SARS-CoV-2 Bluetooth Kontaktverfolgungsapps sind eine immens bescheuerte Idee!

Es könnte eigentlich so einfach sein: wird jemand positiv auf SARS-CoV-2 getestet, dann stecken wir ihn in Quarantäne, befragen ihn nach all seinen Kontakten der letzten Woche und isolieren diese dann ebenfalls. In der Praxis stellt sich dann leider recht schnell heraus, dass das Detektivspiel nicht so wirklich gut skaliert, wenn man es von Hand macht und die meisten Menschen sich auch nicht an alle Kontakte der letzten Woche erinnern (falls sie sie überhaupt kennen). Aber, kein Problem! Wir haben ja alle ein Smartphone in der Tasche. Wie wäre es, wenn die Dinger einfach automatisch elektronische Visitenkarten mittels Bluetooth austauschen, wenn sie miteinander in “Kontakt” (= weniger als 2m Abstand für mehr als 10 Minuten) kommen?

Allerdings, einfach mal so auf gut Glück Name, Anschrift und Telefonnummer in den Äther zu posaunen ist dann vielleicht doch keine so gute Idee. Das führt zwangsläufig dazu, dass das Postfach mit Werbung/Hoax Nachrichten überquillt, Helikoptereltern ihren Nachwuchs überwachen, eifersüchtige Ehepartner sich gegenseitig bespitzeln und der Staat… naja, denkt euch selber was aus, das mit “schwersten Straftaten” anfängt und mit “Knöllchen” endet.

Der Datenschutz müsste also irgendwie im Kern des Konzepts verankert werden. Aber ist es überhaupt möglich anonym und gleichzeitig identifizierbar zu sein? Klingt wie ein Widerspruch, ist aber tatsächlich machbar!

Es werde App!

Die grundlegende Idee hinter DP-3T, sowie dem gemeinsamen Ansatz von Apple und Google lässt sich vereinfacht wie folgt zusammenfassen:

Jedes Smartphone erhält eine eindeutige Kennzahl, die mit nichts anderem verknüpft ist. Diese Kennzahl wird minütlich an alle Bluetooth fähigen Geräte in der unmittelbaren Umgebung gesendet. Empfängt ein anderes Smartphone ein solches Signal 10 mal hintereinander und lässt die Signalstärke auf einen Abstand von weniger als 2m schließen, dann merkt es sich die empfangene Kennzahl für die nächsten 7 Tage.

Wird ein Nutzer positiv auf Corona getestet, dann veröffentlicht er seine Kennzahl auf einem schwarzem Brett. Alle Telefone, mit der Kontaktverfolgungsapp, durchsuchen das Brett regelmäßig nach Kennzahlen mit denen sie Kontakt hatten. Wird ein Telefon fündig, dann geht es von einer Infektion aus, veröffentlicht es seine eigene Kennzahl und weißt seinen Besitzer an, Maßnahmen (in Selbstquarantäne begeben; testen lassen) zu ergreifen. Auf diese Weise entsteht eine einfache Alarmkette, die nur einen “infiziert!” Status weiterleitet, ohne das irgendjemand herausfinden kann, wer an der Kette beteiligt ist.

Schlau! Aber funktioniert das auch in der Praxis? Spielen wir doch einfach mal ein paar Szenarien durch!

Tag 1

Kennt ihr Otto Normalverbraucher? Otto ist ein völlig durchschnittlicher Typ, halbwegs vernünftig, hinreichend intelligent. Genau die Art von Person, die ihr in jeder wissenschaftlichen Studie drin haben wollt.

Heute ist der Tag an dem endlich die lang ersehnte SARS-CoV-2 Bluetooth Kontaktverfolgungsapp v1.0 frei gegeben wird. Schauen wir mal, wie Ottos Tag verläuft…

08:00

Otto wacht auf. Auf seinem Telefon findet er eine Nachricht, die ihn auffordert, diese neue App zu installieren. Die Beschreibung klingt sinnvoll, also fügt Otto sich ohne weiter darüber nachzudenken. Dummerweise versteht er das Konzept ein wenig falsch und glaubt, die App würde ihn vor Infizierten in seiner Nähe warnen.

