Blockchain and web 3.0: kicking the hornet’s nest

Finally, here’s the recording of my TNW’22 presentation “Blockchain and web 3.0: kicking the hornet’s nest.”
Thanks for the invitation, thanks for the applause 🙂
Youtube-Link

Gedanken zur Cybersicherheitsagenda

Am Dienstag hat das Innenministerium die “Cybersicherheitsagenda” fĂŒr die 20. Legislaturperiode vorgestellt.
Die Agenda

  • ist an viel zu schwammig formuliert, um abschließend beurteilt zu werden,
  • verkennt ganz generell das Problem, vor dem wir stehen,
  • und versĂ€umt dringend notwendige Chancen.

An sinnvollen AnsĂ€tzen fĂŒr nachhaltige IT-Sicherheit herrscht eigentlich kein Mangel. Unter anderem haben wir als CCC solche in folgenden SachverstĂ€ndigenanhörungen im Bundestag angeregt:

In Tagesschau und Tagesthemen durfte ich das Dokument kurz kommentieren:

[embedyt] https://www.youtube.com/watch?v=6PhjmAd0dlo[/embedyt]

AusfĂŒhrlich haben wir es in der aktuellen Folge unseres Podcasts Logbuch:Netzpolitik analysiert.

Logbuch:Netzpolitik kann man hier abonnieren. Es lohnt sich.

“Cyberwar”, Chatkontrolle und Vorratsdatenspeicherung bei Markus Lanz

Am 8. Juni 2022 war ich nach lĂ€ngerer Pause mal wieder bei Markus Lanz zu Gast. Wir sprachen kurz ĂŒber “Cyberwar”, aber das Hauptthema der Sendung betraf Darstellungen sexualisierter Gewalt an Kindern. Insbesondere ging es dabei um die Idee der EU-Kommission, mittels einer Chatkontrolle Messenger auf bekannte und neue Darstellungen, sowie sogenannte Anbahnungsversuche zu ĂŒberwachen.

Zu Gast war Bundesinnenministerin Nancy Faeser, der Journalist Michael Broecker und die Psychologin Julia von Weiler.


zdf-Link
Youtube-Link

rC3 2021

Aus bekannten GrĂŒnden hat auch 2021 eine remote chaos experience (rC3) stattgefunden.
Im Vortrag Deine Software, die SicherheitslĂŒcken und ich habe ich zusammen mit Karl und Lilith von zerforschung.org Tips zum Melden von SicherheitslĂŒcken und zum Umgang mit solchen Meldungen gegeben.

FĂŒr alle, die den Congress vermissen, hat Helena den prototypischen jĂ€hrlichen Congress-Bericht gebastelt.

Doch auch ĂŒber die rC3 gab es “echte” Medienberichte, zum Beispiel in der Tagesschau und auf Tagesschau24.

Die Sicherheit der ImpfpÀsse ist nicht das Problem

Seit die vierte Welle nun in nie dagewesener StĂ€rke durch die Ungeimpften rasiert, wird wieder ĂŒber stĂ€rkere EinschrĂ€nkungen fĂŒr Ungeimpfte diskutiert. Damit steigt natĂŒrlich auch wieder die Nachfrage an “gefĂ€lschten” ImpfpĂ€ssen.

In diesem Beitrag möchte ich kurz darlegen,

  1. Wie ImpfpÀsse gefÀlscht werden
  2. Warum das kein technisches Problem ist
  3. Wieso “das Problem” nicht lösbar ist
  4. Was unser eigentliches Problem ist
  5. Wie wir es vielleicht lösen könnten.

1. Wie ImpfpĂ€sse “gefĂ€lscht” werden

Die technische Sicherheit der (digitalen) ImpfpĂ€sse ist ungebrochen. Keine nicht berechtigte Stelle kann Impfausweise ausstellen, die einer ordnungsgemĂ€ĂŸen Kontrolle standhalten wĂŒrden. Allerdings gibt es zu viele zum Ausstellen berechtigte Stellen und so gut wie keine ordnungsgemĂ€ĂŸe Kontrolle. Beides ist gewissermaßen unvermeidbar und wahrscheinlich auch gut so:

Continue reading

Gedanken zum COVID-19-Impfnachweis

Disclaimer: Ich betreibe meinen WHO-Impfausweis als Panini-Sammelalbum meines Immunsystems. Ich strebe eine komplette Sammlung an und bin auf seltene Sticker besonders stolz.

Gesellschaftliches Problem

Wenn es in Zeiten der Pandemie gesundheitliche Sicherheit und Zugang zu gesellschaftlicher Teilhabe zu verteilen gibt, fĂ€llt jede Scham. Eine befreundete Medizinerin wollte mir vor einigen Wochen gar nicht glauben, dass ich noch gar keinen Biontech-Shot hĂ€tte: “Also in unserem Freundeskreis lĂ€ngst durchgeimpft. Soll ich dir kurz ein Rezept ausstellen? Dann kannst du morgen direkt zu einer Kollegin von mir
”

“Unter der Hand” ist die Impfpriorisierung lĂ€ngst aufgelöst. Entsprechend verlangen jetzt auch wohlgenĂ€hrte Menschen im besten Alter nach ihren Grundrechten und Freiheiten. Aber Grundrechte, die nur ein kleiner privilegierter Teil der Gesellschaft hat, sind keine.

„Ihr seid auch bald geimpft“ argumentieren diejenigen, denen ihr Impfprivileg noch nicht ausreicht. Sie wollen mehr. „Wenn das so ist, dann könntet ihr ja auch noch kurz warten“ sagen die 75% (echte 93%) unprivilegierten dieses Landes. Aber die sollen sich mal in Geduld ĂŒben. (@linuzifer, 1. Mai)

Die deutsche “Impfkampagne” nahm gerade endlich Fahrt auf, da wurde schon die strategische Versemmelung offiziell beschlossen. Die Priorisierung wird bald vollstĂ€ndig aufgehoben. Jetzt sind ganz offiziell jene dran, die gute Beziehungen zu Ärztinnen pflegen, die mit automatischen WĂ€hlfunktionen die Hotlines und Praxis-Nummern blockieren, oder mit automatischen Skripten die Websites zur Terminvergabe belagern.

