Statement zur Coronawarn-App

Ich hatte mich zuvor strikt – in vielen Tweets und auch persönlichen Äußerungen – gegen die Nutzung einer App der Bundesregierung zum Contact-Tracing-Verfahren geäußert. Diese Meinung hat sich geändert. Du wolltest wissen, warum. Hier steht warum:

tl;dr: Ich habe gegen den aktuelle Entwicklungsstand der Corona-Warn-App bislang keinerlei gravierende Einwände!

Smartphones wissen heutzutage fast alles über deren Nutzer. Das sind i.d.R. nicht nur Kommunikations- oder Gesundheitsdaten. Es sind auch Daten, jene u.a. Rückschlüsse auf die politische, sexuelle oder gesellschaftliche Orientierung zulassen. Alle diese Daten sind schützenswerte, personenbezogene Daten.

Bevor ich also irgendjemanden an meine „Kronjuwelen“ lasse, muss ich demjenigen auch vertrauen.

Ein Teil der Bürger dieser Republik teilt diese Daten unwissend oder will der eigenen Datenspur weniger bis keine Beachtung schenken. Manch‘ andere argumentieren „man habe ja nichts zu verbergen“. Viele sind nach Snowden auch in der Lage, das in Ansätzen kritisch zu beurteilen und Datensparsamkeit zu fordern.

Wenn aber Regierungen vermeintlich Interesse an den Daten der Smartphones bekunden, sieht das gleich ganz anders aus. Wenn hier keine Transparenz einkehrt, funktioniert das vielleicht in anderen Ländern, hierzulande aber nicht: Intransparenz ist Grundlage für gefährliche Verschwörungstheorien.

Meine Kriterien:

Sofern eine App, welche durch Bestreben einer Regierung/Behörde entwickelt wird, auf mein privates Endgerät installiert werden soll, muss diese App Kriterien erfüllen, die ich für selbstverständlich halte. Wir leben in keiner Autokratie oder Diktatur. Gottseidank. Damit das so bleibt, müssen wir jede Form von möglicher Überwachung verhindern. Auch in solchen Zeiten.

Dazu gehört u.a., dass ich keinerlei Closed-Source Software einer Regierung, welche nicht durch Dritte überprüfbar ist, auf meinem Endgerät zulasse. In diesem, aktuellen Fall eben auch, dass ich den Ansatz der zentralen Kommunikation (PEPP-PT) auf keinen Fall unterstütze, sondern ausschließlich den dezentralen Ansatz (DP-3T) – knapp übersetzt: Ich will nicht, dass ein Regierungsserver Kenntnis davon hat, mit wem ich mich wann, mit welcher körperlichen Distanz und (im schlimmsten Falle wo) treffe.

Mit dieser Meinung stand ich im übrigen nicht alleine da. Der CCC hatte hierzu eine Liste von Prüfsteinen veröffentlicht, deren Inhalt ich so unumwunden unterstütze und sogar einfordere (Link) – hier von Constanze Kurz erklärt (Link): Epidemiologischer Sinn und Zweckgebundenheit, Freiwilligkeit und Diskriminierungsfreiheit, grundlegende Privatsphäre, Transparenz und Prüfbarkeit, keine zentrale Entität, der vertraut werden müsse, Datensparsamkeit, Anonymität, kein Aufbau von zentralen Bewegungs- und Kontaktprofilen, Unverkettbarkeit, sowie Unbeobachtbarkeit der Kommunikation.

Was ist bislang geschehen (verkürzt)

Nun, das Team bei Hans-Christian Boos hat einen wohl eher „suboptimal“ zu wertenden Job gemacht (Link zum „PEPP-PT-Team“, Seite inzwischen offline online – Link). Vor allem aber haben sie bei einem solch datenschutzrelevanten Thema noch schlechter über ihren Job kommuniziert.

Es entstand der Eindruck, dass ein Teil der im Team gelisteten Unternehmen ein eigenes Süppchen kochen wollte, die Interessen des Bürgers jedoch in keinster Form im Fokus standen. Dieser Umstand hat mich erzürnt. Ich habe mich tatsächlich so geäußert, wie ich im Teaser dieses Beitrags erwähnt habe, mit teils drastischen Worten, so wie ich nunmal kommuniziere. Ich konnte an dem Mist keinerlei guten Dinge sehen.

