Beiträge zu “ContactTracingApp”

Covid19 App: Datenschutz 6 setzen

Die technische Entwicklung der Corona App kann man ja durchaus als eine Glanzstück in der Geschichte der Softwareentwicklung durch den Staat bezeichnen. Quelloffen entwickelt und dezentral. Ich habe ja schon mehrfach geschrieben das dies wirklich toll ist.

Wie aber so häufig wird das Thema Datenschutz in diesem Kontext auf einen kleinen Teil der Gesamtlösung betrachtet, nämlich der App auf dem Smartphone. Die DSGVO schreibt sinnvoller weise vor, das eine Datenschutzfolgeabschätzung durchgeführt werden soll. Diese soll im wesentlichen die Risiken einer Verarbeitung von personen bezogenen Daten aufzeigen und die geplanten Maßnahmen hierfür beschreiben.

Eine Gruppe von Wissenschaftlern aus dem Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) hat den Bericht zu dieser Datenschutzfolgeabschätzung analysiert und für mich lautet das Ergebnis:

Sechs, setzen

Einige Highlights

Der vorgelegte DSFA-Bericht weist typische Mängel von DSFA-Projektgruppen auf, die über wenig Erfahrung in der Durchführung einer DSFA und des Berichts verfügen. Das ist deshalb ein bedrückendes Fazit, weil DSFAen seit Mai 2016 aufgrund der DSGVO zum Standard-Repertoire eines jeden Projekts zur Verarbeitung personenbezogener Daten gehören müssen und es inzwischen auch Expertise, Anleitungen und Methoden zur Durchführung von DSFA gibt.

und weiter

Der vorliegende CWA-DSFA-Bericht impliziert ein hohes Maß an Orientierungslosigkeit bezüglich Datenschutz im allgemeinen, der Funktion einer DSFA im Besonderen sowie der methodischen Erfüllung der Anforderungen der DSGVO auf. Der DSFA-Bericht weist keinerlei Systematik aus, die aus der Problemstellung und der Erfüllung der – einzig maßgeblichen – Anforderungen der DSGVO abgeleitet ist

Bei 20 Millionen Entwicklungskosten hätte man sich dort vielleicht etwas mehr Mühe geben sollen.

Analyse der Datenschutzfolgeabschätzung für die Corona App
2.7.20
Weitere Beiträge zu: Covid19   ContactTracingApp  

Covid19 Contact Tracing App: es wird nicht besser

Ich bin ja bisher recht pessemistisch was den angeblichen Covid19 Heilsbringer der Corona-Warn-App angeht.

Auch wenn ich wirklich zufrieden und überrascht bin mit welcher Offenheit und Transparenz das Projekt technisch durchgeführt worden ist. Es ist schon wirklich bemerkenswert das aus Sicherheits- und Datenschutzperspektive noch nicht einmal der CCC zu einer negativen Bewertung kommt. Also wirklich einen Glückwunsch an das technische Projekt. Es wäre toll wenn zukünftig mehr gesellschaftrelevante IT Projekte nach diesem Vorbild ablaufen würden.

Aber es reicht halt nicht wenn ein Werkzeug toll gebaut worden ist. Es muss auch das Problem lösen für das es gebaut worden ist. Und da kommen neben meinen schon genannten organisatorischen Bedenken jetzt noch weitere Faktoren dazu.

Die Einführung der Corona-Warn-App beschert den Gesundheitsämtern eine Flut von Anfragen. Noch am Tag der Einführung hätten allein bei der Hotline des Berliner Gesundheitsamtes 434 Menschen angerufen, die Probleme mit der App hatten, sagte die Vorsitzende des Bundesverbandes der Ärzte im öffentlichen Gesundheitsdienst Ute Teichert

Das bedeutet eine eh schon überlastete Behörde kann sich noch weniger auf Ihre eigentliche Aufgabe konzentrieren. Wohl keine echte Hilfe.

  • Sprachprobleme hatte ich bisher nicht auf dem Radar. Deutsch und Englisch reicht halt nicht wenn gerade die Bevölkerungsgruppen die auf engstem Raum leben dieser Sprache nicht mächtig sind wie der Leiter eines Berliner Gesundheitsamts sagt:

Die Leute haben tatsächlich Handys, aber die App gibt es auf Deutsch und auf Englisch, beides sprechen sie kaum.

  • Die App untertützt ältere Smartphones nicht. Das ist zwar keine Einschränkung der gut gemachten App aber der Basistechnologie von Apple und Google. Ist aber für die Nutzung egal.

Deshalb kann die App auf der großen Mehrheit der gängigen Endgeräte und mit den gängigen Betriebssystemen genutzt werden. Das benötigte Update auf das passende Betriebssystem (iOS, Android) wird im üblichen Regelprozess auf Ihr Smartphone gespielt.

