Die Republik ist nur so stark wie ihre Community. Werden Sie ein Teil davon und lassen Sie uns miteinander reden. Kommen Sie jetzt an Bord!

DatenschutzFAQErste-Hilfe-Team: kontakt@republik.ch.



Informativ, unaufgeregt, verständlich und angenehm zu lesen. Hatte bisher in den Medien nur einzelne der etwas schrilleren Auseinandersetzungen zwischen den DP3T und PEPP-PT Teams mitbekommen. Jetzt das ganze in einem Artikel eingeordnet zu haben war sehr hilfreich. Interessant waren auch die Beispiele wie "Datenklau" und "Trolling" unter dem DP3T Protokol möglich wären. Vielen Dank an die Autorin für diesen Artikel. So lese ich die Republik besonders gern.

37
/
0
Even Meier
· editiert

Das BAG hat mögliche Angriffsszenarien publiziert.

7
/
0
Adrienne Fichter
Redakteurin @ Republik
·

Herzlichen Dank, Herr G.!

3
/
0

Wow. Recht viel Tech Futter. Danke. Ich vermisse das oft in öffentlichen Debatten.

Meine bescheidene Bauchmeinung: Unerwartet positiv. Wenn man also "wenig features" machen wollte und das derart angefeindet wurde, glaube ich hat man an der richtigen Stelle angesetzt mit der Diskussion. Es tönt als sei es das schwierigste gewesen, nicht zuviel zu tun. Ja RSA etc wäre super. Aber wenn das noch kommt, und richtig, glaube ich war der erste Schritt gut. Was meinen die anderen?

26
/
0

Nun, die Replay-Attacke find ich ziemlich uncool und sie wäre echt einfach durchzuführen. Ich brauch nur eine kleine App schreiben, sie zu meinem Freund in Genf schicken und dann gehen wir beide in die Stadt. Und plötzlich waren alle Leute in Zürich gleichzeitig auch in Genf und umgekehrt. Eine Infektion in Genf triggert dann alle meine Begegnungen in Zürich. Und Trolls gibts genug, da braucht man nicht mal viel kriminelle Energie, das wäre einfach ein witziges Projekt für viele.

Die andere Attacke mit der Kamera finde ich schon etwas unrealistischer. Wenn ihr mich aufnehmt, dann habt ihr bereits meine Privatsphäre angegriffen und dann auf einem Internet-Pranger zu erscheinen wenn man infiziert wurde? Ja, ist nicht schön, aber Infizierte sind Opfer und ich glaube kaum, dass ein solcher Pranger viel Interesse finden würde.

2
/
1
· editiert

betreffend Replay-Attacke:
Dann müsstest du aber auch neben jeder Person 15min stehen bleiben.
Das schränkt dann die Anzahl Personen die du "anstecken" könntest schon mal massiv ein.
Es reicht ja nicht einfach durch die Strasse zu laufen.
Es müssen die Parameter 1.5m (wahrscheinlich ein ziemlich variabler Wert mit Bluethooth) und die 15min eingehalten werden.

8
/
0

Stimmt. Aber leicht zu erklärende false positives werte ich persönlich als weniger schädlich als ein Konzeptfehler im Vertrauen der sich vererbt. Ich will damit nur sagen dass mich positiv überrascht dass man das Füdle hat zu sagen dass eine sicherheitstechnisch gesättigtere Lösung länger dauert. Das lese ich jedenfalls darin. Ist ja quasi achronistisch heutzutage.

5
/
0

Für Dich und mich interessiert sich im Infektionsfall vermutlich niemand, für einen Bundesrat oder einen CEO schon eher. Da ist die Frage wohl eher, wo es sich allenfalls lohnen würde, solche Kameras aufzustellen.

0
/
0
· editiert

Liebe Republik, liebe Adrienne

Gute Zusammenfassung der Debatte über die technischen Grundlagen der Tracing-Apps, danke dafür.

Aber: Meines Erachtens ist der Inhalt dieses Artikels für die Durchschnittsleserin der Republik wie auch den Otto-Normalbürger irrelevant. Dass sich im Zuge der Covid-Tracing-Apps plötzlich eine breitere Öffentlichkeit für Datensparsamkeit durch geeignete Kryptografie zu interessieren scheint, ist ja löblich. Statt nun aber die akademische Debatte über hypothetische, notabene sehr unrealistische Angriffsszenarien, die in irgendwelchen GitHub-Issues geführt wird, hier auszubreiten, wünschte ich mir von euch vielmehr, dass ihr die bereits seit Jahren anhaltende, von der breiten Masse geschluckte Massenüberwachung durch die Werbeindustrie in dieser Zeitung thematisieren würdet.

Ob die Swiss-Covid-App nun in der im Artikel geschilderten Form theoretisch ein Fälschen von Begegnungen oder eine Deanonymisierung Infizierter zulässt oder nicht, ist eine geradezu alberne Frage im Vergleich dazu, was ein durchschnittliches Smartphone in den Werkseinstellungen alles an Nutzerdaten an seinen Hersteller und Google übermittelt. Oder wie bereitwillig die meisten Webbrowser Werbe- und Trackingfirmen mit intimsten Daten ihrer Surferinnen füttern bzw. sich "fingerprinten" lassen (sofern man sich nicht durch zusätzliche Add-ons o.ä. schützt).

