Gestern am 20.5. veröffentlichten Apple und Google gemeinsam Software-Updates ihrer Mobil-Betriebssysteme mit Erweiterungen zum Tracking von Corona-Infektionen.
Bereits im April haben Google und Apple angekündigt, dass sie im Kampf gegen die Ausbreitung des Corona-Virus zusammenarbeiten werden. Aber sie haben sich dabei gegen die Anforderungen vieler Länder gestellt, die zentrale Datensammlungen aufbauen wollten, um mit Hilfe von Bluetooth-Verbindungsdaten das Kontact-Tracing von Corona-Infizierten zu ermöglichen. Apple und Google haben im Sinne von Datenschutz und Datensparsamkeit eine dezentrale Lösung implementiert. Diese Lösung eines Privacy-Preserving Contact Tracing veröffentlichte Apple in einer technischen Dokumentation (Bluetooth-Spezifikation, Kryptographie-Spezifikation, Framework API, FAQ) auf einer Webseite.
Damit stellen die Firmen sicher dass nur die Smartphones die Daten der einzelnen Nutzer halten. Die Nutzer stimmen explizit der Nutzung dieser Funktionalität im Sinne eines Opt-in zu. Außerdem wollen beide Firmen absichern, daß nur eine App pro Land auf diese Funktionalität zugreifen kann. Am 20.5. wurde mitgeteilt, daß bisher 22 Länder eine solche explizite Erlaubnis erhalten haben.
Corona Warn App in Deutschland
In Deutschland hat die Bundesregierung die Firmen Telekom und SAP aufgefordert, gemeinsam an einer solchen App zu arbeiten. Diese dürfen dann die Nutzer anwenden. Die Technik basiert auf der Messung der Bluetooth-Signalstärke über einen definierten Zeitraum. Die Smartphone ignorieren alle Begegnungen von Nutzern unter einem definierten Schwellenwert für die gemeinsame Kontaktzeit. Wird der Schwellenwert überschritten, dann tauschen die Smartphones sogenannte Bluetooth Krypto-Schlüssel aus, die sich alle 10 bis 20 Minuten ändern sollen. Damit soll sichergestellt werden, daß einzelne Personen nicht nachverfolgbar sind.
Der Mechanismus, wie man Kontakte mit Infizierten erkennt ist äußerst interessant, aber für mich noch nicht vollständig verständlich. Sollte ein Infizierter über seine App die bestätigte Infektion melden, melden die Smartphones anhand der Krypto-Schlüssel die Infektion an alle Apps der Personen, die mit dem Infizierten in Kontakt standen. Dies setzt also voraus, daß der Infizierte seine Infektion selbst meldet. Ohne diesen Schritt ist keine Alarmierung der Kontaktpersonen möglich. Aber damit ist natürlich auch sichergestellt, daß dieser Infizierte weiterhin völlig anonym bleibt. Google und Apple behaupten, daß sie nicht sehen würden, wer sich als infiziert gemeldet hat. Ich persönlich finde dieses System – soweit es technisch umsetzbar ist – großartig.
Google erklärte, man werde Android-Geräte ab der Version Marshmellow (Android 6) unterstützen. Apple sagte, man sorge dafür, dass sie quasi sämtliche iOS-Geräte mit einem entsprechenden Update versorgen.
Wie aktiviert man die Funktionalität?
Nach der Installation von iOS 13.5 findet man unter den Einstellungen im Bereich Datenschutz den Eintrag Health. Dieser ist jetzt mit einem weiteren Eintrag COVID-19-Kontaktprotokoll versehen. Dieses steht solange auf “Aus”, bis eine autorisierte App installiert ist, die Kontaktmitteilungen senden kann.

Apple informiert dort weiter:
Wenn die Funktion aktiviert ist, kann das iPhone über Bluetooth zufällige IDs mit anderen Geräten austauschen.
(Quelle: Apple – aus den Einstellungen für das COVID-19-Kontaktprotokoll)
Die von deinem Gerät gesammelten zufälligen IDs werden für 14 Tage in einem Kontaktprotokoll gespeichert. Dieses Kontaktprotokoll ermöglicht es von dir autorisierten Apps, dich zu benachrichtigen, wenn du möglicherweise Kontakt mit COVID-19 hattest.
Wenn bei dir COVID-19 diagnostiziert wird, kannst du die zufälligen IDs deines Geräts mit der autorisierten App teilen, damit andere Benutzer anonym benachrichtigt werden können.
Nachtrag 6.6.2020
In einem Bericht der Neuen Zürcher Zeitung wird beschrieben, wie Schweizer Forscher Apple und Google für das dezentrale Modell motivieren konnten und wie sie das europaweite Projekt namens Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) ausgebremst haben. Die Europäer hätten eine zentrale Datenhaltung bevorzugt und waren der Überzeugung, dass diese Lösung im Sinne von Datenschutz, Privatsphäre und Datensparsamkeit zielführend gewesen wäre. Äußert interessant zu lesen.