Auch wenn ich selbst nie ein Smartphone ohne aktuelle Sicherheitsupdates verwenden würde müssen wir davon ausgehen das ein große Anzahl von alten Geräte die Anwendung nicht nutzen können. Da ist es dann auch etwas überheblich einfach zu sagen das die sich halt ein neues kaufen sollen. Selbst wenn ich ein passables Gerät neu kaufe bin ich bei 200 Euro. Nehmen wir eine Familie mit 5 Personen in finanziell grenzwertigen Bereichen sind das 600 Euro nur für 3 neue Smartphones. Ich bin sicher sagen zu können: Das wird nicht jeder machen.

Die fast 70 Mio hätte man besser in die notwendingen Massentests investieren sollen.

Ich bleibe bei meiner bisherigen Vorhersage

Die Covid19 Contact Tracing Apps oder Corona Apps sind Geldverschwendung

Covid Virus
20.6.20
Weitere Beiträge zu: Covid19   ContactTracingApp  

Covid19 Contact Tracing App: born to fail

Inzwischen bin ich mir recht sicher und wage daher die Vorhersage

Die Covid19 Contact Tracing Apps oder Corona Apps sind Geldverschwendung

Warum? Zum einen glaube ich die Idee einfach nicht funktioniert. Die App bringt keine Sicherheit: Nur weil der Status “grün” ist heißt das nicht das ich nicht infiziert bin. Wenn der Status “rot” ist bedeutet das gar nichts. Es läuft darauf hinaus das ich mich regelmäßig testen muss. Das kann man aber auch ohne Apps.

Die Erfahrungen aus Ländern mit relativ hoher Verbreitung der Apps scheinen diese Vermutung zu bestätigen

Singapur und Island zegein : Die App wird kaum genutzt und bringt nur marginale Vorteile.

“If you ask me whether any Bluetooth contact tracing system deployed or under development, anywhere in the world, is ready to replace manual contact tracing, I will say without qualification that the answer is, no,”

In Israel wurde ein Frau gezwungen sich zu isolieren weil sie sich angeblich infiziert hat.

Und das sind noch nicht einmal Länder bei denen der Datenschutz und die Privatsphäre eine ähnlich große Rolle wie in Deutschland spielt.

Bruce Schneier beschreibt es recht schön

It has nothing to do with privacy concerns. The idea that contact tracing can be done with an app, and not human health professionals, is just plain dumb.

22.5.20
Weitere Beiträge zu: Covid19   ContactTracingApp  

axelvosst zur Covid19 Contact Tracing App

Axel Voss ist rechtspolitischer Sprecher der EVP-Fraktion im Europäischen Parlament und sollte sich wirklich besser auf seine rechtspolitischen Themen fokussieren. Von der praktischen Anwendungen von digitalen Technologien hat er nämlich nicht die geringste Ahnung. Anders kann man sich diesen geistigen Tiefflug nicht erklären:

Wer einem Infizierten zu lange zu nah gekommen ist, wird gewarnt. […] Wer eine solche App hat, sollte auch zuerst wieder ins Restaurant, ins Kino, ins Theater und ins Freibad dürfen.

Ich versuche es mal für KleinAxel zu erklären. “Ist ja schon gut gedacht aber:”

  • Ich möchte nicht gewarnt werden wenn ich hinter einer Plexiglasscheibe sitze und vor mir ein Infizierter stand oder ich eine FFP3 Maske getragen habe. Da können wir die Supermarktkassierer ja jetzt schon in Quarantäne schicken.
  • Wer erklärt der armen Oma die kein Handy hat das sie nicht in das Restaurant gehen darf?

Mann, Mann was für ein technikgläubiger Bullshit.

(Mit Dank an ellebil für die schöne Wortschöpfung “axelvosst”)

Gitea

Bild von Anita S. auf Pixabay

8.5.20
Weitere Beiträge zu: Covid19   ContactTracingApp   axelvosst  

Wachsende Zweifel an einer Covid19 Contact Tracing App

Je länger ich mich mit Informationen rund um die “heilsbringende” Contact Tracing App beschäftige desto stärker wachsenden meine Zweifel ob die überhaupt sinnvoll zum fliegen kommen wird. Zum einen geht es für mich bisher um die Frage ob überhaupt eine Testing Infrastruktur aufgebaut werden kann die mit den positiven Meldungen umgehen kann und zum anderen ob überhaupt genug Bürger daran teilnehmen können. Ich kann nicht erkennen da wir die Tests richtig skaliert bekommen und ob alle Kinder und älteren Menschen ohne Smartphone so ein Gerät mit Applikation bekommen halte ich für extrem fragwürdig.

