"Contact Tracing als Risikotechnologie"
Überwachung oder Anonymität: In 10 Punkten erklärt der CCC, was eine Corona-App beachten muss.
In der hitzigen Diskussion um die Corona- oder Contact-Tracing-Apps
meldet sich nun auch der Chaos Computer Club (CCC) zu Wort. Er warnt,
dem Konzept einer Corona-App wohne aufgrund der möglicherweise erfassten
Kontakt- und Gesundheitsdaten ein enormes Risiko inne.
Die Vorschläge
reichten von einer dystopischen Vollüberwachung bis hin zu vollständig
anonymisierten Methoden. Daher veröffentliche der CCC gesellschaftliche
und technische Minimalanforderungen für die Wahrung der Privatsphäre in
Form von 10 Prüfsteinen.
Zu allererst müsse epidemiologisch geklärt werden, ob Contact Tracing
die Infektionszahlen überhaupt signifikant und nachweisbar senken könne,
schreibt der CCC.
Wenn dies gegeben sei, dürfe die Bevölkerung jedoch
keinesfalls zur Nutzung der App gezwungen werden, vielmehr müsse die
Verbreitung durch ein "vertrauenswürdiges, privatsphären-achtendes System erzielt" werden.
Dabei müsse auf "technische Maßnahmen wie Kryptografie und Anonymisierung"
gesetzt werden. Rein organistorische Maßnahmen oder Versprechen
reichten in dem derzeitigen Notstandsdenken nicht aus. Entsprechend
dürfe es keine zentrale Entität, also keinen allwissenden Server, geben.
Es dürften nur die für den Betrieb notwendigen Daten
erfasst werden, die zudem lokal gespeichert und komplett anonymisert
werden müssten. Die Daten dürften also nicht zur Deanonymisierung
geeignet sein.
Beispielsweise müssten IDs, die drahtlos per Bluetooth
oder Ultraschall übertragen werden, laufend gewechselt werden und
dürften nicht auf Personen zurückführbar sein. Die IDs aus
Gerätekennungen, IP-Adressen oder Telefonnummern abzuleiten, scheide
daher aus.
Das Gesamtsystem müsse so aufgebaut sein, dass keine
Bewegungsprofile der Nutzer erstellt werden könnten, betont der CCC.
Auch dürfe aus den übertragenen Daten von außenstehenden Beobachtern
nicht ableitbar sein, ob eine Person infiziert sei oder mit infizierten
in Kontakt gestanden habe.
Damit die App unabhängig überprüft werden
könne, müsse sie im Quelltext vorliegen und reproduzierbar gebaut
(Reproducible Builds) werden können.
Keine Kommentare:
Kommentar veröffentlichen