09:00

Otto wohnt im fünften Stock eines Plattenbaus. Aus Bequemlichkeit nimmt er den Aufzug nach unten. Auf die Idee, dass vorher Jemand in der engen Kabine genießt haben könnte, kommt er nicht.

11:00

Otto betritt einen Supermarkt. Eigentlich braucht er nur ein paar Kleinigkeiten, die er auch in der Hand tragen könnte, aber die Vorschriften zwingen ihn zur Nutzung eines Einkaufswagens. Er fragt sich kurz, ob das Personal die Griffstange ordentlich desinfiziert hat und entschließt sich dann, den Wagen an der Seite anzufassen. Der vorherige Nutzer hatte dieselbe Idee…

12:00

Ein Obdachloser kommt Otto unangenehm nah als er um Kleingeld bettelt. Das ist Absicht. Einige Bettler haben recht schnell spitz bekommen, wie sich die Corona Angst zu ihrem Vorteil nutzen lässt.

16:00

Otto trifft einen Kumpel im Park, der gerade "Schmuser" Gassi führt. Schmuser ist ein 35 kg Boxer Mischling und liebt es einfach Gesichter abzuschlecken, gibt sich zur Not aber auch mit Händen zufrieden. Bisher hat haben ihn einige Kinder und Rentner gestreichelt (alle ohne Handy), Otto ist der Hauptgewinn des Tages.

19:00

Otto lernt eine Frau namens "Susie Sorglos" (nicht ihr richtiger Name) in einer Bar kennen. Susie trägt buchstäblich nichts außer Highheels und einem rotem Kleid. Ihre Absichten sind ebenso unmissverständlich wie die Frage wer die Drinks bezahlen wird.

19:30

Verstand und Verlangen haben eine kurze, aber leidenschaftliche Diskussion. Verstand verliert.

Otto steckt sich heute mit SARS-CoV-2 an. Wann? Wo? Wie? Tja, das ist die große Frage. Ausreichend Gelegenheit hatte er ja.

Bewertung Der fundamentale Gedankenfehler von Bluetooth Kontaktverfolgung ist, das Handys, nicht Menschen, erst recht nicht Viren überwacht werden. Jeder Eintrag im obigem Stundenplan unterbricht die Alarmkette weil kein Smartphone zur richtigen Zeit am richtigem Ort gewesen ist. Natürlich kann man argumentieren, dass eine kaputte Alarmkette immer noch besser als überhaupt keine ist, aber stimmt das wirklich, wenn die Technik Menschen wie Otto sorglos werden lässt?

Tag 2

Lieschen Müller ist Otto’s Nachbarin. Beide haben einen sehr unterschiedlichen Tagesablauf und sehen sich praktisch nie. Sie haben allerdings auch die eine oder andere Gemeinsamkeit, z.B. das Smartphone als Wecker zu benutzen. Die Schlafzimmer von Otto und Lieschen werden durch dieselbe Wand getrennt. Alles was sie auf ihre Nachttische legen ist nur etwa eine Armeslänge voneinander entfernt.

Lieschen hat gestern dieselbe Nachricht wie Otto bekommen, allerdings zunächst gezögert und die App erst nach Mitternacht installiert. Nichtsdestotrotz haben beide Handys deutlich mehr als 10 Minuten in einer Distanz von weniger als 2 Metern miteinander verbracht, ohne die trennende Wand zu bemerken. Aus Sicht der App(s) hätte Otto genau so gut mit Lieschen anstelle von Susie schlafen können. Gut das die Entwickler Datenschutz groß geschrieben haben, nicht wahr?

Lieschen ist Biologielehrerin und es stehen gerade Abiturprüfungen an. Sie kennt sich also ein wenig mit Viren aus und trifft entsprechende Vorkehrungen (tragen einer Maske, offene Fenster,…). Sie kann allerdings nicht verhindern, dass ihr Handy ein gutes Dutzend Kontakte erfasst, was natürlich auf Gegenseitigkeit beruht. Selbstverständlich werden ihre Schüler später ebenfalls ihre jeweiligen Familienmitglieder registrieren.

Bewertung Bluetooth basiertes Kontaktverfolgung wird von vielen mittlerweile als Allheilmittel und Weg aus dem Lockdown angepriesen. Es ist keines von beidem! Es ersetzt lediglich eine effektive durch eine weniger effektive Maßnahme, indem es als Vorwand für Lockerungen genutzt wird. Tatsächlich setzen wir lediglich die Schwelle für “Risikoverhalten” hoch ohne tatsächlich das Risiko zu verringern (Schulen und Kindergärten wieder zu öffnen ist riskant).

