>b's weblog

News. Journal. Whatever.

Auch in Deutschland überwachen Drohnen die Corona-MaßnahmenWitwe von NSU-Opfer: “Ich will Antworten”

Wie man das in den Medien vorgestellte Verfahren von “PEPP-PT” zum Herstellen von Bewegungsprofilen nutzen kann

Europa will die Ausbreitung der Pandemie per App eindämmen, große Akzeptanz bei Deutschen. UN-Sonderberichterstatter warnt vor Normalisierung der Überwachung

Den Bericht gibt's hier.

CCC-Sprecherkollege Linus Neumann liefert hier Insights. Leider ist auch seine Darstellung fachlich nicht zu halten.

Im Gegensatz zur Darstellung handelt es sich nicht um ein Anonysmisierungsverfahren, sondern um eine Pseudonymisierung. Eine UUID (vermutlich eine Version 4¹) wird über eine Timeslice (30 Min.) hinweg gesendet zur Abstandsmessung (vermutlich mit AltBeacon¹). Dann wird sie neu gesetzt und wiederum über die nächste Timeslice hinweg gesendet.

Es handelt sich also um ein zeitlich begrenztes Pseudonym².

Die Geräte, die im Spiel sind, messen sich alle gegenseitig im Abstand. Es kann daraus auf Bewegungen innerhalb einer Timeslice durch Beobachtung während der Timeslice geschlossen werden. Bei Wechsel des Pseudonyms kann durch Umkehrung, also durch den Schluss von der Bewegung aufs neue Pseudonym geschlossen werden. So können Pseudonyme stabilisiert werden. Das ganze kann im Backend durch Datenauswertung der veröffentlichten Daten passieren.

Im Gegensatz zur Darstellung seitens des Konsortiums beinhalten alle Daten Ortsinformationen – zwar nicht absolut, jedoch im Abstand und topologisch relativ zueinander. Gelingt es nun, wenige der pseudonymen Personen über einen anderen Kanal absolut zu lokalisieren, so kann auf die Ortspositionen aller pseudonymen Personen geschlossen werden. Solche Lokalisierungen geschehen beispielsweise über WLAN oder 3G/4G. Die Geräte, auf denen die App läuft, werden ja nicht nur für die App genutzt. Es sind Smartphones.

Da über die genannten Verfahren aber auch Geräte und letztlich Personen über die genannten Kanäle bereits identifiziert werden (durch Apple, Google, etc.), lassen sich auch Personenprofile zu den Bewegungsprofilen zuordnen, und die Pseudonymität aufheben.

Zusammenfassend:

Einmal zugeordnet und mit Zugriff auf den Server lassen sich für viele wenn nicht für die allermeisten Teilnehmer so nicht nur Bewegungsprofile errechnen, sondern in der Praxis denselben Personenprofile zuordnen.

  1. Falls es sich nicht um UUID Version 4 oder AltBeacon handeln sollte, dann ist das Verfahren noch einfacher zu brechen. Die Annahmen sind also konservativ gewählt.

  2. bei UUID Version 4 ist das Pseudonym sogar eindeutig, aber das spielt aufgrund der Lokalität der Messungen keine Rolle. Wäre es nicht eindeutig, lässt sich das Pseudonym z.B. aufgrund der topologischen Position eindeutig zuordnen.