Letzten Freitag hat mich ein Mail eindringlich vor SwissCovid gewarnt. Die Schweizer App für die Kontaktnachverfolgung sei ein Risiko für die Nutzer – entgegen der Beteuerung, man können sie anonym verwenden.
Der Bund hat bekannt gegeben, die Datenbank der Schweizer Contact-Tracing-App bei Amazon hosten zu wollen. Damit erfährt Amazon de facto, wer die SwissCovid-App wann benutzt.
Das ist eine interessante Aussage: Sie insinuiert, dass die Swisscovid-App den Nutzern in falscher Sicherheit wiegt, wenn sie beteuert, die Nutzung der App sei anonym. Es ist zwar tatsächlich so, dass die App auf eine dezentrale, anonyme Datenspeicherung setzt. Doch die Bemühung um Anonymität werden durch die Kommunikation mit dem Server zunichte gemacht.
Aber stimmt das?
In den Fragen und Antworten des BAG zur SwissCovid App (PDF) heisst es Folgendes zum Standort der Server:
Die Server befinden sich in den Datencentern der Schweizerischen Eidgenossenschaft und werden von der Bundesverwaltung in der Schweiz gehosted.
Doch dieses Dokument scheint nicht mehr auf dem neuesten Stand zu sein. In der neuen Datenschutzerklärung & Nutzungsbedingungen gibt es den Hinweis, dass zur Verbreitung der privaten Schlüssel das Content Delivery Network (CDN) von Amazon zum Einsatz kommt. Die Begründung lautet so:
Die zu verarbeitenden Datenmengen erfordern ein von einem Dritten bereitgestelltes Content-Delivery-Netzwerk. Seit 2017 nutzt der Bund diese Dienstleistung für verschiedene Zwecke (z.B. für die Website des BAG). Dies bedeutet aber nicht, dass das BIT Server in Frankfurt oder anderswo im Ausland benutzt.
BIT steht für das Bundesamt für Informatik und Telekommunikation. Die Newsplattform «Nau» hat daraus eine Schlagzeile gestrickt, die dieser Aussage exakt widerspricht: «Deshalb speichert Corona-App Daten bei Amazon Deutschland».
Was denn nun? Werden Daten im Ausland gespeichert oder nicht?
Ein Content-Delivery-Netzwerk besteht, wie Wikipedia beschreibt, aus Servern, die den Inhalt zur beschleunigten Auslieferung zwischenspeichern:
Das CDN besteht aus einem Ursprungsserver, auf dem der Inhalteanbieter die zu verteilenden Inhalte ablegt, einer großen Zahl an Replica-Servern, die Kopien dieser Inhalte vorhalten, und einem Distributionssystem, das die Inhalte auf den Replica-Servern verteilt. Für die Umleitung der Benutzeranfragen auf die einzelnen Replica-Server ist ein Request-Routing-System zuständig, welches sich dabei auf verschiedene Kennzahlen über diese Server stützt, die ihm vom Accounting-System geliefert werden.
Es ist anzunehmen, dass hier Spitzfindigkeiten den Ausschlag geben: Der Hauptserver ist nicht im Ausland – bei Replica-Servern könnte das aber schon der Fall sein.
Was das für die Privatsphäre der Nutzer heisst, ist an dieser Stelle schwer abzuschätzen. Es ist einleuchtend, dass mehr involvierte Parteien die Risiken für die Privatsphäre vergrössern.
Andererseits sind CDNs dazu da, die Sicherheit zu erhöhen. Es geht vor allem um die Betriebssicherheit, indem CDNs zum Beispiel helfen, DDoS-Attacken abzufangen und den Ausfall einzelner Server kompensieren.
Was die Privatsphäre angeht, gibt es unter Umständen einen positiven Effekt: Die Idee bei den Replica-Servern besteht darin, dass sie die Wege der Daten durchs Netz verkürzen. Das wiederum reduziert die Knotenpunkte, an denen man Lauschposten aufstellen und Daten mithören könnte. Denn bekanntlich sammeln im Internet nicht nur die Server-Betreiber Informationen, sondern auch andere Akteure. Wichtig ist, die Lauschposten strategisch geschickt aufzustellen, so wie es namentlich die NSA mit Prism tut.
Ein Replica-Server kann unter Umständen verhindern, dass Daten einmal rund um den Globus geschickt werden. Diese Möglichkeit besteht auch bei Datentransfers, die eigentlich innerhalb der Landesgrenzen ablaufen. Ein Beispiel liefert der Knatsch zwischen der UPC und Init7 ums Peering. Er hat dazu geführt, dass die zwischen den Providern ausgetauschten Daten über Grossbritannien und die USA umgelenkt werden.
Mit anderen Worten: Man muss schon sehr genau wissen, wie die Daten durchs Internet fliessen, um die Auswirkungen des CDN auf die Datensicherheit abzuschätzen. Zu berücksichtigen gibt es nämlich auch folgende Überlegungen:
- Die Argumentation in der eingangs erwähnten Pressemeldung scheint mir zu kurz gegriffen: Nur weil Amazon als CDN ins Spiel kommt, wird die Nutzung der App nicht automatisch unsicher. Amazon ist in diesem Fall ein Dienstleister, der kaum das Vertrauen in seine Dienstleistung aufs Spiel setzen wird, indem er sogleich die IP-Daten aller Nutzer der SwissCovid-App irgendwo verhökert.
- CDNs gibt es schon mindestens zwei Dekaden. Es kann sein, dass mich mein Gedächtnis im Stich lässt, aber mir ist kein grösserer Datenschutzskandal bekannt, bei dem das Content-Delivery-Netzwerk ursächlich beteiligt war. Falls ich mich täuschen sollte, korrigiert mich bitte.
- Man kann seine IP-Adresse natürlich auch als Nutzer der Swisscovid-App mittels Tor oder VPN verschleiern.
- Auch wenn die Swisscovid-App bezüglich Privatsphäre sensibel ist, scheint mir die IP-Adresse von geringem Wert. Natürlich, ein Unternehmen wie Amazon hat die Möglichkeit, diese Information mit anderen Daten abzugleichen. Aber da die App ansonsten für eine sichere und anonyme Nutzung ausgelegt ist, sehe ich das Risiko zum Aufbau einer kohärenten Datenbank von Swisscovid-Nutzern nicht gegeben.
- Und schliesslich: Auch Google bzw. Apple wissen, wer die App nutzt oder zumindest, wer sie aus dem Store heruntergeladen hat. Damit scheinen alle ganz gut leben zu können. (Ich auch.)
Fazit: Für mich ein populistischer Profilierungsversuch. Die Materie ist zu komplex, als dass man mit solchen Pauschalargumenten einen sinnvollen Beitrag leisten könnte – und meines Erachtens wird der Serverstandort in vielen Fällen sowieso überbewertet.
Fragt sich natürlich noch, wer sich hier profilieren wollte: Es ist die Partei für Rationale Politik, Allgemeine Menschenrechte und Teilhabe, kurz Parat, aus Bern. Und immerhin: Dank der Pressemeldung habe ich (und ihr wahrscheinlich auch) zum ersten Mal etwas von dieser Partei gehört.
Fürs nächste Mal würde ich empfehlen, den Webserver noch so zu konfigurieren, dass er standardmässig eine HTTPS-Verbindung aufbaut – dann wäre der Kampf für den Datenschutz und die Privatsphäre noch etwas glaubwürdiger.
Beitragsbild: Das Argument eines Spiegelfechters (Alex Iby, Unsplash-Lizenz).