Auch das sind keine Naturgesetze und analog zum Wettstreit der Tracing-App-Modelle Singapur vs. PEPP-PT vs. DP3T, könntet ihr – bspw. in einer entsprechenden Artikelserie – über die konkurrierenden Modelle, Ideologien etc. in diesem den Alltag der meisten Menschen komplett durchdringenden Bereich berichten.

Über Covid-Tracing-Apps weiss ich als Republikleser mittlerweile das hinterletzte Detail, habe aber gleichzeitig hier noch nie über die Funktionsweise und Vorteile der Nutzung eines Browser-Add-Ons wie uBlock Origin gelesen (das mich neben Reizüberflutung durch Werbung vor allen Dingen wirksam gegen alltägliches Tracking schützt). Denn: Wir sind Big Tech nicht einfach hilflos ausgeliefert und es existieren viele und vor allen Dingen auch bequeme Alternativen zu den Datenstaubsaugern von Google, Facebook und Konsorten. Man muss sie bloss kennen (und verstehen!).

32
/
7

Das sitzt jetzt hier ein bisschen schräg in der Dialog-Landschaft, S., aber: als Themen-Input ist das Gold. Ich läse sehr gerne darüber.

11
/
0

Ich wollte niemanden vor den Kopf stossen und bin wirklich dankbar um den fundierten Tech-Journalismus von euch, insbesondere auch Adrienne Fichter.

Mein Kommentar ist wohl wirklich etwas schräg. Mein Grundgedanke war halt irgendwie: Wenn ihr euer Publikum im Tracing-App-Bereich schon derart tief in die Gefilde technisch-akademischer Debatten mitnehmt – wieso erklärt ihr ihm nicht auch die Funktionsweise eines Content/Ad-Blockers wie uBlock Origin. Oder von mir aus auch wie der Tor-Browser funktioniert und man ihn nutzt (bzw. wann dessen Nutzung auch für eine Durchschnittsschweizerin sinnvoll sein kann) etc. pp.

Zumal ihr euch eine fundiert-kritische Auseinandersetzung mit Onlinewerbe- und Tracking-Technologien als komplett werbefreie Zeitung auch locker leisten könntet. Sprich, ihr würdet euch damit eben gerade nicht wie fast alle anderen Onlinezeitungen immer auch selbst ein wenig in den Fuss schiessen, sondern könntet eine solche Artikelserie konsequent an den Interessen der LeserInnen ausrichten. Ziemlich einzigartige Position.

23
/
0

Was der Artikel zeigt ist vor allem, dass Datensparsamkeit möglich ist (erfreulich), aber auch, dass Datenminimalismus dann doch nicht so einfach ist. Aber der Sparsamkeits-Aspekt macht wenigstens Hoffnung, dass sowas auch in anderen Bereichen möglich wäre.

Eine vertiefte Analyse der Überwachungs- und Werbungs-Branche wäre unabhängig von Contact Tracing ein spannendes Thema.

18
/
0

Da rennst Du nicht nur offene Türen ein, sondern stehst nichtsahnend schon im richtigen Glashaus, wo du mit Steinen zu werfen beginnst. Gib nur das Stichwort «Werbung» im Suchfeld (via Lupen-Icon) ein und du erhältst eine Menge Vorschläge für entsprechende Artikel. So u. a. (sry, didn't bother to arrange):

Sorry for the long post, here's a potato! And thank me later! ;-)

11
/
0
Adrienne Fichter
Redakteurin @ Republik
·
· editiert

Danke an euch Beide, S. und Michel...Ende 2018/Mitte 2019 dachte ich sogar: Ich muss mal vom Thema Online-Werbung wegkommen:) Wie gesagt: es sind bereits Projekte zu anderen netzpolitischen Themen in meiner Pipeline. Seid gespannt:)

16
/
0

Wow, dankeschön für deinen Fleiss, all die Links zusammenzutragen. Mich als "nichtsahnend" einzustufen, würde ich trotzdem nochmals überdenken. Denn kein einziger der von dir verlinkten Artikel beleuchtet die Funktionsweise von Content/Ad-Blockern. Und das war mein eigentlicher Punkt. Siehe meine Antwort an Adrienne.

4
/
1
Adrienne Fichter
Redakteurin @ Republik
·
· editiert

Hallo S.. Es freut mich, dass Du Dich als Republikleser gut informiert fühlst über Contact Tracing:) Und Dein Input ist wertvoll. Und ja, ich würde gerne in dieser Tiefe über die Werbeindustriepraktiken berichten, was ich in der Vergangenheit auch teils gemacht habe.

https://www.republik.ch/2018/04/27/…itgefangen
https://www.republik.ch/2018/11/21/…t-weiss-es
https://www.republik.ch/2019/05/03/…s-big-tech

Leider hat mein Tag auch nur 24h, und das Themenspektrum im Tech-Journalismus ist gewissermassen breit: Contact Tracing (weil das im Zuge der Pandemie-Krise am meisten interessierte), eVoting, e-ID, Datenschutzgesetzrevision, NDB, Crypto AG, Big Tech-Regulierung , InfoSec etc. Aber ich habe fest vor, in diesem Jahr noch eine Grossanalyse/recherche zu gewissen Tracking-Praktiken (u-a. das von Dir angesprochene "Fingerprinting") zu machen.

