Man stelle sich folgende Situation vor:
Die Bundesregierung bekommt morgen den dringenden Auftrag, 40 Tonnen Gold zu lagern. Zur Auswahl stehen zwei Konzepte zur Bewältigung dieser Aufgabe:
- OPTION 1) Man teilt das Gold auf und nutzt die vorhandenen Tresore und Bankschließfächer in tausenden Banken quer durch Deutschland. Dies hat den praktischen Nebeneffekt dass das Gold direkt dort ist wo es auch verwendet wird, was nebenbei enorm viel Infrastruktur erspart. Vor Raub ist es ebenfalls geschützt, einfach weil nirgendwo mehr als 5g am Stück gelagert werden, und kein Räuber alle Tresore Deutschlands knacken kann.
- OPTION 2) dagegen sieht vor einen 40T LKW zu bauen dessen Ladefläche von einer Plane bedeckt ist, die doppelt so dick ist wie die eines normalen LKW. Das Gold soll dann in diesem LKW auf einem Autobahnrasthof an der A4 gelagert werden.
Die Regierung entscheidet sich selbstverständlich für die zweite Option. Genauso selbstverständlich wird öffentlich kommuniziert, welcher Rasthof genau für die Goldlagerung auserkoren wurde. Warum auch nicht, die LKW-Lobby hat den Entscheidern ja versichert das die doppelte Abdeckplane einen effizienten Diebstahlsschutz darstellt; Sorgen zu machen braucht man sich also keine.
Vom amüsanten Gedankenspielchen nun hin zur Realität: „Zentral“ und „Dezentral“ sind im Zusammenhang mit einer Handy-App für den Großteil der Bevölkerung vermutlich völlig nichtssagende, abstrakte Konzepte. Die Funktionsweise der App und der Unterschied zwischen zentraler und dezentraler Arbeitsweise sind allerdings sehr einfach zu erklären.
Jeder Nutzer der App bekommt eine „anonyme“(*) Nummer zugewiesen. Treffen sich zwei Nutzer, befinden sich also die Handys zur selben Zeit am selben Ort, wird dies gespeichert: Es wird ein Datensatz mit dem Inhalt „Nutzer #14 und Nutzer #178 haben sich heute von 12:41 bis 13:58 auf der Neusserstraße in Köln aufgehalten.“ generiert und gespeichert. Wird Nutzer #14 einige Tage später positiv auf COVID-19 getestet, bekommt Nutzer #178 eine Warnung: „Jemand mit dem Sie vor 8 Tagen kontakt hatten ist an COVID-19 erkrankt.“
Die Frage ist nun, wo diese Daten gespeichert werden.
Das Zentrale Konzept
Diese Version ist am einfachsten zu verstehen: Im Keller der Regierung steht ein großer Computer, der ALLES übernimmt: Er speichert eine große Liste darüber wer sich wann an welchem Ort aufgehalten hat, bemerkt wenn zwei Nutzer zur selben Zeit am selben Ort waren, und verschickt Warnungen über eine Erkrankung an alle Kontakte der erkrankten Person. Die App sendet dazu ständig alle Ortungsdaten über alle Nutzer an diesen Computer, egal ob sie grade jemanden Treffen oder alleine Unterwegs sind. Den Unterschied kann nur der Computer erkennen.
Dieser Computer ist analog zu unserem LKW auf dem Autobahnrasthof: Unvorstellbar wertvoll und praktisch unmöglich vor einem ernstgemeinten Angriff zu schützen.
Das Dezentrale Konzept
Bei der dezentralen Lösung funktioniert das etwas anders: Hier speichert meine App auf meinem Handy eine Liste von Orten, an denen ich mich in den letzten Tagen aufgehalten habe. Die App kommuniziert über Bluetooth oder WLAN mit anderen Handys, die sich in der direkten Umgebung aufhalten. Dazu ist kein Zentraler Computer notwendig, und die Apps kommunizieren einzig und allein ihre eigene, Anonyme Nutzernummer. Treffe ich also einen anderen Nutzer, schreien unsere Handys sich zu: „Ich bin Nutzer #228!“, „Ich bin Nutzer #22!“. Jeder im Umfeld kann das hören; Weil es völlig uninteressante Daten sind braucht man sie nicht aufwändig zu schützen. Mein Handy speichert in diesem Fall zusätzlich zu meinem eigenen Ortsverlauf ab, das ich an diesem Ort dem Nutzer #22 begegnet bin.