An die Öffentlichkeit drangen diese Informationen zu diesem Zeitpunkt nur in einer „Tröpfchen“-Dosis. Dass genau diese Art der Kommunikation in Zeiten, in jenen Verschwörungstheorien von rechten Zeitungen und in sozialen Medien quasi permanent entzündet werden, extrem DUMM ist, brauche ich wohl niemanden zu erklären. Ich mach’s dennoch: Genau das ist der Brandbeschleuniger für Demokratiegefährder, wie Jebsen, Hildmann, Naidoo & Co (Hierzu habe ich einen *Einschub an das Ende von diesem Blogpost versetzt).

Mit Offenheit und Transparenz hatte dieses Verhalten wirklich nichts zu tun. Jeder Kleingartenverein kommuniziert da besser. Nicht einmal der Minister konnte selbst dieses Niveau erreichen, kippte allerdings noch Brandbeschleuniger hinzu (Link). Einen verantwortungsvollen Umgang mit den Daten der Bürger wollte ich da in keinster Form erkennen.

Leider hat auch Ulf Burmeyer in’s gleiche Horn geblasen und äußerte sich in der Lage der Nation zu meiner Haltung mit dem beleidigenden Vorwurf eines Datenschutz-Ayatollah’s (Link). Ulf Burmeyer ist im übrigen auch Vorsitzender des Vereins „Gesellschaft für Freiheitsrechte“ (Link). Weder zum Podcast noch zum Verein passte diese Aussage.

Persönliche Anmerkung: Treffen können einen nur die Äußerungen von Menschen, die einem etwas bedeuten. Ich hatte damit schwer zu kämpfen. In meiner Wahrnehmung hat sich Ulf für seine Entgleisung bislang in keiner Form entschuldigt, sondern diese auch noch in einem Folgepodcast unterstrichen.

Zu allem Unglück hat das RKI das Angebot eines Carsten-Maschmeyer Unternehmens angenommen und am 7.4.2020 unter eigenem Namen eine App mit dem Titel „Corona-Datenspende“ empfohlen. Diese App ist für den Nutzer in Sachen Datenschutz allerdings ein extremes Risiko, wie der CCC hier beschreibt: (Link). In dieser Zeit kamen dann auch weitere Meldungen, welche ebenfalls nicht zur Erhöhung des Vertrauens in die Regierung führten, z.B. diese hier: Link. Ich hatte zu diesem Zeitpunkt alles und jeden gewarnt, auch nur irgendeine App dieser Regierung zu installieren, und sei es auch nur für den Thermomix oder die Kaffeemaschine.

Wer würde nach diesem Kommunikations- und Datenschutzdebakel den Herrschaften überhaupt nur im Ansatz über die Wupper trauen? Und wem sollte man das Misstrauen verübeln?

Maßstäbe

Der CCC ist für mich einer der wichtigsten Leitelemente in der modernen Gesellschaft. Dass er dazu geworden ist, muss er sich selbst ankreiden. Da sind in der Mehrzahl einfach Menschen mit einem adäquaten, moralischen Kompass, sowie genügend Fachwissen für eine Vielzahl von Fragen dieser Moderne.

Alle Warnungen des CCC wurden zu diesem Zeitpunkt überhört (Link), auch jene von Digitalcourage (Link). Jens Spahn war die Kritik so dermaßen egal, man hätte sich besser mit einer Litfaßsäule unterhalten sollen, da wäre mehr herausgekommen.

Mein Unmut wuchs. Daher meine Äußerungen. In dem damaligen Zustand konnte ich der App-Entwicklung (PEPP-PT) der Regierung höchstens soweit trauen, wie ich eine Waschmaschine werfen kann.

Mit Verlaub, ich halte den erwähnten Bundesminister weiterhin als für sein Amt „ungeeignet“, das hat mit dem aktuellen Entwicklungsstand der App jedoch nichts zu tun.

Und jetzt?