In einer solchen Zeit wird nun der Impfausweis als “Lösung” prĂ€sentiert.
Die Lösung aber, heißt Impfung. FĂŒr alle. So schnell es geht.

Dann brauchen wir auch keinen Impfpass mehr.

Stellungnahme des CCC

FĂŒr den CCC haben Matthias Marx und ich eine SachverstĂ€ndigenauskunft zur Änderung des Infektionsschutzgesetzes verfasst: Impfnachweise beenden keine Pandemie. Hier gibt es eine Kurzzusammenfassung. AuszĂŒge:

Solange nicht alle, die geimpft werden wollen, auch geimpft werden können, sind Impfausweise ein Mittel der gesellschaftlichen Spaltung. Als solche sind sie kein Teil der Lösung, sondern ein Teil des Problems. [
]

„Die Diskussion um die Impfnachweise darf nicht davon ablenken, dass nicht der Impfnachweis, sondern die Impfung zurĂŒck in ein normales Leben hilft.“

Matthias Marx, CCC

In Anbetracht des abfahrenden Zuges, dass sich Impfnachweise nicht mehr verhindern lassen, haben wir gesellschaftliche und technische Mindestanforderungen formuliert.

Ausblick und Fazit

  1. Wir haben bereits Impfausweise. Digitale Impfausweise sind die Vorbereitung zur allgegenwÀrtigen Kontrolle des Impfstatus. Was eine seltene Ausnahme war, soll zur alltÀglichen Kontrolle werden.
  2. Die Unterscheidung von Geimpften und Ungeimpften ist nur so lange “vertretbar”, wie nicht genug Menschen geimpft sind. Gerade dann aber droht sie, zur enormen gesellschaftlichen Spaltung zu fĂŒhren!
  3. In hoffentlich nicht allzu ferner Zukunft werden wir diese Unterscheidung nicht mehr brauchen. Das Geld wÀre also sinnvoller in Impfmöglichkeiten investiert.
  4. FĂ€lschbarkeit ist nicht das Problem. Das “Problem” ist die hohe Motivation, zu fĂ€lschen und die geringe Motivation, ordentlich zu kontrollieren. Sie werden der erhofften Kontrolle entgegenstehen.
  5. Der EU-Pass vermeidet die ganz besonders schlimmen Datenschutz-AlptrĂ€ume und lĂ€cherlichen Unsinn wie FÜMPF Blockchains. Das Problem ist aber der Impfnachweis selbst und seine potenzielle gesellschaftliche Wirkung.
  6. Wenn wir GlĂŒck haben, ist die Infrastruktur so spĂ€t fertig, dass der gesellschaftliche Schaden gering wird oder sogar ausbleibt.
  7. Impfen, impfen, impfen.

Direkt nach der Einigung zum EU-Impfpass habe ich ZDFheute live ein Interview dazu gegeben:

https://youtu.be/pcXsoUnBsgU

Im Podcast Logbuch:Netzpolitik haben wir uns dem Thema ausfĂŒhrlicher gewidmet. Logbuch:Netzpolitik kann man hier kostenlos abonnieren.

Stellungnahme zu biometrischen Datenbanken in der eID-Novelle

Am Montag war ich kurzfristig als SachverstĂ€ndiger in den Innenausschuss des deutschen Bundestags geladen, um zu einem Änderungsantrag von CDU/CSU/SPD Stellung zu nehmen. Seit dem erstem MĂ€rz war das meine dritte Ladung als SachverstĂ€ndiger in diesem Jahr – die Legislaturperiode neigt sich mal wieder spĂŒrbar dem Ende zu.

GemĂ€ĂŸ dem Änderungsantrag sollen die LĂ€nder zum einfachen Zugriff eigene Biometrie-Datenbanken mit den bei der Beantragung eines Passes eingereichten Bildern errichten dĂŒrfen:

Vor einer solch InflationĂ€ren Nutzung biometrischer Daten warnt der CCC seit EinfĂŒhrung der biometrischen PĂ€sse. Damalsℱ wurde uns hoch und heilig zugesichert, dass solche Datenbanken nicht kommen wĂŒrden. EingefĂŒhrt wurden sie dann 2017.

Die nun von der Regierungskoalition verlangte Änderung des Passgesetzes hat natĂŒrlich mit der EinfĂŒhrung der mobilen e-ID ĂŒberhaupt nichts zu tun. Zum ursprĂŒnglichen Gesetzesentwurf gibt es eine gemeinsame Stellungnahme von CCC und FIfF.

Die Aufzeichnung der vollstĂ€ndigen Anhörung gibt es hier, eine Zusammenfassung auf bundestag.de. Unten ein Zusammenschnitt meiner BeitrĂ€ge. Mir ist ĂŒbrigens unklar, warum ich im Ausschuss nicht mit Video zu sehen war – ich hatte mich extra schick gemacht.

Hier geht es zur europĂ€ischen BĂŒrgerinneninitiative “reclaim your face”

FachgesprÀch zu Contact Tracing und Cluster-Erkennung

Am Mittwoch war ich mit anderen SachverstĂ€ndigen im Bundestagssausschuss Digitale Agenda zum FachgesprĂ€ch zur “Sicherheit und Koordinierung der Nutzung von sogenannten Clustererkennungs-Apps.”

Geladen waren Ulrich Kelber (Bundesdatenschutzbeauftragter), Arne Schönbohm (BSI), Martin Fassunge (SAP), Martin Tschirsich (INÖG), Henning Tillmann (D64), Bianca Kastl (Gesundheitsamt Bodenseekreis/cron IT), Patrick Hennig (nexenio/lucaApp) und ich.

Als Vertreter des Chaos Computer Clubs habe ich eine kritische Haltung zum zentralisierten System Luca vertreten. Mitte April hat der CCC eine “Bundesnotbremse” fĂŒr die Steuerfinanzierung des privatwirtschaftlichen Unternehmens gefordert.
In einem offenen Brief warnen 77 IT-Security-Expertinnen der deutschen Akademia vor dem zentralisierten Luca-System.

