TraceCORONA-App analysiert Kontakte – völlig anonym
14.04.2020
In Deutschland entwickelte TraceCORONA-Plattform ermöglicht effiziente und umfassende Pandemie-Rückverfolgung ohne Preisgabe persönlicher Daten.
Zusammen mit den bedeutenden Industriepartnern Kobil und Intel, ein Teilförderer, sowie der kalifornischen Universität UC San Diego arbeitet das Team des Systemsicherheits-Labs des Profilbereichs Cybersicherheit (CYSEC) an der Technischen Universität Darmstadt intensiv an einem Pandemie-Rückverfolgungs- und Informationssystem. Die integrierte „Contact-Tracing-App“ arbeitet kontextbasiert, benutzergesteuert und datengeschützt. Derzeit zielt das System auf Europa und die USA ab.
KOBIL bietet mit seinem sicheren, software-basierten mPower-System eine Security- Kommunikations-Plattform und verknüpft diese mit einer Contact-Tracing-App, die zur Zeit von dem Team an der TU Darmstadt entwickelt wird. Die Gesamtlösung heißt TraceCORONA. Die App aus Darmstadt ist eine Open Source-Software, die eine weite und rasche Verbreitung von Nutzern dieser Plattform zu ermöglichen soll. Das Wormser Unternehmen KOBIL ist ein deutscher Pionier und nach Kundenzahl größte IT-Sicherheitsfirma Europas. Seine TAN-Generatoren nutzen hierzulande 20 bis 30 Millionen Menschen für das Online-Banking, „Die TU Darmstadt arbeitet seit vielen Jahren mit verschiedenen Forschungsgruppen an diversen Sicherheitsprojekten erfolgreich mit Kobil zusammen“, unterstreicht Prof. Sadeghi, Sprecher des CYSEC-Teams an der TU Darmstadt, die langjährige Partnerschaft.
Die TraceCORONA-Plattform mit ihrer mobilen, vollanonymen App für die Kontaktverfolgung, kann von verschiedenen Interessengruppen wie Benutzern, Patienten, Ärzten, Krankenhäusern, Apotheken, Gesundheitsorganisationen, Versicherungen sowie Behörden verwendet werden. „Mit unserer Plattform mPower garantieren wir einen sicheren Kanal unter gesundheitsrelevanten Unternehmen und Behörden und bieten eine sichere Kommunikation von A nach B. Daten lassen sich geschützt untereinander austauschen. Fake-Webpages und Betrüger-Domains haben keine Chancen sich in die Plattform zu schalten. Auch Cyberattacken haben keinen Erfolg“, so Ismet Koyun, Geschäftsführer von KOBIL.
Die server-basierte sichere Plattform kann auch von anderen Apps angedockt und genutzt werden. Sie arbeitet anonym und sammelt keine Nutzerdaten außer aus Zufallsdaten generierte „Encounter Tokens“, die vom Servicebetreiber nicht mit einzelnen Benutzern verbunden werden können. Die App soll voraussichtlich im Mai für Benutzer aller gängigen Android-Smartphones und iPhone kostenfrei verfügbar sein.
Das System bietet eine Reihe wichtiger Funktionen: Es benachrichtigt Benutzer über Begegnungen mit infizierten Personen und nutzt modernste Sicherheitstechniken, um höchstes Datenschutzniveau zu schaffen, ohne die Wirksamkeit und Genauigkeit des Gesamtsystems zu beeinträchtigen. Insbesondere müssen keine persönlichen Daten angegeben werden, um die App nutzen zu können.
Die einzige personenbezogene Information, die die App benutzt, ist eine vom Nutzer auf freiwilliger Basis freigegebene, grobe Positionsangabe, wie z.B. die Postleitzahl des Gebietes, in dem sich der Nutzer befindet. Diese Information kann jedoch nicht dazu benutzt werden, einzelne Nutzer zu identifizieren. Sie dient lediglich dazu, die technische Realisierung der effizienten Kontaktnachverfolgung auch in Ländern mit einer sehr hohen Bevölkerungszahl wie Deutschland zu ermöglichen.
Im Gegensatz zu anderen Ansätzen werden in TraceCORONA Kontakte völlig anonymisiert. Differenzierende Informationen zu einzelnen Benutzern werden nicht erfasst – auch nicht pseudonymisiert. Darüber hinaus erhalten die Betreiber des Systems keinerlei Informationen über die Identität der Benutzer oder mit welchen anderen Nutzern diese Kontakte hatten.