10
/
1
· editiert

Liebe Adrienne

Danke für deine Antwort. Es stimmt, du hast dich dem Thema Online-Werbung/Tracking bereits mehrmals angenommen – was ich auch immer sehr gerne las und wofür ich dich und die Republik ausserordentlich schätze!

Was ich jeweils vermisse, ist der Hinweis (und gegebenfalls auch eine konkrete Anleitung) wie kinderleicht man sich weitgehend vor den grossen Trackern schützen kann. Stattdessen bedient auch ihr immer wieder das fatalistische Narrativ des "ausgeliefert sein an Big Tech", worauf unbedarfte LeserInnen wohl schlicht in Resignation verfallen dürften.

Beispiel aus einem deiner verlinkten Artikel:

Denn während Sie diesen Satz lesen, werden Sie bereits kommerziell und politisch von den globalen Playern ausgewertet. Da nützt auch eine Datenschutzerklärung nichts, die von Ihnen verlangt, die Vergangenheit rückgängig zu machen.

Es bleibt völlig unerwähnt, was denn tatsächlich nützen würde bzw. dass es überhaupt etwas gibt, das nützen würde. Nämlich bereits die Nutzung von uBlock Origin in den default-Einstellungen.

4
/
1
5
/
0
Physiker & Unternehmer
·

Schöner Artikel über eine recht komplexe Thematik.

Wenn man sich die Realität anschaut, so wird jedoch gerade insbesondere die App in Deutschland hoch gelobt, weil sie über komplette Transparenz viel Vertrauen schafft und nicht übergriffig agiert, während die Schweizer App zwingend die Location Services aktiv braucht, was dann auch der orwellischen Totalüberwachung durch Google und Apple in die Hände spielt.

Zum Vergleich:

Eine Erklärung dafür, warum entgegen der Versprechen die Location Services aktiv sind, oder eine Open Source Release der Schweizer App fehlen bisher, soweit ich das sehen kann.

5
/
17
(durch User zurückgezogen)
Physiker & Unternehmer
·

Der Vergleich mit Facebook und WhatsApp ist bezeichnend.

Letztlich scheint die Schweizer App einfach ein Frontend auf die Google & Apple APIs zu sein: https://twitter.com/skepteis/status…4566265859

Da das alles proprietäre, geschlossene Plattformen sind gibt es keinen Weg, zu verifizieren welche Daten wirklich erhoben werden und wohin sie gehen.

1
/
0
(durch User zurückgezogen)
Physiker & Unternehmer
·

"This is a COVID-19 tracing client using the DP3T Android SDK." -> "This is the implementation of the DP-3T protocol using the Exposure Notification Framework of Apple/Google." -> https://www.google.com/covid19/expo…fications/

"Google und Apple haben sich zusammengetan, um Regierungen mit einem System für COVID-19-Benachrichtigungen zu unterstützen und so einen Beitrag zu leisten, die aktuelle Pandemie einzudämmen."

Daher auch der Kommentar von Daniel Probst: Im Wesentlichen sieht das nach einem Frontend aus für das was sich Google und Apple gemeinsam ausgedacht haben.

Ebenfalls auf der obigen Seite, in fett: "Das Benachrichtigungssystem und die App der für dich zuständigen Gesundheitsbehörde erfassen zu keiner Zeit deinen Standort" und, darunter, in normal: "Bei Android-Geräten muss die Standortermittlung aktiviert sein, damit Bluetooth-Geräte in deiner Nähe gefunden werden können."

Was ich als "damit die Contact Tracing App funktioniert musst Du unseren anderen Apps erlauben, Deinen Standort und Deine Kontakte ständig zu protokollieren" lese.

Das ist die Art von "Bug" die Google gerne hat. So geht ja auch ActiveSync bei jedem Update "zufälligerweise" gerne mal ein bisschen kaputt, damit die Leute animiert werden, Gmail zu verwenden. Die technischen Anfragen zu diesen Themen werden dann mit "wir melden uns bald" beantwortet... und dann passiert jahrelang nichts.

Will mit alledem nichts zur Verhältnismässigkeit gesagt haben.

Singapur hat ja auch entsprechende Überwachung akzeptiert um COVID-19 einzudämmen, und völlig rational so entschieden. Angesichts der Gefahr die von dem Virus ausgeht mag das sogar angebracht sein.

2
/
2

Vielen Dank für den guten Artikel! Bisher habe ich noch in keinen IT- oder sonstigen Medien nur annähernd so tiefgehende Artikel darüber gelesen...

15
/
0
Simon Schlauri
Verleger und Autor bei der Republik
·

Danke für die Darstellung und den Tiefgang!