Tag 3

Max Mustermann ist Fernfahrer und Vater einer Schülerin von Lieschen. Heute ist sein freier Tag, den Vater und Tochter damit beginnen, sich gegenseitig als Kontakt zu registrieren.

Bewertung Max und Lieschen erfüllen eine ähnliche, nicht aber dieselbe Funktion. Sie ist ein Multiplikator (starke, aber lokal begrenzte Weiterleitung). Er ist eine Brücke (geringe Weitergabe, aber Überwindung von Hindernissen).

Tag 4

Max beginnt eine neue Tour. Er lädt seine Ladung früh am Morgen auf und liefert sie spät am Abend ab. Eine Heimfahrt kommt heute nicht mehr in Frage, also nimmt er sich ein Zimmer. Er hätte auch in seinem LKW übernachten können, aber heute ist ihm nach Gesellschaft. Die Form von Gesellschaft, wegen der er die App sofort deinstallieren würde, wenn sie keine Anonymität garantieren würde.

Bewertung Max ist nicht infiziert, allerdings Teil einer Alarmkette und er hat gerade zwei Multiplikatoren in unterschiedlichen Städten miteinander verbunden. Zur Erinnerung: die App zeichnet nur Infektionswege, nicht tatsächliche Infektionen auf!

Tag 5

Otto wacht auf und fühlt sich ein wenig krank. Er ignoriert es zunächst, aber die Symptome verschlimmern sich schnell. Am Nachmittag sucht er einen Arzt auf. Es wird ein Abstrich genommen und ins Labor geschickt.

Bewertung Jede manuelle Handlung zwischen Verdacht, Bestätigung und Meldung resultiert in Verzögerung. In diesem Fall erhält das Virus einen weiteren Tag um sich zu verbreiten (falls Otto jemanden angesteckt hat). Unter der Annahme, das eine manuelle Weiterleitung des Alarmsignals im Schnitt mit einem Tag Verzögerung geschieht, wird schnell klar, dass nur eine automatische Weiterleitung in Frage kommt, auch wenn dafür Fehlalarme in Kauf genommen werden müssen.

Tag 6

Ottos Testergebnis ist da: positiv. Als verantwortungsbewusster Mensch drückt er den “Ich bin infiziert” Knopf seiner App. Der Alarm kaskadiert innerhalb von Minuten durch seine Kontakte, die Kontakte seiner Kontakte und deren Kontakte. Jeder, der direkt oder indirekt mit Otto innerhalb der letzten Woche zu tun hatte wird vor eine einfache Wahl gestellt:

Bleib zu Hause oder lass dich (auf eigene Kosten) testen. Bleib aber zuhause, bis das du das Ergebnis hast.

Voraussichtlich ein paar hundert Leute werden heute nicht glücklich sein. Die meisten von ihnen haben keine Ahnung, wo oder wann sie sich angesteckt haben könnten (zur Erinnerung: das war genau der Grund, warum es unbedingt eine App braucht), oder ob sie sich überhaupt angesteckt haben (die App registriert ja nur Kontakte, nicht tatsächliche Übertragung). Nichtsdestotrotz gelten sie ab jetzt als infiziert mit allen sozialen und juristischen Konsequenzen.

Otto wäre jetzt vermutlich ziemlich unpopulär, wenn das System keinen strikten Datenschutz garantieren würde.

Bewertung Ein Alarm, insbesondere ein falscher, wirft Haftungsfragen auf. Wer trägt Verantwortung? Otto, weil er unnötige Risiken eingegangen ist? Lieschen, weil sie einen Fehlalarm ausgelöst hat? Der App Hersteller, weil er eine konzeptuelle Sicherheitslücke in seiner Software hat? Fakt ist, ‘ne Menge Menschen müssen augenblicklich alles stehen und liegen lassen, um sich testen zu lassen. Das verursacht Kosten, auf denen sie voraussichtlich sitzen bleiben werden. Fehlalarme, wenn sie sich häufen (und das kann nicht vermieden werden), sind ein ziemlich überzeugender Grund, die App zu deinstallieren.