Neben den wichtigen Stellungnahmen von Arne Schönbohm und Ulrich Kelber fand ich vor allem die ErlĂ€uterungen von Binca Kastl bedeutsam: Durch Ihre Mitarbeit im Gesundheitsamt kennt sie den tatsĂ€chlichen Daten-Bedarf in der tĂ€glichen Arbeit. Sie war außerdem an der Entdeckung der Schwachstelle LucaTrack maßgeblich beteiligt.

Im Folgenden daher ein Zusammenschnitt der Einlassungen von Bianca Kastl und mir (zur vollstÀndigen Aufzeichnung geht es hier entlang):

Stellungnahme zum IT-Sicherheitsgesetz 2.0

Heute durfte ich als SachverstĂ€ndiger im Innenausschuss des Deutschen Bundestags zum geplanten Zweiten IT-Sicherheitsgesetz Stellung nehmen. Eine ausfĂŒhrliche schriftliche Stellungnahme habe ich zusammen mit Frank Rieger, Dirk Engling und Matthias Marx fĂŒr den Chaos Computer Club formuliert:

Sicherheit gestalten statt Unsicherheit verwalten
(44 Seiten PDF, ~1MB Download)

Die Kritik im Einzelnen haben wir auch in einer Pressemitteilung des CCC zusammengefasst:

  1. Vertrauensverlust durch zweifelhaften Umgang mit Schwachstellen
  2. Überbordende Befugnisse zum Eingriff in IT-Systeme
  3. Definition „nicht vertrauenswĂŒrdiger Anbieter” greift ins Leere
  4. Ressourcenverschwendung durch „IT-Sicherheitskennzeichen”
  5. Falscher Fokus auf „Unternehmen im besonderen öffentlichen Interesse”

In der schriftlichen Stellungnahme fĂŒhren wir vor allem aber auch aus, was Anforderungen an ein zeitgemĂ€ĂŸes IT-Sicherheitsgesetz wĂ€ren, und welche gegenteiligen Bestrebungen zurzeit vom BMI ausgehen.

Ein Video von der vollstÀndigen Anhörung findet sich auf bundestag.de.
Dort findet sich auch der diskutierte Gesetzentwurf.
Insbesondere finden sich dort auch alle Stellungnahmen, darunter auch die der anderen geladenen SachverstÀndigen Sebastian Artz, Manuel Atug, Klaus GÀrditz, Sven Herpig und Martin Schallbruch.

Zum besseren Überblick und zur Transparenz meiner Aussagen habe ich in folgenden Video meine RedebeitrĂ€ge zusammengeschnitten:

Auch zum ersten IT-Sicherheitsgesetz habe ich im April 2015 den Chaos Computer Club vertreten – mit großer Freude.

Was die Corona-Warn-App braucht und was nicht.

Gestern habe ich auf eine Presseanfrage der Rheinischen Post geantwortet. Weil ich mich in dem daraus entstandenen Artikel und der Argenturmeldung nicht wirklich adĂ€quat wiedergegeben fĂŒhle, veröffentliche ich meine Antworten fĂŒr Interessierte im Volltext.

Hat sich die App aus Ihrer Sicht als effektiver Beitrag in der PandemiebewÀltigung erwiesen?

Die Wirksamkeit der App ist primĂ€r begrenzt durch die Anzahl der Nutzenden. Wenn nur 1/4 der Menschen die App nutzen, kann auch nur 1/4 der Infizierten ihre Kontakte warnen. Von den Kontakten nutzen aber wiederum nur 1/4 die App, so dass nur 1/16(!) der Risiko-Begegnungen ĂŒberhaupt von der App abgedeckt werden.

Weitere Limitationen ergeben sich aus der Ungenauigkeit der Bluetooth-Messung. Hierbei ist jedoch festzuhalten, dass diese Messmethode genauer als jede andere zur VerfĂŒgung stehende Methode – insbesondere GPS – ist.

Das meiste Verbesserungspotenzial hat die App durch eine schnellere und einfachere Meldung. Die hohe Abbruchquote bei der Meldung ist das grĂ¶ĂŸte Manko der App.

Was die App braucht, sind an erster Stelle mehr Nutzerinnen. Wer nun wie Friedrich Merz oder Boris Palmer eine VollĂŒberwachung fordert, senkt das Vertrauen in die App und damit auch die Nutzungszahlen. Eine VollĂŒberwachung wĂŒrde nicht besser funktionieren – erst recht nicht, wenn keiner mitmacht.

Continue reading

Corona und Datenschutz: Julian Nida-RĂŒmelin verdreht noch mehr Tatsachen, als ich zunĂ€chst dachte.

Bei “Anne Will” vom 13. Dezember 2020 stellte der Philosoph Julian Nida-RĂŒmelin eine Reihe schwer haltbarer Tatsachenbehauptungen auf. FĂŒr eine informierte Debatte mitten in der zweiten Welle einer tödlichen Pandemie ist das fatal.

In der aktuellen Folge unseres Podcasts Logbuch:Netzpolitik haben wir die Journalistin Katharin Tai zu Gast, die sich gerade in Taiwan aufhĂ€lt. Erstaunt stellten wir fest: Vieles, das in Deutschland medial als Tatsache rauf und runter gebetet wird, entspricht einfach nicht den Tatsachen: LNP374 Ein alter weißer Mann ist passiert.

Dies nahm ich zum Anlass, auch mal dem Rest der Behauptungen hinterher zu recherchieren, die Julian Nida-RĂŒmelin in der Sendung aufgestellt hat.

EffektivitÀt von Lockdowns ist (leider) evident

Erste unsinnige Behauptung: “Allgemeine Maßnahmen” [wie ein Lockdown] seien “nicht sehr effektiv” und wĂŒrden zum Teil das Infektionsgeschehen “in die Höhe” treiben, weil sich Familien in Ihren Wohnungen gegenseitig anstecken wĂŒrden.

Tatsache ist: Allgemeine und kompromisslose Maßnahmen haben all jene LĂ€nder gemein, die erfolgreich mitunter seit Monaten zero covid feiern. Dieses Ziel wurde in keinem Land der Erde auf anderem Weg erreicht.