Die benutzte Sicherheits-Plattform bietet außerdem die Möglichkeit, die Grundfunktionalität der TraceCORONA-Applikation mit nützlichen Komponenten zu erweitern, falls dies von Nutzern erwünscht ist. Solche Dienste sind zum Beispiel sicheres Messaging, sicherer Dokumentenaustausch sowie ein integrierter sicherer Browser. Mithilfe dieser Dienste können Nutzer Informationen von vertrauenswürdigen Organisationen, wie z.B. dem Robert-Koch-Institut erhalten, um gefälschten Nachrichten und Webseiten sowie Fake News vorzubeugen, welche leider bei beliebten Social Media- und Messaging-Diensten heutzutage oft vorkommen.
Die zugrundeliegende Technologie basiert auf der Sicherheits-Plattform mPower von KOBIL, die seit mehreren Jahren zum Schutz von sicherheits- und privatheitskritischen Anwendungen wie Online Banking oder Krankenkassen-Apps eingesetzt wird. Sie ist robust gegen ausgefeilte Cyber-Angriffe sowie Betrug. Der eingesetzte anonyme Tracing-Ansatz der Forscher der TU Darmstadt stellt auch sicher, dass die Anonymität und Unverfolgbarkeit von Systemnutzern gewahrt bleiben, falls das Smartphone eines teilnehmenden Benutzers gehackt wird oder ein Benutzer böswillig versucht, falsche Daten zu vermitteln.
Kontaktnachverfolgung im Kampf gegen die Pandemie: Sicheres, datengeschütztes Rückverfolgungs- und Informationssystem soll Infektionsketten durchbrechen
Verursacht durch Coronavirus SARS-CoV-2, verbreitet sich die COVID-19 Krankheit insbesondere durch direkten Kontakt zwischen Personen. Die Gesundheitsbehörden stehen dabei vor der Herausforderung, Infektionsketten zu identifizieren und zu isolieren, um eine weitere Ausbreitung der Pandemie zu verhindern. Das Problem: Kontaktinformationen, die von infizierten Personen freiwillig bereitgestellt werden, sind in der Regel unvollständig bzw. ungenau, eine Rückverfolgung muss von Behörden unter enormem Arbeitsaufwand für jeden Einzelfall rekonstruiert werden. Aus oftmals berechtigter Sorge vor Datenschutzrichtlinien während und nach der Pandemie hält dieser Vorgang der rasanten Ausbreitung des Virus in vielen Ländern nicht Schritt.
Die Verwendung fortschrittlicher digitaler Tracing-Apps auf Mobilgeräten kann dazu beitragen, den manuellen Aufwand zu reduzieren und die Tracing-Genauigkeit erheblich zu erhöhen. Dies wurde bereits in Asien (z. B. Singapur, China, Korea) erfolgreich gezeigt. Allerdings sammeln diese Rückverfolgungstechnologien hochsensible Daten von Einzelpersonen. Datenschutz und Privatsphäre, insbesondere in Bezug auf medizinische Daten, sind in Ländern außerhalb Asiens jedoch anders, meist strenger geregelt.
Auf den ersten Blick mag es offensichtlich erscheinen, dass in einer Krisen- und Katastrophensituation die Abschaffung oder Lockerung der Datenschutzbestimmungen zulässig sein sollte. Während einige Regierungen bereits beschlossen haben, Datenschutzbestimmungen in ihren Ländern vorübergehend aufzuheben oder zu lockern, zögern andere weiterhin, dies zu tun, da sie Bedenken gegen datenschutzinvasive Lösungen anführen, die möglicherweise auch nach der jetzigen Katastrophensituation weiterhin verwendet werden könnten.
Selbst wenn neue, lockerere Gesetze und Vorschriften verabschiedet werden, sind viele Benutzer aus Datenschutz- und Sicherheitsgründen möglicherweise nicht bereit, die Tracing-Apps und -Systeme zu verwenden. Dies ist ein Hindernis für die Effektivität der Verfolgung von Kontaktketten durch Apps, da diese nur dann wirksam sind, wenn viele Personen das System freiwillig nutzen.
Zur Lösung des Dilemmas zwischen einer systematischen Bekämpfung der CORONA-Ausbreitung durch übergeordnete Stellen und der Wahrung individueller Datensicherheit legt ein schwergewichtiges deutsch-amerikanisches Konsortium aus Industrie und Forschung nun eine neuartige Lösung vor.
Die Industrieunternehmen KOBIL und Intel, letztere als Teilförderer, die kalifornische Universität UC San Diego sowie das Systemsicherheits-Lab des Profilbereichs Cybersicherheit (CYSEC) der Technischen Universität Darmstadt arbeiten an der gemeinsamen „TraceCORONA-Plattform“, die eine effiziente und umfassende Pandemie-Rückverfolgung ohne Preisgabe der persönlichen Daten der Nutzer ermöglicht.