14
/
0

Grundsätzlich hat das UN-Team (es waren nicht nur CHanerInnen und EuropäerInnen dabei) super Arbeit geleistet. Es ist auch ein schönes Beispiel was Wissenschaftler, wenn sie gerade nicht an ihrem eigenen Profil feilen, in internationaler und bereichsübergreifender Zusammenarbeit leisten könnten.
Die Tracing-App hatte zwei sehr einengende Rahmenbedingungen: Zeit und Akzeptanz.
In drei, vier Monaten eine solche App incl. Anpassungen am Betriebssystem aus dem Boden zu stampfen, ist wirklich beachtlich!
Zur Förderung der Akzeptanz wurde sicherlich auch das Optimum herausgeholt. Zur Akzeptanz braucht es nicht nur den Schutz der Privatsphäre. Zu hoher Stromverbrauch führt auch zu Akzeptanzproblemen. Und dies bei Benutzern die sich eigentlich bereits zur Nutzung entschieden haben.
Was für mich jedoch bereits feststeht: wenn wirklich 60% der Bevölkerung die App haben müssen um einen Nutzen derselben zu generieren, sehe ich tief-Schwarz! 20% sind ausgeschlossen da sie kein Smartphone haben, weitere 20% da ihr Smartphone veraltet ist und wieder 20% erhalten die Updates von ihren Gerätehersteller erst in 7 Monaten. Es bleiben also 40% potentielle Nutzer. Von denen wird sich die Hälfte nicht überzeugen lassen die App zu benutzen. So hoffe ich doch dass wenigstens 20% etwas zur Bewältigung von Covid beitragen könnte.
Ah.. habe ich fast vergessen: der Artikel gefällt mir!
P.S.: ich habe die App installiert und aktiv!

13
/
0
(durch User zurückgezogen)
· editiert

Das eigentliche Problem wurde in dem Artikel nur gestreift: Bluethooth KANN das nicht. (Die Info muss ausgekpappt werden, ist aber immerhin vorhanden und damit ist die Republik das Erste Magazin, welche die Info überhaupt publiziert)

Das ist, wie wenn ein Landwirt, welcher nur Traktoren hat, aber dringend einen Porsche braucht einfach einen seiner Traktoren rot anmalt. Es hilft auch nicht, wenn sich die Ganze Welt darauf einigt, den Traktor ab sofort als Porsche zu bezeichnen, weil die ganze Welt plötzlich einen Porsche braucht, aber nur Traktoren hat. Es hilft auch nicht, jedem der Fragt zu sagen: "Wo ist dein Problem? Schau her, es hat vier Räder, also ist es ein Porsche!" Es bleibt ein Traktor.

Man wiegt mit der App die Menschen in einer falschen Sicherheit, indem man angibt dass damit Contact Tracing erleichtert würde, und sie sich ergo selber nicht mehr darum zu kümmern braucht. Ja sicher, man kann damit Begegnungen aufzeichnen, der Traktor kann schliesslich auch fahren. Aber Technologisch existiert die Schnittstelle für eine richtige Covid-APP schlicht nicht. Also baut man eine andere Schnittstelle (die für was ganz anderes gemacht wurde) halt um.

3
/
19

Sie meinen die Distanzmessung, oder? Ich kann ihrer Analogie zwar folgen, aber mir ist unklar, wie sie sich auf Bluetooth anwenden lässt. Signalstärken sind wirklich nicht ein sehr verlässliches Mass für Distanz, aber während man theoretisch viele Szenarien finden kann wie sich solche Begegnungen nicht richtig aufzeichnen lassen, ist der durchschnittliche Fall, eventuell gut genug.

12
/
0
· editiert

Diese Meinung würde ich so nicht unterstützen.

  • Grundsätzlich kann man wohl mit jedem mit Bluethooth/Wifi ähnlichen Funkprotokoll die Signalstärken messen und uumst. sogar Roundtrip Zeiten ermitteln und daraus dann eine Distanz errechnen. Ob das dann in der Praxis exakt 150cm oder 180cm sind, spielt wohl nicht so eine riesen Rolle. So lange die Fehlerrate nicht bei sagen wir mal > 0.5m liegt wird das für die Covid App nicht ins Gewicht fallen.
    Und für ein Funkprotokoll mit der maximalen effektiven Reichweite von ca. 10-15m (oder mit Low Energy sogar weniger?) scheint mir das machbar.

  • Es wurde klar gesagt, dass diese App nicht Ansteckungen verhindern wird. Sprich die Menschen sollten sich nicht in Sicherheit wiegen. Die App hilft nur bereits geschehene und entdeckte Infektionen zu verbreiten und die entsprechenden Personen zu warnen.
    Hier müsste man wohl eher Medien (und Personen) zu Rechenschaft ziehen, welche etwas anderes Behauptet haben.