Währenddessen in einem anderem Realitätszweig

Die obige Geschichte ließe sich natürlich auch anders erzählen. Schauen wir uns mal einige mögliche Alternativen an, indem wir Otto (Ursprung), Lieschen (Multiplikator) und Max (Brücke) in leicht andere Rollen stecken.

Otto der Hacker

Was wäre, wenn Otto am erstem Tag zuhause geblieben wäre (keine Infektion), Zugang zu Lieschens Handy erlangt und sie zum Spaß als infiziert gemeldet hätte?

Otto der Faulpelz

Was wäre, wenn Otto nicht Nachbar, sondern Schüler von Lieschen wäre und einen Abgabetermin hat, den er unmöglich halten kann? Könnte er sich einen Aufschub durch das Vortäuschen einer Infektion verschaffen?

Otto, der Kinogänger

Was wäre, wenn Otto Susie ins Kino eingeladen und dort pflichtbewusst sein Handy ausgeschaltet hätte?

Otto, der Getäuschte

Überraschende Wendung: Otto hat sich gar nicht Corona, sondern "nur" eine saisonale Grippe eingefangen. Selbe Symptome, aber halt anderer Erreger. Sollte er auf ein Testergebnis warten, bevor er Alarm schlägt? Sollte er überhaupt noch getestet werden?

Otto, der Unvorbereitete

Otto ist Single. Was wäre wenn ihm während der Quarantäne das Essen ausgeht? Würde er sein Handy zuhause lassen und sich raus schleichen?

Lieschen, die Kindergärtnerin

Was wäre, wenn irgendwer auf die Idee kommt, dass die Verfügbarkeit von Bluetooth Kontaktverfolgung Lockdowns überflüssig macht und als Seiteneffekt auch Kitas wieder öffnen? Die Kleinen haben weder ein Smartphone, noch halten sie Hygieneregeln ein.

Lieschen, der Hypochonder

Was wäre, wenn Lieschen sich aufgrund eines unbestätigten Verdachts in Selbstquarantäne begibt (auf einen Test verzichtet) und nach 2 Wochen denkt, sie sei immun?

Lieschen, die Fitnesstrainerin

Was wäre, wenn Lieschen in einem Sportstudio arbeitet und dort ihr Smartphone in einem Spind einschließt?

Max, der Geheimagent

Ist es eigentlich vorstellbar, dass ein Land einem anderem Land (wirtschaftlichen) Schaden zufügen wollen würde? Könnte Max eine Epidemie simulieren, indem er einfach ein paar alte Handys unter Bussitze klebt und diese dann als infiziert meldet? Sowas würde vermutlich niemand tun, oder doch?

101010, die Fehlfunktion

Ist es denkbar, dass eine Software, insbesondere eine, die auf einer bescheuerten Idee basiert und mit heißer Nadel gestrickt wurde, eventuell Fehler produzieren könnte? So etwas wie: Handy fragt schwarzes Brett, ob es Kennzahl als infiziert gemeldet ist und das schwarze Brett sagt immer: "Ja!"?

Jede hinreichend große Kommune verfügt über mehrere Ottos, Lieschens und Maxe. Man kann davon ausgehen, das die obige Geschichte sich mehrfach, zeitversetzt und mit vielen kleinen Varianten parallel wiederholt. Einige Handlungsstränge werden sich überlappen, andere nicht. Hierdurch entsteht Komplexität und jede Variante erfordert eine Fehlerbehandlung. Plötzlich ist das mit der Kontaktverfolgung gar nicht mehr so einfach, wie eingangs beschrieben!

Datenschutzkonforme (=anonyme) Bluetooth Kontaktverfolgung ist bestenfalls eine wackelige Angelegenheit. Selbst kleinste Dumm- oder Bosheiten schlagen schnell hohe Wellen. Das ganze System wird dadurch komplett unzuverlässig. Was uns als Wundermittel im Kampf gegen Corona angepriesen wurde ist in Wirklichkeit eher die Software gegossene Fabel vom Hirtenjungen und dem Wolf. Fehlalarme haben Konsequenzen:

• Leute nehmen einen Alarm nicht mehr ernst (der Nutzen kehrt sich damit ins Gegenteil um)
• Leute deinstallieren die App.
• Leute versuchen an der App vorbei zu arbeiten (z.B. Susie, die ihr Smartphone zu Hause gelassen hat).