Auch das RKI hat sich in den letzten Wochen wahrlich nicht mit Ruhm bekleckert. Eigentlich spräche gar nichts dafür, überhaupt irgendeine App irgendeiner Regierungsbehörde zu installieren (Ich will den DWD von dieser Aussage wohl ausnehmen).

Aber: Es kommt immer anders, als man denkt. Die „pepp-pt.org“ Domain steht zum Verkauf, die Bundesregierung hat eine 180° Kehrtwende gemacht. Wohl notgedrungen. Eine neue App steht in Kürze zur Verfügung. Gottseidank.

Allerdings wird diese App mit erheblichen Problemen zu kämpfen haben – die haben dann wohl weniger technische Ursachen:

Mit Verlaub, die Heute-Show liegt da nicht ganz falsch. Ich bin sehr gespannt, ob sich das Ding tatsächlich durchsetzt.

Kehrtwende aus eigenem Antrieb?

Apple und Google haben entschieden, dass die zuvor erwähnte, zentrale Lösung (PEPP-PT) keine adäquate Lösung für den Nutzer ist. Sie bevorzugen DP-3T.

Ferner haben die beiden Unternehmen sogar eine Schnittstelle gebaut, welche Android/iOS interkompatibel den dezentralen Ansatz verfolgt und von Behörden/Organisationen genutzt werden kann, um selbst eine App zu entwickeln. Da staunst‘!

Jetzt hat unsere Regierung aber mal keinerlei Einfluss auf den Appstore von Apple und Google. In sofern stelle ich auch mal den Veröffentlichungstermin in Frage. An welchem Wochentag eine App aus dem Bergwerk von Apple rauskommt, ist grundsätzlich mal ein Glückspiel. Dabei ist in der Regel nachrangig, ob Du Hein Blöd mit Yet-Another-Taschenlampen-App oder das RKI bist. Wenn das Bergwerk ein Haar in der Suppe findet, quietscht es.

Auf Telefonen der Marke Apple kann also – ohne den „Segen“ von Apple – keine Malware der Regierung installiert werden, sofern alle Sicherheitselemente des Herstellers intakt/ungebrochen sind. Für den Playstore von Google gilt dasselbe.

Dem Laien müsste – wohl oder übel – spätestens jetzt auffallen, dass Herr Spahn sich auf den Kopf stellen und mit den Füßen wackeln kann, gegen den Willen von Apple und Google ist ihm kein Kraut gewachsen.

Auch wenn ich diesen Nebenwirkungen beider Ökosysteme kritisch gegenüberstehe: In diesem Fall ist das positiv. Man stelle sich einfach mal vor, Unternehmen hätten tatsächlich einen besseren, moralischen Kompass, als unsere Bundesregierung. Tja… Don’t be evil. Ich verweise hier auch nochmal auf den Einschub am Ende des Beitrags.

Alle Entwicklungen rund um das Boos-Team waren demnach Zeitverschwendung. Und das ist weder die Schuld der Kritiker, des CCC noch irgendwelcher „Datenschutz-Ayatollah’s“.

Ergo: Unsere Bundesregierung hatte gar keine andere Wahl, als sich gegen die vormals preferierte, zentrale Lösung zu entscheiden. Da kann der „nationalkonservative“ Jaspar von Altenbockum in seiner FAZ dichten, was er will (Link).

Dass Apple und Google an einer kompatiblen Schnittstelle tatsächlich gemeinsam arbeiten, ist für sich gesehen schon ein Phänomen.

Dass allerdings die von der Bundesregierung beauftragten Unternehmen (hauptsächlich SAP) dann auch noch den Quellcode samt Dokumentation auf Github veröffentlichen, ist für mich das noch größere (Link).

Hier hat sich meine Meinung um 180° gedreht. Denn nur so und nicht anders schaffst Du Vertrauen. Da müssen einige doch wirklich genau auf das aufgepasst haben, was zuvor verbockt wurde.

Ich habe das für absolut unmöglich gehalten, bin jedoch eines besseren belehrt worden. Ich muss mich entschuldigen und kann vor allen jetzt beteiligten nur den Hut ziehen – Chapeau!

Bislang ist mir lediglich eine Äußerung vom TÜV-IT untergekommen (Link) und eine relevante Studie aus Darmstadt (Link).