8
/
0

Solche Graben- un Glaubenskämpfe zwischen Experten*innen, wirtschaftlichen, staatlichen und anderen Interessevertretungen sind normal, wo immer Standardisierung von technischen Lösungen nötig oder hilfreich ist. Diese ziehen sich jedoch in der Regel über Jahre und Jahrzehnte hin und werden ausser von den Beteiligten kaum beachtet. Was hier anders ist, war die unglaubliche Geschwindigkeit mit der ein pragmatischen Industriestandard zustande kam - ganz im Sinne von "rough consensus and running code"

12
/
0
Adrienne Fichter
Redakteurin @ Republik
·
· editiert

Vielen Dank. Ja diesen Zeitaspekt kann man (und hätte ich viel mehr) nicht genug betonen. Das ereignete sich alles innert 8 Wochen, eigentich absoluter Wahnsinn.

9
/
0

Tja, die öffentlichen issue-threads auf https://github.com/DP-3T/documents in Echtzeit zu verfolgen war zeitweise spannender als Netflix und ich kann mir nur vorstellen, was hinter den Kulissen alles abgelaufen sein muss. Vielleicht gibt es ja in ein paar Jahren ein Docu-drama dazu...

8
/
0

Vielen Dank für diesen Beitrag. Es ist immer wieder wichtig zu betonen, dass Forschung zu einem wesentlichen Teil auf internationaler Zusammenarbeit basiert. Sei es durch die weltweite Zusammenarbeit von Universitäten und Forschungszentren oder auch durch internationalen Forscher*innen – Teams an Schweizer Universitäten, so auch bei der Entwicklung der Swiss-Covid-App. Diese scheint noch nicht perfekt zu sein, doch erachte ich ihren Einsatz zum jetzigen Zeitpunkt für absolut richtig. Wichtig ist hier, dass Daten nicht auf Vorrat gesammelt und anderweitig wieder verwenden werden können. Aus meiner Sicht ist dies bei der Swiss-Covid-App erfüllt.

13
/
1
Unternehmer
·

Das Problem mit den Daten und der Frage was genau damit geschieht lässt sich einfach lösen. APP nicht installieren....

4
/
26

Haben Sie gelesen und verstanden, wie die Covid App mit Daten umgeht? Ich habe selten (eher noch nie) eine Anwendung gesehen, bei der so viel Hirnschmalz in einen sensiblen Umgang mit Daten gesteckt wurde. Als privatspähre-bewusster IT-ler kann ich da nur sagen: Wow! Konstruktive Kritik ist immer berechtigt und führt letztlich zu einer noch besseren App.
Ich hoffe sie nutzen weder Whatsapp, Insta, etc. ;)

11
/
0
Unternehmer
·

Ich habe ziemlich genau verstanden wie die APP funktioniert. Spannend ist auch die dafür geschaffene API in Android. Auch wenn die APP vielleicht heute toll mit den Daten umgeht, so ist das nicht für die Zukunft garantiert und nur schon die API und deren funktionen, bzw das Abfrageverhalten lässt sich sehr bedingt steuern. Dazu kommt noch der Fragwürdige grund wegen dieser sogenannten Corona Krise sowas einzuführen, aber das können wir gerne mal bei einem Bier persönlich diskutieren. Darüber schreibe ich nichts mehr.
Ich nutze selbstverständlich soziale Medien, bzw Messenger. Bei Whatsapp gibs zum Beispiel eine punkt zu punkt verschlüsselung. Zudem kann ich das Standorttracking deaktivieren. All das ist also nicht vergleichbar mit der neuen Corona APP. Aber jedem das seine. Solange die APP nicht pflicht ist, kein Problem. Sobald irgend welche Freaks ein Obligatorium einführen wollen, wird mein Telefon grösstenteils offline sein.

1
/
3

super artikel, adrienne, der unbedingt ins englische übersetzt werden sollte! (deepL. com kann das ganz gut). es gibt "drüben" einige, die sich sehr dafür interessieren...

11
/
0

Genau dafür bin ich bei der Republik... Danke, weiter so, Jonas

9
/
0

Sehr interessanter Artikel, merci den Autorinnen!

9
/
0
· editiert

Ausgezeichneter Journalismus über einen Meilenstein.

Dieser Meilenstein zeigt für mich drei Dinge beispielhaft:

  1. Wir können heute sehr vieles erreichen, was noch vor 20 Jahren unmöglich gewesen wäre. Dank Computern und Datenkommunikation.

  2. Dadurch können Netzwerke von kompetenten Personen Ziele erreichen, die selbst für Organisationen nicht erreichbar sind, die für solche Ziele gegründet wurden. Denn in festen Organisationen scheitern die guten Ideen oft an Entscheidungsstufen, auf denen die Kompetenz nicht ausreicht, um die Idee zu beurteilen, und das mit der Idee verbundene Risiko für die Entscheidenden zu gross ist.

  3. Um europäische Werte zu fördern, darf man sich nicht durch Bedenkenträger vom Handeln abhalten lassen. Lässt man sich bremsen, dann kommt die Alternative: amerikanische oder asiatische Lösungen müssen übernommen werden.

Wer aus Sicherheitsbedenken diese App nicht installiert, der müsste alle Apps auf dem Telefon deinstallieren und sich bewusst sein, dass er nicht das Nötige tut, um die vielzitierte «zweite Welle» der Ansteckungen zu bremsen.