Auch in dieser Version gibt es den Zentralen Computer im Keller der Regierung, seine Aufgabe ist aber eine andere. Das einzige was ihm mitgeteilt wird, sind positive COVID-Diagnosen der Nutzer. Die Aufgabe dieses Computers besteht dann darin, in die ganze Welt hinauszuschreien: „Heute erkrankte Nutzer #729!“. Alle Handys mit der App hören diese Nachricht, und vergleichen Sie mit ihrer eigenen, internen Kontaktliste. Handys die bemerken das ein erkrankter Nutzer in ihrer Kontaktlste auftaucht, warnen ihre Besitzer.
Dies sind in der Analogie die 5g Gold in irgendeinem Bankschließfach.
Der Unterschied
Was passiert nun in den Szenarios, wenn ein Angreifer die Daten missbrauchen will? Nun, zunächst mal kommen wir hier dazu, warum ich im ersten Absatz das „Anonym“ mit einem Sternchen versehen habe. Naturlich ist die Information „Nutzer #288“ an sich anonym, aber in Kombination mit den gesamten Aufenthaltsdaten ist es eben sehr leicht, herauszufinden wer dahinter steckt. Fast alle von uns halten sich täglihc zwischen 8-18Uhr am Arbeitsplatz auf, und verbringen einen Großteil der restlichen Zeit zuhause an unserer Heimataddresse. Gibt es jemanden der in ihrem Haus wohnt und auch bei der gleichen Firma arbeitet? Wenn nicht, dann sind ihre „anonymisierten“ Tracking-Daten nicht anonym.
Im Falle der zentralen Speicherung aller Daten haben wir also einen(!) Computer, auf dem eine hübsche Liste liegt mit den vollständigen Aufenthalts- und Kontaktdaten aller X Millionen Corona-App-Nutzer. Ganz unabhängig davon das man erstmal einen Computer haben muss der diese Menge von Daten rund um die Uhr mit X Millionen Endgeräten austauschen kann (dazu braucht es unfassbar viel Infrastruktur!), ist es fast unmöglich diesen Computer Angrifssicher zu bauen. Wie schon gesagt: Das ist wie Gold gesichert von einer LKW-Plane – Man bastelt damit eine gigantische Zielscheibe für alle, die sich auch nur im entferntesten Vorstellen könnten aus einer derartigen Datensammlung Profit zu schlagen.
Natürlich ist auch im Falle der dezentralen Speicherung ein Diebstahl jederzeit möglich. Der Unterschied liegt darin, was genau der Dieb erhalten würde: Statt eines gesamten Netzwerks identifizierbarer Nutzerdaten würde ein Daten-Dieb immer nur die Daten des Nutzers erhalten, dessen Handy er geknackt hat. Diesen Nutzer kann er dann auch Identifizieren, aber da er dessen Handy ja geknackt haben muss weiß er ohnehin schon, wessen Daten er da vor sich hat. Der Dieb hat nun also eine Liste der Aufenthaltsorte von Max Mustermann, und die Informationen das Max Mustermann um 14:12 dem Nutzer #912 begegnet ist, und eine Stunde später dann dem Nutzer #478. Wer hinter diesen Nummern steckt weiß der Angreifer nicht, denn die Liste mit deren Aufenthaltsorten liegen nur auf den jeweiligen Handys dieser Nutzer.
Die dezentrale Speicherung ist also doppelt besser vor Angriffen geschützt: Zum einen, weil nur einzelne Datensätze ergattert werden können, statt einer allumfassenden Kontaktdatenbank aller Nutzer, und zum zweiten weil die einzelnen Datensätze ohne den Kontext der anderen Daten ungleich viel weniger wert sind.