Allerdings stehe ich den Äußerungen des TÜV genauso kritisch gegenüber, wie jenen des ehemaligen PEPP-PT-Konsortiums. Im Umkehrschluss: Wo „TÜV“ draufsteht kann Sicherheit drin sein, muss aber nicht (Link).

Die Darmstädter stehen dem zentralen Ansatz ebenso kritisch gegenüber und haben lezte Woche noch einige, relevante Kritikpunkte dieser Variante veröffentlicht, die sicherlich diskussionswürdig sind. Mehr Kritiken kenne ich nicht, bin aber stets aufnahmebereit und wissbegierig! Schreibt mir bitte, sofern ich falsch liege. Das ist wichtig!

Ferner gibt es seit dem 14.06.2020 sogar eine offizielle Datenschutz-Flogeabschätzung (DSFA) des RKI auf den Seiten zur App (Link). Noch im April war mangels dieser auf Initiative der FIfF über Kirsten Bock eine DSFA (Link) veröffentlicht worden, welche noch die Variante vom Pepp-PT-Team im Fokus hatte und mit dem aktuellen Entwicklungsstand nicht im Zusammenhang steht. Diese ist bislang jedoch der erste Treffer, welche man mit Google zur Corona-App eine DSFA sucht.

Das RKI weist in ihrer eigenen DSFA ausdrücklich darauf hin, dass sie weder Einfluss auf die Sicherheit und die Gestaltung der API, den BLE-Standard noch auf die Betriebssysteme selbst haben, was m.E. selbstverständlich ist. Ebenso seien Apple und Google in der Lage, den Datenschutz z.B. durch Verknüpfung der App mit den Anmeldedaten der Stores auszuhebeln. Diese Bewertung innerhalb der RKI-DSFA ist meiner Meinung nach zwar richtig, jedoch Stand der Technik, allgemein üblich und ebenfalls weniger ein Grund zur Sorge. Es besteht zwar ein theoretisches Risiko, das m.E. nicht eintreffen wird, wenn Apple und Google sich nicht ihrer eigenen Geschäftsgrundlage entledigen wollen.

Es gibt auf „https://www.coronawarn.app/de/“ eine umfangreiche Sammlung von Texten, die zur Information über die App dienen, ebenso den Link zum Github-Repository. Es ist wünschenswert, dies so beizubehalten und ggf. zu erweitern.

Im Moment steht der Nutzung der App – meiner Meinung nach – nichts gravierendes im Wege => sofern sie adäquat genutzt werden kann und kein Zwang durch die Hintertür kommt.

Ich selbst kann hier gar nicht anders agieren, ich muss dieses Projekt unterstützen. Auch, weil ich der Regierung zeigen möchte, dass nur absolute Transparenz zum Erfolg führt.

Allerdings: Die Features der App sollten nicht überbewertet werden. Die App schützt mich nicht vor dem Virus. Sie kann lediglich die Kontaktverfolgung (Contact-Tracing) unterstützen und mich warnen, sofern eine meiner Begegnungen in den letzten 14 Tagen das Virus hat oder hatte. Ich muss mich dann selbst testen lassen. Die Arbeit der Gesundheitsämter kann sie nicht obsolet machen. Dennoch beschleunigt sie die Aufdeckung des Virus, indem andere oder ich über notwendige Schutzmaßnahmen im Optimalfall informiert werden, so dass andere oder ich nicht zum Superspreader werden.

Sofern die App den Datenschutz meiner Mitbürger in keiner Form beeinträchtigt und man durch das Contact-Tracing auch nur ein Menschenleben retten kann (Link), ist die App jeden Cent meiner Steuern wert – meine persönliche Unterstützung sowieso.

Der offene Ansatz ist der vertrauensfördernde. Es wird in dieser App oder im Betriebssystem mit Sicherheit eine gehörige Portion Lücken geben. Ich traue aber dem Team und der Community zu, diese zu beseitigen und mich mit regelmäßigen Updates zu schützen.