Anmerkung: Was natĂŒrlich nicht effektiv sind, sind halbherzige Maßnahmen, wie sie in Deutschland nun zweimal in Folge ergriffen wurden. Diese fĂŒhren in der Tat zu einem gegenteiligen Effekt, wie mein Kollege Tim Pritlove kĂŒrzlich schön zusammenfasste. Das ist es aber nicht, was Philosoph Nida-RĂŒmelin kritisiert.

Mir persönlich scheint inzwischen (leider) offensichtlich zu sein: Das einzige, was noch schlimmer ist als ein harter Lockdown, ist ein halbherziger Lockdown.

“Taiwan, Japan, SĂŒdkorea” und ein deutscher Philosoph

Zweite unsinnige Behauptung: In SĂŒdkorea, Taiwan und Japan gĂ€be es “ortsbasiertes Contact Tracking” [sic!] und dieses sei fĂŒr den Erfolg verantwortlich. “Den Datenschutz” macht Nida-RĂŒmelin dafĂŒr verantwortlich, dass Deutschland keine nachhaltige Strategie im Umgang mit der Pandemie habe.

In dieser Behauptung stecken so viele Fehlannahmen, dass es schwer ist, sie alle einzeln zu widerlegen. Beginnen wir daher mit einfach zu widerlegenden Fakten.

Tatsache ist: Taiwan nutzt gar keine Contact Tracing App, Japan nutzt die gleiche Corona-App wie Deutschland und auch SĂŒdkorea kann nicht als Beispiel herhalten.

Taiwan nutzt gar keine Contact Tracing App

Entgegen der Behauptung des Philosophen hat Taiwan keine GPS-basierte Contact Tracing-App. Noch besser: Taiwan hat GAR KEINE Contact Tracing App, sondern ein modernes System fĂŒr das Management der Kontaktverfolgung bei den GesundheitsĂ€mtern. Was Taiwan ansonsten tatsĂ€chlich hat, ist eine Überwachung der QuarantĂ€ne, in die sich Einreisende und Kontakte von Infizierten begeben mĂŒssen. Diese basiert jedoch nicht auf einer App und nicht auf GPS und hat auch mit Contact Tracing nichts zu tun.
In Taiwan wurden viele Maßnahmen probiert – eine Contact Tracing App ist dort heute nicht verbreitet und hat somit auch keinen Anteil am Erfolg.

Japan nutzt die gleiche Corona-App wie Deutschland

Japan hat eine Bluetooth-basierte Contact Tracing App. Diese App funktioniert exakt genau so wie die deutsche Corona-Warn-App und nutzt exakt das gleiche Google/Apple-Exposure Notification Framework. Das Framework verbietet die Nutzung von Lokationsdaten.

Auch SĂŒdkorea kann nicht als Beispiel herhalten

Die SĂŒdkoreanische App dient ebenfalls der QuarantĂ€ne-Überwachung und nicht dem Contact Tracing. Sie hatte Ende Juli ein schweres Datenleck und SĂŒdkorea kĂ€mpft gerade mit der zweiten Welle. Einen Ausbruch im August hat Korea hingegen unter Kontrolle gebracht – mit einem Lockdown.
Auch dieser “Erfolg” kann also nicht als argumentative Grundlage dienen fĂŒr das, was Nida-RĂŒmelin behauptet.

Fazit: Die Tatsachenbehauptungen, auf die der Philosoph Julian Nida-RĂŒhmelin seine Argumentation stĂŒtzt, entbehren jedem Bezug zur RealitĂ€t.

Ich gebe zu, dass auch ich diese Behauptungen zunĂ€chst nicht infrage gestellt habe, weil ich davon ausgegangen bin, dass die Redaktion der Sendung “Anne Will” ihre GĂ€ste zumindest einem groben Fact– und Sanity-Check unterzöge.

Die Probleme, von denen Nida-RĂŒmelin ablenkt.

Dritte unsinnige Behauptung: “Der Datenschutz”

Tatsache ist: In Deutschland sind die GesundheitsĂ€mter ĂŒberlastet. Zur Zeit haben wir tĂ€glich 30.000 neue FĂ€lle und ĂŒber 900 neue Tote. Anstrengungen zum Contact Tracing, egal welcher Art, werden in dieser Situation nicht mehr helfen können und wurden inzwischen vielerorts mehr oder weniger aufgegeben. Unsere GesundheitsĂ€mter agieren mit FaxgerĂ€ten und dem RKI wurden 4 neue Stellen von 68 benötigten Stellen gewĂ€hrt. Nach einem “Lockdown Light” befinden wir uns nun in einem “Lockdown Medium Rare”, der ebenfalls nicht geeignet sein wird, die Infektionszahlen in einen kontrollierbaren Bereich zu bringen.

Wir benötigen Maßnahmen, die 1. das allgemeine Infektionsgeschehen senken und 2. Menschen schneller alarmieren, damit sie nicht mehr Menschen anstecken. VorschlĂ€ge fĂŒr das zweite Problem habe ich bereits an anderer Stelle gemacht und diese auch mehrmals wiederholt. Contact Tracing ist ein Luxus, den man sich leisten kann, wenn das Infektionsgeschehen so niedrig ist, dass zero covid erreichbar scheint. Der Weg dorthin ist bekannt und hat mit Datenschutz wenig zu tun.

Wer behaupten möchte, der Datenschutz sei an dieser Situation schuld, mĂŒsste diese Aussage belegen – auch wenn er nur ein Philosoph ist.

Allen, die sich hingegen wirklich dafĂŒr interessieren, wie Taiwan es tatsĂ€chlich geschafft hat, empfehle ich unser GesprĂ€ch mit Kathatin Tai: LNP374 Ein alter weißer Mann ist passiert.

Die Corona-Warn-App verliert den Anschluss

Update: Ein kĂŒrzerer und prĂ€gnanterer Artikel zu diesem Thema wurde bei heise.de als Gastbeitrag veröffentlicht: Alle reden von Clustern – nur die Corona-App nicht.