Der Vergleich mit Blockchain im Artikel erinnert an einen zweiten Meilenstein kluger Digitalisierung: Die geplante Verbesserung der Rahmenbedingungen für Blockchain/DLT.
In beiden Fällen gilt: Das tun, was nötig ist, das lassen, was nur Show ist.

10
/
3
System Engineer
·

Überdies falls es jemanden interessiert. Hier die Doku für die Android API.
https://static.googleusercontent.co…v1.3.2.pdf

Darin wird erwähnt das man den Code für den detaillierten Location Zugriff nicht in der App haben darf.

„ Your app will need to have the ​BLUETOOTH​ and ​INTERNET​ permission in its manifest, but does not require and cannot include ​ACCESS_COARSE_LOCATION​, ​ACCESS_FINE_LOCATION​, or BLUETOOTH_ADMIN​. For more information about restrictions on your app, see the API’s Terms of Service​.“

7
/
0
Brot
·
· editiert

Ich bin enttäuscht, dass einer der zentralen Kritikpunkte an SwissCovid vom Artikel nicht eingeordnet wird: Der entscheidende Quellcode ist gar nicht öffentlich einsehbar. So schreibt es zumindest der erwähnte EPFL-Kryptoforscher Serge Vaudenay in seinem Bericht. Das Herzstück der Implementierung des DP3T-Protokolls (GAEN) ist von Google/Apple entwickelt und ist weder quelloffen noch unterliegt es einem Audit.

Der eigenössische Datenschützer wischt das Argument beiseite, indem er darauf hinweist, dass die Kritik an nicht-öffentlichen Schnittstellen "nicht spezifisch für die SwissCovid" gelte. Er übersieht dabei gemäss Vaudenay, dass GAEN weder ein Hardwaretreiber noch eine Betriebssystemkomponente sei. In früheren Versionen ging es schliesslich auch ohne.

Gerne hätte ich gelesen, ob diese Bedenken jetzt auch als rein "perfektionistisch" einzustufen sind. Falls tatsächlich zentrale Bausteine ohne Notwendigkeit in undurchsitigem Code versenkt wurden, ist mein Vertrauen in die Organisation massiv auf die Probe gestellt. Ich bin bisher immer davon ausgegangen, dass ich es mit einem Open-Source-Projekt zu tun habe.

4
/
1
· editiert

Ich bin dabei mir den laengeren Artikel reinzuziehen. Leider hat der Autor (Vaudenay) wenig mit Softwareentwicklung am Hut. Er hat verschiedene konfliktierende Aussagen nicht verstanden.
Nur die "genuine" App darf auf das API zugreifen. Bedeutet man kann sich so eine App nicht selbst basteln. Auch wenn man den Rest des Codes hat. Das macht Sinn, denn sonst koennte ja jeder die Funktionalitaet etwas abaendern und als Fake anderen unterschieben. Der Autor (Vaudenay) soll das Täubeln/Stämpfeln sein lassen bis er begriffen hat worums geht.
Wer auch immer darauf bestanden hat so eine App als medizinisches Device laufen zu lassen hat nicht ganz begriffen worums bei einem medizinischen Geraet geht. Das bedeutet man baut etwas, zeigt dass es funktioniert, dann werden die Specs und die Implementation gegen die Standards, Zuverlaessigjeit, Sicherheit, Fehlbedienung, .. geprueft und dann wird der Stand eingefroren. Das ganze nennt sich Zertifizierung. Jede Aenderung bedeutet eine neue Zertifizierung. Ueblicherweise, eine triviale Schlauchpumpe betrachtend, dauert so ein Prozess Jahre und kostet hundert Tausende. Work in Progress kann gar nicht zertifiziert werden, kann auch nicht eingefroren werden. So eine App in ein paar Wochen zusammengehämmert kann noch lange kein Medizindevice sein. Da haben sich Google und Apple in einer Hauruck operation den A* aufgerissen, haben etwas erst mal Brauchbares erschaffen, hoechst wahrscheinlich gratis, ... und dann wird kindisch losgemeckert. Wenn der Autor des Artikels einen stabilen Code mit Dokumentation wuenscht wartet er ein paar Jahre und darf heftig abdruecken. Dokumentation macht sich nicht von selbst.
Zu den Amazon Servern. Wenn der Bund als Eigentuemer von Admin.ch guenstigen Serverplatz zumietet wird er schon wissen weshalb. Vielleicht ist das auch nur eine schnelle Loesung weil so eine Infrastruktur nicht so schnell von nichts kommt. Ich wuerde die Infrastruktur zu so eineM. P.rojekt nicht auf meinem Server neben meiner Kaffeemaschine laufen lassen wollen. Heutzutage ist eben Amazon der Anbieter fuer gute und guenstige Serverinfrastruktur. Der Autor zieht sowas auch nicht aus dem Hut. Ja, es gibt Schweizer Anbieter.
Wenn also der Autor den Code und seine Genuinitaet pruefen will muss er genau dorthin, wo er schliesslich kompiliert und hochgeladen wird. Vorher alles zugaengliche anschauen, verstehen & memorisieren.