Risiken

Was inden Dokumentationen und im Quelltext nicht steht, ist der Umgang der Behörden mit Positiven und Falsch-Positiven. Da könnte eine Menge Arbeit auf uns zukommen. Auch wenn die App extremst einfach zu installieren und zu bedienen ist, wird es wohl auch Menschen geben, die Hilfe benötigen. Die DSFA ist knapp, enthält aber auch Risiken, die ich teile. Arbeitgeber und Geschäftsinhaber sollten auf Mitarbeiter oder Kunden auf keinen Fall Druck ausüben, die App zu installieren. Ferner ist es wichtig, dass die verwendeten Lizenzen wasserdicht sind. Ich bin gespannt!

Fazit:

Werden die Kriterien des CCC erreicht? Meiner Meinung nach ist dies so. Ich werde diese App nutzen. Sofern dem nicht mehr so ist oder meine Meinung sich ändert, schreibe ich das hier auf. Ferner werde ich mich für die Nutzung der App bei meinen Lesern, Freunden und Arbeitskollegen einsetzen.

Ob Du diese App selbst nutzen willst, musst Du für Dich entscheiden. Vielleicht willst Du auch noch abwarten. Bitte informiere Dich auch außerhalb Deiner eigenen Filterblasen. Meine persönliche Meinung sollte keine exklusive Grundlage für Deine eigene Entscheidung sein sondern höchstens eine von vielen.

Mehr Informationen zur App findest Du hier:
https://www.bundesregierung.de/breg-de/themen/corona-warn-app

Ich rate dazu, die Links der Bundesregierung zu nutzen, um nicht versehentlich eine ungewollte App zu installieren!


*Der zuvor erwähnte Einschub: In Corona-Zeiten steigt die Anzahl der Verschwörungstheorien gewaltig. Deswegen ist das intransparente Verhalten der zuvor beteiligten des Teams „PEPP-PT“ kritisch zu beurteilen.

Wenige der Verschwörungstheorien sind lediglich Unsinn, ein Großteil davon gefährden oder schädigen sogar Menschen. In manchen Fällen wird eine Pizzaria oder ein Mobilfunkmast angezündet, im schlechtesten Fall sterben Menschen.

Gemein haben sie häufig, dass auf sie verweisende Posts Ihren Ursprung in extremstrechten Filterblasen haben. Eine Vielzahl von Menschen (Zielgruppe in diesem Teil beschrieben mit „die“) ist heute so demaßen medial unterbelichtet, deshalb nicht einmal mehr in der Lage, diesen ventilierten, braunen Mist von der Realität zu unterscheiden.

Erwarte nicht, dass „die“ auch nur eine Quellenanalyse auf die Reihe bekommen. Du kriegst „die“ da auch nicht mehr raus. „Die“ sind in ihrem braunen Sumpf und nicht im Ansatz imstande, die kackbraunen Ursprünge der Posts nachzuvollziehen, welche auf die Jebsens der Nation verweisen.

Das Schlimme daran ist: Exakt diese Zielgruppe weiß noch nicht einmal, was sie ihren Mitmenschen da antut, wenn sie, wie ein Hund mit dem Schwanz wedelnd, hirnlos und freudestrahlend, zu Dir kommen, und Dir mitteilen wollen: „Hier, hat $Attila gesagt!“. Die kriegen das mental nicht adäquat geparst, dass sich Dir gerade der Magen umdreht. Es teilt sich ja auch so schön einfach.

Für Dich selbst hat das nur einen Vorteil: Du weißt jetzt genau, in welchen Filterblasen sich Dein Gegenüber aufhält.
Ich rate zu einem einzelnen, verbalen Schuss vor den Bug, zu mehr nicht. Falls das nicht hilft, lauf! Ziehe von dannen, um Deinen persönlichen Geisteszustand und Deine Gesundheit nicht zu gefährden. Hake es ab. Es war schön, jetzt ist es vorbei. Sollte das in Deinem Arbeitsumfeld stattfinden, empfehle ich die lapidare Aussage, Dich darüber nicht mehr unterhalten zu wollen. Schotte Dich ab – schütze Dich!

Falls Du von o.g. Krankheit selbst betroffen bist, solltest Du Dich an folgenden Verein wenden: (Link). In diesem Zusammenhang ist Rezo’s Video ebenfalls passend: (Link).