Seit dem Launch der Corona-Warn-App sind bald 4 Monate vergangen. In dieser Zeit haben wir viel ĂŒber das Virus gelernt. Dieses Wissen muss nun auch in der App ankommen.

Zur Erinnerung: Die App soll dabei helfen, Risiko-Kontakte zu erfassen. Als Risiko-Kontakt gilt fĂŒr die App: Abstand weniger als 1,5m; Dauer lĂ€nger als 15min.

Leider ist es aber bei diesem einen Entscheidungskriterium geblieben. Inzwischen wurde – ohne große Überraschung – eine Reihe von Situationen erforscht, in denen die App nicht zuverlĂ€sssig funktioniert.

Messprobleme

Als Paradebeispiel kann hier der öffentliche Nahverkehr gelten: Die “Metallröhre”, in der die Menschen sitzen, fĂŒhrt zu allerhand Reflektionen und Signalstörungen – und schließlich zu keinerlei korrekten Alarmierungen. Update: An der Studie werden methodische Fehler bemĂ€ngelt, aber auch eine korrekt funktionierende App wĂŒrde der Bahn-Situation nicht vollkommen gerecht.

Das ist besonders verhĂ€ngnisvoll, weil die App in genau solchen Situationen, in denen Fremde sich nah kommen und nicht in der Lage sind, sich spĂ€ter zu alarmieren, fĂŒr zusĂ€tzliche Abdeckung sorgen soll.

So hat die Physik dem Bluetooth-Ansatz erwartbare und auch vorher schon bekannte Grenzen gesetzt. In der Gastronomie zum Beispiel gilt unter anderem deshalb die Pflicht zur manuellen Erfassung.

Der Abstand ist nicht das Maß aller Dinge

Doch selbst wenn die Abstandsmessung perfekt wĂ€re, wĂŒrde sie dem Stand der Wissenschaft nicht gerecht: Zwei gemeinsame Stunden in einem stickigen kleinen Kellerraum mit großzĂŒgigem Abstand von drei Metern sind riskanter zu bewerten, als dreißig Minuten an der frischen Luft, bei einem Abstand von 1,50m. Die App kann den Unterschied aber nicht feststellen.

Dieser Effekt wird besonders anschaulich, wenn wir uns eine alltÀgliche Konferenz-Situation mit 8 Personen in einem Raum vorstellen: Maximal 2 Anwesende werden im Risikobereich von 1,50m Entfernung sein können. WÀren wir als Anwesende zufrieden, deshalb keine schnelle Warnung zu erhalten?

FĂŒr Contact Tracing in der Gastronomie gibt es bisher keine akzeptable Lösung

Mitglieder des CCC haben in verschiedenen digitalen Contact-Tracing-Lösungen fĂŒr die Gastronomie Schwachstellen gefunden. Die Systeme wurden oft mit der heißen Nadel gestrickt und setzten auf zentrale Erfassung.

Als sinnvolle Alternative riet ich in dem Zusammenhang zur manuellen Erfassung per Zettel. Daraufhin meldete sich eine Vielzahl an Gastronominnen bei mir, die unter den Problemen des Ansatzes litten:

  1. Viele Besucherinnen geben falsche Daten an
  2. Einige Besucherinnen gehen lieber in LokalitÀten, die es mit der Erfassung nicht so genau nehmen
  3. Oft sind die Zettel schwer leserlich
  4. Die Anzahl der Zettel kann schnell in den Bereich mehrerer hundert gehen – pro Tag
  5. Die Alarmierung jeder einzelnen Person ist mĂŒhsam und zeitaufwĂ€ndig – das wiederum fĂŒhrt zu massiven Verzögerungen

Mit anderen Worten: Das Zettel-System scheitert an den Anforderungen der Praxis.

Es fehlt der Datentyp „Zusammenkunft“

Die beiden Beispiele Restaurantbesuch und Konferenz haben etwas gemeinsam: Sie bezeichnen die Zusammenkunft mehrerer Personen an einem Ort fĂŒr einen Zeitraum. Welcher Ort das genau ist, und welche Personen genau anwesend waren, ist dabei unerheblich. Eine zentrale Erfassung verbietet sich also.

Die Corona-Warn-App kann bisher nur AbstĂ€nde zwischen einzelnen Personen erfassen. Was fehlt, ist der Datentyp der Zusammenkunft. Letzte Woche habe ich einen datenschutzkonformen Ansatz dafĂŒr mit Tim Pritlove in unserem Podcast Logbuch:Netzpolitik umrissen. Nahezu zeitgleich haben Wouter Lueks, Seda GĂŒrses, Michael Veale, Edouard Bugnion, Marcel SalathĂ© und Carmela Troncoso ein Whitepaper veröffentlicht, das den Ansatz sauber ausformuliert.

Dezentrales Presence Tracing

Das System ist so simpel, wie datensparsam: Wie schon beim Contact Tracing gibt es keine zentrale Datensammlung darĂŒber wer wen wann wo getroffen hat. Die Information, dass eine Person Teil einer Zusammenkunft war, wird ausschließlich auf ihrem eigenen GerĂ€t gespeichert. Die Alarmierung erfolgt analog zum bisherigen Ansatz der CWA durch Veröffentlichung eines Codes, der fĂŒr die restliche Öffentlichkeit ohne Aussage ist.

Im Folgenden spiele ich den Ablauf beispielhaft fĂŒr ein konspiratives Meeting einer Gruppe von Wirecard-Managern durch – der Ablauf fĂŒr ein Restaurant wĂ€re analog.

  1. Die Zusammenkunft wird in der Corona-Warn-App angelegt. Die „Gastgeberin“ erhĂ€lt einen QR-Code, den sie den anderen Personen zeigen kann. Außerdem erhĂ€lt sie den SchlĂŒssel, der nötig ist, um die Personen im Anschluss zu alarmieren.
  2. Die anderen Anwesenden scannen den QR-Code mit ihrer App. Sie speichern damit den Code dieser Zusammenkunft auf Ihrem GerÀt. Ebenso wird die Uhrzeit der Anwesenheit festgehalten.
  3. Im Fall einer notwendigen Alarmierung wird der Code der Zusammenkunft (optional zusammen mit dem Risiko-behafteten Zeitraum) veröffentlicht.
  4. Wie schon beim Contact Tracing werden von der App alle veröffentlichten Codes heruntergeladen und mit den lokalen Daten abgeglichen.