10
/
5

Ich sehe nicht, was Ihr Kommentar mit dem Vorwurf des intransparenten Quellcodes zu tun hat. Stattdessen versuchen Sie den Autor den zu diskreditieren, ein klassisches rhetorisches Mittel. Schade.

4
/
3

Ich sehe keinen Grund, warum das GAEN Interface nicht Open Source sein sollte und wenn CoraLibre erfolgreich ist, wäre der Beweis dafür erbracht. Ich verstehe aber die Entwickler schon, dass man jetzt nicht wegen 3500 potentieller Nutzer eine grossen Aufwand betreibt. Immerhin haben die Entwickler diesen Punkt noch auf ihrer todo-Liste. Die einfachste Möglichkeit dies zu überprüfen ist derzeit wohl die App auf einem e.foundation Handy zu starten.

1
/
0

Danke für den tiefen Einblick in die Thematik. Ihr habt umfassend über den Aufwand berichtet, der getrieben wurde, um eine sichere App zu bauen. Aber wo erfahre ich im Artikel etwas über den Nutzen?

1
/
0
Chefredaktion
·

Et voilà: https://www.republik.ch/2020/05/27/…-was-jetzt Gibt noch weitere > Suchfunktion

4
/
0

Danke, den Artikel kannte ich schon. Auch das ein super Beitrag der Republik. So eine App nützt ja nur etwas, wenn mindestens 60% der Bevölkerung sie auf ihrem Handy installiert, wenn ich das richtig verstanden habe. In diesem Beitrag hätte mich auch interessiert zu erfahren, wie viele Handys in der Schweiz die technischen Voraussetzungen überhaupt erfüllen, damit die App darauf installiert werden kann. Sprich, besteht rein technisch gesehen überhaupt eine Chance, dass die App ihre Rolle erfüllen kann? Tja, und dann müssen auch noch genug Menschen bereit sein, das zu tun ...

0
/
0
Wundernase
·
· editiert

Mich würden auch die Kosten interessieren, wie hoch die waren, wer sie getragen hat, und wem ein etwaiger Ertrag zugute kommt.

5
/
1

Der Nutzen der App? Nun. Es ist ein Anfang einer Entwicklung. Da dies wahrscheinlich nicht der letzte Virus ist, kann der Nutzen auch erst spaeter kommen. Der geschichtliche Zusammenhang, auch wenns erst in der Zukunft stattfindet... Neben uns haben viele Staaten unterstuetzt durch Google und Apple auf den dezentralen Ansatz gesetzt. Will man die globale Herumreiserei (Tourismus) hochhalten, zumindest schauts jetzt so aus, wird man kuerzerfristig die lokale Version installieren muessen. Allenfalls gibt's mal eine halbglobal kompatible Version. Mit dem dezentralen Ansatz.
Ob so eine App nach einige Anpassungen beim Kontakttracing hilft wird auch die Zukunft zeigen. Zumindest ist die Chance vorhanden.

0
/
0

Was ist eigentlich aus deM. P.ACT Projekt geworden (https://pact.mit.edu/)? Ein sehr ähnlicher Vorschlag zu ähnlicher Zeit, Top Unis und ein paar sehr grosse Namen aus der Krypto-Szene.

Die Schweizer Presse fokussiert natürlich auf die Bedeutung der Lausanne - Cupertino/Mountain View connection, aber es scheint auch eine Amerikanische Variante der "origin story" zu geben: https://federallabs.org/news/apple-…ing-effort

3
/
0

Danke für die klare Info.

3
/
0
· editiert

Ich habe soeben noch eine Übersicht der Kritikpunkte zur App Seitens Serge Vaudenay und Martin Vuagnoux gelesen und bin überrascht, dass auf diese im Republik-Artikel nicht tiefer eingegangen wird. Stattdessen wird u.a. genau das Beispiel genauer ausgeführt, welches die Kritik an der App ins Lächerliche zieht: das gezielte Generien von "False Positives".
Dass aber der aktuelle Stand der App in den Augen der oben genannten Forscher die gesetzlichen Forderungen in vielen Punkten nicht erfüllt und ein wichtiger Teil der App inzwischen fix in den Betriebssystemen von Apple und Google implementiert und nicht mehr einsehbar ist, wird nicht gründlicher beleuchtet.
Ich würde gerne von der Redaktion erfahren, warum darauf nicht genauer eingegangen wurde und warum Serge Vaudenay, welcher ja selber an der EPFL arbeitet, nicht mehr Raum bekommen hat.