In diesem sehr ausführlichen Beitrag werden noch weitere Aspekte angesprochen. Als einen bisher für mich nicht beachteten Problembereich finde ich den Umgang mit normalen und bewussten Falschmeldungen an.

Wie gehen wir damit um, daß jeder Bürger eine Vielzahl von Meldungen über Kontakte mit infizierten bekommen wird ohne das bei ihm in einem hoffentlich durchführbaren Test ein positives Ergebnis kommen wird. Spätestens ab der zweiten sinnlosen Selbst-Quarantäne wird jeder die App deinstallieren.

Dazu kommen berechtigte Zweifel

  • ob SAP und Telekom die richtigen Partner für eine Smartphone App sind
  • das die App auf alle Smartphones kommt
  • wirklich eine sinnvolle Beziehung zwischen einer Bluetooth LE Verbindung und Infektionswahrscheinlichkeit gezogen werden kann.

Aktuell würde ich mich zu der Vorhersage hinreißen lassen: Das wird nichts. Am Ende müssen Menschen in den Gesundheitsämtern den Infektionsketten hinterher telefonieren.

Aber ich lasse mich gerne überraschen und werde versuchen hier auf dem Stand der Diskussion zu bleiben

7.5.20
Weitere Beiträge zu: Covid19   ContactTracingApp  

Covid19: Contact Tracing muss offen und dezentral sein

Als Nachbrenner zu diesem Beitrag noch einige Gedanken zu der Notwendigkeit das eine solche “Contact Tracing App” quell offen und dezentral sein muss.

1. Eine Closed Source Anwendung erzeugt Misstrauen.

Gibt es keine Möglichkeit das jemand den Quellcode der Anwendung prüfen kann bleiben die berechtigten Zweifel, das es in der Anwendung etwas zu verstecken gibt. Gerade das jüngste Beispiel der Anwendung vom Robert Koch Institut belegt dies wieder. Hier gibt es glaubhafte und unwidersprochene Aussagen vom CCC das das RKI mehr Daten übernimmt als notwendig und angegeben.

2. Eine Closed Source Anwendung wird am Ende eh offen gestellt.

Auch in Norwegen gab es den Versuch eine Anwendung in Betrieb zu nehmen. Es gab die Befürchtung das es aufgrund der Eile Programmierfehler gäbe die dann entdeckt würden. Und sie hatten recht. Die Anwendung wurde decompiliert und Fehler wurden öffentlich gestellt. Das hätte man auch besser machen können wir Anwendungen in Israel und Tschechien zeigen. Die wurden gleich auf Github veröffentlicht und Interessierte können Verbesserungsvorschläge einbringen und die Sicherheit erhöhen.

3. Sie muss dezentral sein.

Nur ein Ansatz in dem die Daten auf verschiedenen Servern oder dem Smartphone selbst gespeichert werden verringert den Angriffsvektor und die Möglichkeit das die Daten später für fremde Zwecke missbraucht werden können. Es kann natürlich einen staatlichen Server geben auf dem jeder der möchte oder muss seine Daten abspeichern kann. Aber wenn ich es kann möchte ich für mich oder mein Umfeld einen eigenen Server mit den sensiblen Daten betreiben.

Dann kann es auch nicht passieren das auf einmal diese sensiblen Gesundheitsdaten in den Fandungsdatenbanken der Polizei landen, wie das in verschiedenen Bundesländern geschehen ist.

Und überhaupt, das ganze macht sowiso erst Sinn wenn der Nachweis über den Nutzen erbracht worden ist und ein sauberes IT Sicherheitskonzept vorhanden ist. Das scheint aktuell nach Aussage des Datenschutzbeauftragen Kelber noch nicht der Fall zu sein

Für eine datenschutzrechtliche Bewertung fehlen mir derzeit insbesondere Informationen zu der Frage, ob die App und das damit angestrebte Verfahren für den Zweck angemessen ist und die angestrebten Ziele tatsächlich erreicht werden können. […] Für eine Bewertung und letztlich eine Zustimmung zu der App fehle unter anderem auch ein IT-Sicherheitskonzept.

Und bis dahin sollten sich alle erst mal schön wieder hinlegen und an der Testinfrastruktur arbeiten.

Vielleicht sollte man die Anwendung auch in “Covid19 Warning App” umbenennen. Denn darum geht es eigentlich.


26.4.20
Weitere Beiträge zu: Krisenvorsorge   Covid19   ContactTracingApp  

Dies ist ein privater Blog von Hagen Bauer- berufstätiger Vater, Ehemann, Naturliebhaber, Läufer, Zelter, technikverliebt.


Creative Commons License
This blog is licensed under a Creative Commons License