In der Gastronomie könnte das Verfahren alternativ zur papierbasierten Erfassung angeboten werden. DemgegenĂŒber hĂ€tte es nur Vorteile: eine schnelle Alarmierung ist möglich, eine zentrale Datensammlung wird vermieden, Besucherinnen mĂŒssen keine persönlichen Daten angeben. Die 10 PrĂŒfsteine fĂŒr die Beurteilung von „Contact Tracing“-Apps gelten selbstverstĂ€ndlich weiterhin, sind nicht verhandelbar und können von diesem Ansatz bei sauberer Umsetzung erfĂŒllt werden.

Weiterentwicklungen wie diese sollten bei einer 20-Mio-Euro-App nicht aus der Community kommen mĂŒssen, sondern aktiv von Telekom und SAP vorangetrieben werden.

Endlich Durchsuchungen bei Gamma/FinFisher

Gamma/FinFisher stellt Staatstrojaner her – Schadsoftware, die von Geheimdiensten und Strafverfolgungsbehörden eingesetzt wird. Der Staat hackt seine BĂŒrger â€“ in Demokratien ist das ein heiß diskutiertes Thema. Zuletzt habe ich 2017 dazu als SachverstĂ€ndiger im Rechtsausschuss des Bundestags Auskunft gegeben: Risiken fĂŒr die innere Sicherheit beim Einsatz von Schadsoftware in der Strafverfolgung.

Einsatz gegen Oppositionelle

In Diktaturen wird weniger diskutiert, sondern einfach gemacht. Entsprechend hĂ€ufen sich seit Jahren die Hinweise, dass Gamma/FinFisher in Staaten den Schwerpunkt seiner Kundschaft hat, die nicht fĂŒr ihre Demokratien bekannt sind: In LĂ€ndern wie Bahrain, Ätiopien, Ägypten, und TĂŒrkei wurde die Software eingesetzt – natĂŒrlich nicht gegen Kriminelle, sondern gegen politische und journalistische Opposition.

Wie kann es sein, dass ein deutsches Unternehmen “Cyberwaffen” an Diktaturen der Welt exportiert? Unterliegen solche Produkte keinen ExportbeschrĂ€nkungen?
Doch. NatĂŒrlich tun sie das.

ExportbeschrÀnkungen

Und genau diese ExportbeschrĂ€nkungen scheinen umgangen worden zu sein, als die Software im Sommer 2017 gegen die tĂŒrkische Oppositionsbewegung eingesetzt wurde. Der Nachweis gestaltet sich aber schwierig: Die Exportrestriktionen galten erst ab dem 18. Juli 2015. Wurde die in der TĂŒrkei 2017 eingesetzte Schadsoftware vor oder nach diesem Datum geliefert? Und lĂ€sst sich ĂŒberhaupt nachweisen, dass das Sample von FinFisher stammt?

Beitrag des CCC

Der Frage nach Herkunft und Lieferzeitpunkt haben Thorsten Schröder und ich uns letztes Jahr gewidmet. Durch die Analyse von insgesamt 28 FinFisher-Samples konnten wir eine KontinuitĂ€t aufzeigen, in die sich das Sample einfĂŒgt. Außerdem konnten wir das Herstellungsdatum bestimmen: Es liegt eindeutig nach dem Inkrafttreten der Exportrestriktionen. ErgĂ€nzend zu wichtigen Ergebnissen anderer Forscher wurde unsere Analyse Teil der Grundlage einer Strafanzeige gegen das Unternehmen.

Unsere Analyse “Evolution einer privatwirtschaftlichen Schadsoftware fĂŒr staatliche Akteure” umfasst 60 Seiten. Die in dem Rahmen gebauten Tools und die Rohdaten (inklusive aller Samples) haben wir auf Github veröffentlicht. Auf dem 36C3 hat Thorsten die Ergebnisse in einem Vortrag prĂ€sentiert.

Durchsuchungen

Nachdem die Strafanzeige gestellt war, passierte lange Zeit nichts. Doch gestern wurde bekannt, dass in der vergangenen Woche 15 Wohn- und GeschÀftsrÀume im In- und Ausland vom Zollkriminalamt durchsucht wurden.
Wow!

Durchsuchungen in diesem Umfang finden nicht einfach mal so statt. Der Verdacht scheint sich also tatsĂ€chlich zu erhĂ€rten. Ein Firmengeflecht aus BriefkĂ€sten in Malaysia, Bulgarien, Pakistan und Dubai wird nun untersucht. Verwaltet werden die Unternehmen zentral aus MĂŒnchen. Wer Exportrestriktionen umgehen will, könnte mit einem solchen Netzwerk ganz gut “HĂŒtchen spielen.”

Zum jetzigen Zeitpunkt bleibt offen, ob der ominöse “Anwalt aus MĂŒnchen” einen juristisch wasserdichten Weg gefunden hat, die gesetzlichen Vorgaben zu umgehen. Wenn das der Fall sein sollte, muss die Gesetzgeberin nachbessern.

Weil Software nicht materiell gebunden ist, lĂ€sst sie sich ĂŒber das Internet leicht in alle LĂ€nder der Welt “liefern” – meine persönliche Vermutung ist, dass die Durchsuchungen den Nachweis liefern sollen, dass an den verschiedenen Standorten mit der gleichen Code-Basis agiert wird.

Deutschland ist und bleibt stolze Kundin

Dass Gamma/FinFisher ein Ă€ußerst zweifelhaftes Unternehmen ist, wird von niemandem mehr infrage gestellt – wahrscheinlich noch nicht einmal von den ebenfalls zweifelhaften Kundinnen.

Deutsche Strafverfolgungsbehörden wissen seit 2012, dass der Funktionsumfang der Software gegen deutsches Recht verstĂ¶ĂŸt. Nun kommt auch noch der Verdacht der kriminellen Umgehung von Exportrestriktionen hinzu. Und erst vor wenigen Wochen wies Amnesty International erneut den Einsatz der Software in Ägypten nach – wie so oft, gegen Oppositionelle.