Hier noch die Links zur Übersicht der Analyse und zuM. P.DF der detaillierten Analyse selbst:
https://lasec.epfl.ch/people/vauden…covid.html
https://lasec.epfl.ch/people/vauden…id-ana.pdf

2
/
1
Adrienne Fichter
Redakteurin @ Republik
·

Guten Tag Herr G.! Die wichtigsten Kritikpunkte von Vauenday und Vaugnoux habe ich durchauf aufgenommen, die Paparazzi-Attacken und Replay-Attacken (das ist kein "lächerliches" Szenario). Teils handelt es sich beim genannten Paper ja auch uM. P.aar Spitzfindigkeiten (etwa dass der Source Code auf Github geladen wird wird, was wiederum Microsoft gehört), die mehr nach Fundamentalopposition klingen gegenüber dem ganzen Konzept von Proximity Tracing und im Spezifischen von DP3T. Was die Schnittstelle anbetrifft von Google und Apple: diese Kritik ist durchaus berechtigt. Auch dass hier ein wesentlicher Punkt des Contact Tracing-Gesetzes nicht eingehalten wird durch diese Abahängigkeiten von Google und Apple, sehe ich ebenfalls problematisch. Doch das ist nicht das Thema des Texts. In meinem Text wollte ich auf die Forschungsarbeit der DP3T-Gruppe eingehen und die Kontroversen zum DP3T-Konzept aufnehmen.

3
/
0

Guten Tag Frau Fichter

Danke für Ihre ausführliche Antwort. Wir scheinen uns einig zu sein, dass die Google- und Apple-Schnittstellen, welche nicht öffentlich einsehbar sind, problematisch sind. Auch das der gesetzliche Rahmen nicht eingehalten wurde, sehen wir beide problematisch. Gerade der letzte Punkt sollte meiner Meinung nach doch viel grössere Wellen schlagen, oder nicht? Immerhin wurde das Gesetz missachtet/umgangen, welches kurz zuvor extra für die Einführung einer solchen App geschaffen wurde. Sollte man dann bei deren Ersteinführung nicht genauer hinschauen? Möchte niemand bei Republik diese Aspekte genauer untersuchen?

0
/
0
fotografie, texte, webpubl&lektorin
·
· editiert

Wie weit wir privaten IT-Unternehmen mehr trauen können als einzelnen Staaten hat Snowden vor nicht allzu langer Zeit ja relativ klar aufgezeigt.
Was bei den ganzen im Artikel aufgezeigten Zusammenarbeiten für die Tracing-App mir am hoffnungsvollsten erscheint, ist die Tatsache, dass die beteiligten Silikon Valley Tech-Giganten offenbar bereit waren, ein (nach meinem Wissensstand) erstes Mal mitzuarbeiten an Lösungen, die Daten nicht exzessiv, sondern eben gar nicht bzw. möglichst sparsam nur sammeln. Mit anderen Worten, dass diese Bereitschaft eventuell auf ein Umdenken auch bei jenen global ITplayers hinweisen könnte - und die Zusammenarbeit für die „Swiss“-European-Tracing-App dies möglicherweise noch befördert haben könnte.
Diese Einschätzung mag persönlichem Wunschdenken entspringen - doch ich bin sehr überzeugt, dass wir deM. P.rinzip Hoffnung ganz dringend (wieder?) mehr Raum geben müssen. In unser aller je ganz eigenem Denken. Nicht blauäugig, nicht unkritisch, schon gar nicht nach dem ideologisch gefärbten rein nur noch ‚positiv thinking‘ Prinzip, wo jedes kritische Hinterfragen bereits verdammt wird - aber eben mit einem für die hoffnungsvollen Entwicklungen trotz allem Hinterfragen doch offen bleibenden Herzen und auch Verstand, Intellekt.
Falls ich das so halbwegs verständlich in Worte umgesetzt haben sollte.
Ist es nicht erstaunlich, wie schwierig das Übersetzen von Gedanken im Wechselspiel mit Intuition, Empfindungen und inneren Überzeugungen in Worte immer wieder ist ?!?
In a nutshell: unsere Erde braucht (bei aller klaren und detaillierten Analyse, bei aller Wut oft, bei aller notwendigen Wachsamkeit und Kritik) unser aller fortdauernde Aktivierung des Prinzips Hoffnung - andauernd und immer wieder.
Danke Adrienne für den extrem interessanten, detaillierten, klaren, verständlichen und wie immer Diskussionen sehr anregenden Artikel! Immer wieder ein Highlight in der Tech-Landschaft! Danke.

3
/
1
(durch User zurückgezogen)
(durch User zurückgezogen)
Informatikingenieur, Buchautor, Musiker
·

Vielen Dank für den informativen Artikel. Bezüglich Diskussionen um Alternativen zu DP3T würde ich noch spannend finden, warum in England auf der Insel "Isle of Wight" die zentrale Contact-Tracing-Lösung, an welcher das Zürcher IT-Unternehmen Zühlke beteiligt war, aufgegeben wurde. Waren es technische Probleme oder eine politische Entscheidung?

2
/
2
(durch User zurückgezogen)

Danke für diesen detaillierten Beitrag. Schade, wurde auf diese schwerwiegende Kritik nicht eingegangen:

Das dezentrale Design eignet sich nur und ausschließlich, um Einzelkontakthistorien zu sammeln und zu analysieren. Wenn es aber darum geht, herauszufinden, wo und unter welchen Umständen man sich angesteckt hat, zu überprüfen, ob es sich dabei um einen Cluster handeln könnte und alle weiteren Leute, die sich in diesem Cluster aufhielten zu warnen, dann ist das mit der dezentralen Variante schlicht nicht umsetzbar. link

1
/
1