Die schlimmste Konsequenz wird allerdings sein, dass Anwender verlangen eine “verbesserte” App zu bekommen und die Politik, wie bei jedem Großprojekt (eGK, BER, Maut, Elbphilharmie, Stuttgart 21,…), reagiert: noch mehr Geld auf einen Scherbenhaufen werfen, in der Hoffnung, dadurch noch irgendetwas retten zu können.

Was müsste also geändert werden, damit die App (vielleicht) funktionieren könnte?

Weg mit dem Datenschutz!

Der Datenschutzkonforme Ansatz hat drei Hauptschwachstellen:

1. Das System ist leicht zu manipulieren.
2. Jeder eingehende Alarm muss als echt angesehen werden.
3. Ein Fehlalarm kann nicht (einfach) beendet werden.

Offensichtlich wird ein dezentrales, anonymes schwarzes Brett in der Realität nicht funktionieren. Version 2.0 der Spezifikation wird also eine zentrale Instanz, gegenüber der sich Anwender ausweisen müssen, einführen. Unnötig zu erwähnen, dass das nicht ist, was versprochen wurde, damit Vertrauen verspielt wird und Anwender mit de-Installation reagieren werden.

Nutzungszwang!

Freiwillige Nutzung der App basiert auf Vertrauen. Vertrauen basiert auf Datenschutz. Datenschutz kann nicht garantiert werden. Damit kommt also nur eine zwangsweise Installation der App in Frage. Tatsächlich reden wir hier jetzt nicht mehr über eine App, sondern bereits darüber, Kontaktverfolgung zu einem Teil des Betriebssystems zu machen.

Rechtlich gesehen, kann zwar vermutlich niemand gezwungen werden, ein Smartphone mit der entsprechenden Software mit sich zu führen, wer sich aber weigert wird auf kurz oder lang vermutlich feststellen, dass er dann keine Supermärkte oder öffentliche Verkehrsmittel betreten darf.

Selbstverständlich wird auch ein Nutzungszwang das Konzept nicht retten. Zwang führt zu Trotzreaktionen. Leute werden versuchen, am System vorbei zu arbeiten, eventuell sogar es aktiv zu sabotieren.

Kein Ende in Sicht!

Datenschutz ist Täter Virenschutz! App Apologeten sind oft der Meinung, dass es wichtiger ist, Menschenleben anstelle von Menschenrechten zu retten. Ironischerweise ist Meinungsfreiheit natürlich auch ein Menschenrecht, womit wir bereits eine interessante Fragestellung für eine Debatte hätten. Eine andere interessante und wesentlich praktischere Fragestellung wäre allerdings: Wann können wir eigentlich unser Recht auf Privatsphäre zurück haben?

Naja, auf der Welt gibt es viele Orte mit schlechter medizinischer Versorgung. Slums, Flüchtlingscamps, usw. bieten dem Virus ideale Versteckmöglichkeiten, von wo aus es sich immer wieder neu verbreiten kann. Die Pandemie ist nicht wirklich zu Ende, bis wir das Virus restlos ausgerottet haben. Solange es noch irgendwo Infektionsherde gibt, kriegen wir lediglich Ruhephasen zwischen Ausbrüchen. Gerade diese Ruhephasen sind es (siehe Graphik oben), wenn Bluetooth Kontaktverfolgung betreiben werden muss.

Kurz gesagt: wenn wir erst mal mit Schnüffelsoftware anfangen, dann wird die Ausnahme zum Dauerzustand.

Fazit

Bluetooth Kontaktverfolgung ist eine grandios bescheuerte Idee. Bestenfalls funktioniert sie nicht, schlimmstenfalls führt sie uns in eine Dystopie.

Erfreulicherweise lernen wir gerade, dass es eine gute Idee ist, auf Wissenschaftler zu hören. Was wir allerdings noch lernen müssen ist, dass eine wissenschaftliche Meinung fachgebunden ist. Wenn einige Virologen/Epidemiologen mögen Apps für einen vielversprechenden Ansatz halten, dann sie reden sie nicht mehr über ihr eigenes Fachgebiet, Biologie, sondern eben Informatik und hier lautet die Fachmeinung: NEIN, VERDAMMT NOCHMAL!.