Dennoch: Das Bundeskriminalamt und die Berliner Polizei sind stolze Kundinnen des Unternehmens. Wann hört Deutschland endlich auf, dieses Unternehmen auch noch mit zu finanzieren, statt dem grundrechtswidrigen, rechtswidrigen und demokratiefeindlichen Treiben endlich ein Ende zu setzen?


Acknowledgements:

Dass wir ĂŒberhaupt so viel ĂŒber die Machenschaften des dunklen Geflechts mit Hauptquartier in MĂŒnchen wissen, vielen internationalen Forscherinnen, Whistleblowern, Hackern und Journalistinnen zu verdanken:

Weitere Gedanken zum Contact Tracing mit “Corona Apps”

Updates:

Logbuch:Netzpolitik

In der neuen Folge unseres Podcasts Logbuch:Netzpolitik habe ich unter anderem mit einer Reihe an MissverstĂ€ndnissen zu den Möglichkeiten und Grenzen sogenannter “Corona Apps” auseinander gesetzt.

Zur vollstÀndigen Episode geht es hier: LNP339 Die Fantasie kennt keine Grenzen beim Setzen von Grenzen.

Logbuch:Netzpolitik ist werbefrei, kostenlos und kann ĂŒberall abonniert werden, wo es Podcasts gibt.

Deutschlandfunk: Computer und Kommunikation

In der aktuellen Folge von Computer und Kommunikation wird der technische Stand von Entwicklung und Diskussion sehr gut von Peter Welchering und Manfred Kloiber zusammengefasst:

Apps im Kampf gegen COVID-19 und ihre Risiken

„Corona-Apps“: Sinn und Unsinn von Tracking

Updates:

Über eine technisch gestĂŒtzte RĂŒckverfolgung von Corona-Infektionen werden zur Zeit verschiedene Debatten heiß gefĂŒhrt. Es begann mit der Weitergabe von Bewegungsdaten durch Mobilfunkanbieter an das Robert-Koch-Institut und natĂŒrlich ließen auch GesetzesĂ€nderungen zum vollumfĂ€nglichen Location-Tracking nicht lang auf sich warten.

Im Folgenden erklĂ€re ich, warum Location-Tracking völlig ungeeignet ist, und welche Methoden stattdessen zielfĂŒhrend sein könnten. Wichtig ist immer, Sinn und Ziel einer solchen App nicht aus den Augen zu verlieren:

Wenn bei einer Person zum Zeitpunkt t eine Infektion festgestellt wird, soll sie in der Lage sein, ihre Kontakte der letzen t–14 Tage darĂŒber zu informieren. Nicht mehr, aber auch nicht weniger. PrimĂ€res Ziel sollte also sein, die Kontakte reliabel zu erfassen.

Datentypen

In der Debatte werden die Begriffe „Standortdaten“, „Bewegungsdaten“ und „Kontaktdaten“ wild gemischt. ZunĂ€chst mĂŒssen wir also klĂ€ren, wovon ĂŒberhaupt die Rede ist.

1. Standortdaten: Person x war zum Zeitpunkt t an Ort A

Problem 1: Die rĂ€umliche Auflösung via GPS ist ziemlich ungenau.
Ob sich zwei Personen nah genug gekommen sind, um einander zu infizieren, oder ob sie mehrere Meter voneinander entfernt waren, lĂ€sst sich anhand der Genauigkeit von GPS einfach nicht entscheiden – eine Unmenge an false positives wĂ€re die Folge.

Problem 2: Da wir uns bewegen, entsteht natĂŒrlich eine sehr lange Liste fĂŒr jede Person. Die LĂ€nge der Liste richtet sich dabei nach der Frequenz der Erfassung. Noch dazu sind die Daten personengebunden. Da wir uns zurzeit weitestgehend isolieren, wĂ€re der grĂ¶ĂŸte Teil der erfassten Daten zudem noch absolut irrelevant!

Fazit: Standortdaten sind aufgrund ihrer Ungenauigkeit schlichtweg ungeeignet. Schon das allein disqualifiziert sie, so dass wir die immensen Datenschutz- und Grundrechtsverletzungen gar nicht erst zu diskutieren brauchen.

2. Bewegungsdaten: In Zeitraum Δt haben sich n Personen von Bereich A in Bereich B bewegt.

Bewegungsdaten sind also im Gegensatz zu Standortdaten rĂ€umlich und zeitlich geringer aufgelöst. Sie sollten darĂŒber hinaus ĂŒber mehrere Personen aggregiert sein, so das die Identifikation der Bewegungen einzelner nicht möglich sein sollte.

Anwendungszweck: Diese Art Daten eignen sich gut zur Messung der EffektivitĂ€t von Maßnahmen zur Senkung der MobilitĂ€t.Das ist im weitesten Sinne das, was von den Mobilfunknetzen an das RKI gegeben wird â€“ ein Anspruch also, fĂŒr den es eine seit Jahren existierende Lösung gibt. Diese Lösung wurde kommerziell ĂŒbrigens allen angeboten, die bereit sind, dafĂŒr zu bezahlen. Das RKI ist in der Reihe der Abnehmer vermutlich noch der am wenigsten problematische.

Problem 1: Je nach zeitlicher und rĂ€umlicher Auflösung sind diese Daten ggf. von einer böswilligen Anwenderin durchaus de-anonymisierbar. 

Problem 2: FĂŒr das Identifizieren von Kontakten sind die Daten nicht geeignet.

3. Kontaktdaten: Person a und Person b hatten zum Zeitpunkt t fĂŒr einen Zeitraum lĂ€nger als Î”t Kontakt.

Dies ist der einzige relevante Messwert, um den es hier wirklich gehen soll. Wo dieser Kontakt stattgefunden hat, oder an welchem Ort a und b davor und danach waren, ist absolut uninteressant. Wieso sollte das also ĂŒberhaupt erfasst werden?

Halten wir fest: alles, was erfasst werden muss, sind Kontaktdaten.

