden Apps).
PEPP-PT: Die schlechteste aller Möglichkeiten gewählt?
Bundesgesundheitsminister Jens Spahn hat sich in der vergangenen Nacht entschieden und zielsicher aus drei Möglichkeiten genau die Variante gewählt (“Projekt PEPP-PT”), die von Datenschützern und Fachleuten (zu denen der Gesundheitsminister ausweislich seiner Biografie nur dann gehört, wenn es um Bausparverträge geht) am deutlichsten abgelehnt wird.
Das App-Konzept, für das sich der Gesundheitsminister entschied, ist dermaßen umstritten, dass das Handelsblatt unter Bezugnahme auf den Grünen-Fraktionsvize Konstantin von Notz titelte “Tödlich für die Akzeptanz”.
Zuvor hatten in dieser Woche mehr als 300 Wissenschaftler aus 26 Ländern vor einer “beispiellosen Überwachung der Gesellschaft” durch nichtdatenschutzkonforme Corona-Apps gewarnt und angemerkt, dass einige Softwarekonzepte eine Überwachung durch staatliche Akteure oder Privatunternehmen ermöglichen (hier das Dokument im Volltext). Wenn auch nicht direkt genannt, zielte diese Kritik vor allem auf das Projekt PEPP-PT.
Jens Spahn setzt auf zentrale Datenspeicherung
Was aber macht den Unterschied zwischen der App, für die sich der Bundesgesundheitsminister nun entschieden hat, und der anderen Option, für die sich in der IT-Community offensichtlich deutlich mehr Befürworter finden?
Es ist vor allem das Konzept der Datenspeicherung. Noch bis vor zwei Wochen suggerierte die Website von PEPP-PT, so berichtete das IT-Portal Golem.de, dass man offen sei sowohl für zentrale wie auch dezentrale Speicherung sensibler Nutzerdaten – doch dann wurde diese Aussage plötzlich von den Servern gelöscht.
Andere Konzepte sehen grundsätzlich eine dezentrale Speicherung aller persönlichen Daten und insbesondere der protokollierten Kontakte vor, die von den Apps untereinander per Bluetooth-Funkprotokoll registriert werden.
Ein oder mehrere verteilte Server werden bei einem dezentralen Ansatz nur dafür genutzt, um – umfangreich verschlüsselt und anonymisiert – regelmäßig zwischen den einzelnen Apps einen Austausch zu ermöglichen. Dabei überprüfen die Apps selbst, ob es einen Kontakt mit einem anderen App-Nutzer gab, der sich zwischenzeitlich mit dem Coronavirus infiziert hat..
Die Warnung erfolgt dann auch dezentral über die jeweilige App. Die Information darüber, wer gewarnt wurde und welche persönlichen Daten der Gewarnte hat, bleiben einem zentralen Server und damit auch dem Gesundheitsminister und möglichen Dritten immer unbekannt.
Wissenschaftler springen ab, Privatfirmen bleiben bei PEPP-PT
Namhafte und renommierte Institute und Fachleute, die noch bis vor kurzem das PEPP-PT Projekt unterstützt hatten, wie das Helmholtz-Zentrum für Informationssicherheit (Cispa), die Ecole polytechnique fédérale de Lausanne (EPFL) und die ETH Zürich sind inzwischen abgesprungen und kritisieren das Konzept offen.
Weiterhin mit dabei ist allerdings noch die private Schweizer Firma AGT, die für arabische Schurkenstaaten Systeme zur Massenüberwachung der Bevölkerung geliefert haben soll, so die Recherchen der Aargauer Zeitung aus der Schweiz. Auch auf deutscher Seite gibt es ein beteiligtes Unternehmen, das eher einen zweifelhaften Ruf genießt. So soll nach Angaben der IT-Newsplattform Heise.de der IT-Dienstleister Arago maßgeblich an dem Konzept beteiligt sein. Die Firma hatte im Rahmen der Altauto-Abwrackprämie im Jahr 2009 erhebliche Probleme eine auch nur im Ansatz sichere Datenübertragung per HTTPS-Protokoll zu etablieren. Damals ging es um die Daten von ein paar tausend Schrottautos, heute um Gesundheitsdaten möglichst aller Bundesbürger.
Womöglich ein Betrugsversuch auf Kosten des Steuerzahlers?
Der französischer Kryptologe Nadia Kobeissi brachte in seinem privaten Blog den Geschäftsführer der Firma Arago, Hans-Christian Boos, der 2019 auch Teilnehmer der bei Verschwörungstheoretikern beliebten Bilderberger-Konferenz war, in die Nähe eines möglichen Betrugsversuchs (“Scam”) in Zusammenhang mit der von Jens Spahn nun favorisierten App. Der IT-Unternehmer würde versuchen, aus der Angst vor Covid-19 Kapital zu schlagen, das Konzept von PEPP-PT sei politisch getrieben und unverantwortlich.
Klingt alles nicht sehr gut …
Dabei ergab Anfang April eine Umfrage des Meinungsforschungsinstituts Kantar/Emnid, dass 53 Prozent der mehr als 1.000 Befragten sich eine Corona-App auf dem Handy installieren würden, allerdings beinhaltete die Frage auch das Wort “datenschutzkonform” und hier wird Jens Spahn noch einige Erklärungen liefern müssen.
Hier finden Sie alle bislang erschienenen “Morgen-Kommentare”.
Als Kommentar, Kolumne, Meinungsbeitrag oder Satire gekennzeichnete Beiträge geben stets ausschließlich die Meinung des jeweiligen Autors wieder, nicht die der gesamten Redaktion.