Datenspeicherung

Viele vorgeschlagene Konzepte sehen eine zentrale Speicherung von Standort- oder Bewegungsdaten vor. Hierbei wĂŒrde eine Unmenge an irrelevanten Daten (kein Kontakt) gespeichert. DarĂŒber hinaus ist eine zentrale Datenhaltung aus offensichtlichen GrĂŒnden abzulehnen: IANAL; aber nicht nur unterliegen wir hier dem Bereich der DSGVO, sondern auch den besonderen Anforderungen fĂŒr sensible Gesundheitsdaten.

Die offensichtliche Anforderung ist also, sĂ€mtliche Daten dezentral und anonym vorzuhalten â€“ und zwar auf eine Weise anonymisiert, die auch keine Deanonymisierung zulĂ€sst.

Es ergeben sich folgende Anforderungen:

  • DezentralitĂ€t: Jede Person sammelt nur Daten fĂŒr sich selbst. Diese werden nicht automatisiert weitergegeben.
  • AnonymitĂ€t:
    • Die Daten, die jede Person sammelt, sind nicht geeignet zur Deanonymisierung anderer.
    • Die Daten, die jede Person sammelt, sind nicht geeignet zur Deanonymisierung der Person selbst.
  • Datensparsamkeit: Nur im Infektionsfall kann eine Person ihre Daten weitergeben. Auch in diesem Fall geben die Daten aber weder die IdentitĂ€t der infizierten Person, noch die IdentitĂ€t ihrer Kontaktpersonen preis.

Als Mitglied der Jury des Hackathons „Wir vs Virus“ hatte ich die Freude, eine Reihe von Einreichungen zu begutachten, die eine kluge Lösung gefunden haben, diese Anforderungen zu vereinen. Zur Veranschaulichung stark vereinfacht möchte ich sie hier einmal grob darstellen:

  1. Mein Handy sendet in regelmĂ€ĂŸigen AbstĂ€nden mittels Bluetooth Low Energy Beacon einen zufĂ€lligen Code aus. Dieser Code Ă€ndert sich regelmĂ€ĂŸig, bspw. alle 30 Minuten.
  2. EmpfÀngt mein Handy den Code eines anderen Handys, wird anhand der SignalstÀrke der Abstand geschÀtzt. Ist der Abstand gering genug, speichert mein Handy diesen Code. Da sich der Code der anderen Person bald wieder Àndern wird, hat mein Handy keine personengebundenen Daten erfasst und ist auch nicht in der Lage, die andere Person lÀngere Zeit zu tracken.
  3. Werde ich als infiziert diagnostiziert, veröffentliche ich an zentraler Stelle alle Codes, die ich je gesendet habe auf einem zentralen Server. Hier werden auch die Codes von allen anderen Menschen veröffentlicht, die diagnostiziert wurden.
  4. Alle anderen Nutzer laden regelmĂ€ĂŸig die veröffentlichten als „infiziert“ markierten Codes herunter. Diese Codes sind ohne jede Aussage ĂŒber Ort, Zeit oder Personen. Sie haben nur Informationswert fĂŒr jene Personen, mit denen ich Kontakt hatte.
  5. Der Abgleich der veröffentlichten mit den lokal auf meinem Handy gespeicherten Codes ermöglicht das Berechnen meiner Exposition. Dabei ist es unerheblich, ob ich 10 Stunden mit einer infizierten Person verbracht habe, oder jeweils 20 halbe Stunden mit unterschiedlichen infizierten Personen. Selbst das kann aus den Daten nicht rekonstruiert werden.
  6. Auf dem zentralen Server befinden sich keinerlei Daten darĂŒber, welche Personen infiziert sind, wo sie sich wann aufgehalten haben, oder welche Personen sie wo getroffen haben.

Trotzdem haben wir auf diese weise den Datensatz bester QualitĂ€t, weil genau nur unsere Kontakte aufgezeichnet wurden – jene Daten also, auf die es wirklich ankommt.

Elegante Lösungen

Diesen Anforderungen entsprechen folgende Einreichungen zum Hackathon „Wir vs. Virus“, die alle mittels Bluetooth ausgetauschte, zeitlich beschrĂ€nkte Codes nutzen. Ich verlinke sie hier ohne Anspruch auf VollstĂ€ndigkeit, weil ich nicht weiß ob ich alle Einreichungen zu diesem Thema reviewed habe:

FĂŒr Menschen ohne Smartphone wĂŒrde sich mit leichten Abstrichen in eine QR-Code-Lösung anbieten, bei der die PrivatsphĂ€re der Personen zumindest gegenĂŒber wohlmeinenden Kontakten sichergestellt werden könnte – natĂŒrlich fehlt dem QR-Code aber die Benachrichtigungsfunktion: Tracking Infection Awareness Alert (IAA)

Wir lernen also: Die Daten der höchsten QualitĂ€t und Aussagekraft lassen sich vollstĂ€ndig anonym und dezentral erfassen. Ein wunderschönes Beispiel, wie wir ohne zentralisierte MassenĂŒberwachung sogar ein besseres Ergebnis bekommen – und dabei entspannt und frei weiterleben können, ohne der Corona-Krise gleich noch eine selbstverschuldete Grundrechtskrise folgen zu lassen.

Mein Lob, meine Anerkennung und mein GlĂŒckwunsch gilt den „Wir vs Virus“-Teams!

Der Teufel steckt im Detail

NatĂŒrlich muss aber auch angemerkt werden, dass nur minimale Änderungen ausreichen wĂŒrden, die AnonymitĂ€t oder DezentralitĂ€t zu zerstören. Beispielsweise, den Code nicht regelmĂ€ĂŸig zu Ă€ndern, oder alle Codes immer zentral zu erfassen. SelbstverstĂ€ndlich kann so eine App ausschließlich auf freiwilliger Basis verbreitet werden. Wenn die hier skizzierten Anforderungen kompromisslos erfĂŒllt sind, hĂ€tte ich aber keinerlei Bedenken, die App zu nutzen – und ich denke dass es vielen Menschen Ă€hnlich ginge.

Medienberichte

In den Tagesthemen konnte ich gestern diese Gedanken zum Teil ausfĂŒhren:

Continue reading