Covid-19-Apps zeigen Software in der Krise

Wien (pts011/05.05.2020/09:30) – Es gibt in der Umgangssprache den Spruch „There’s an app for that!“. Die Floskel wird oft als Witz verstanden, selbst außerhalb der IT-Branche. Die aktuelle Covid-19-Krise hat Computer-Code wieder einmal als Universallösung für Probleme, die nicht ausschließlich mit der Informationstechnologie zusammenhängen, thematisiert. Generische Digitalisierung scheint die Antwort auf alle Probleme zu sein. Natürlich kann Datenverarbeitung helfen. Die Voraussetzung dafür ist allerdings das Vorhandensein von echten Daten, die auch nachvollziehbar und sorgfältig erhoben wurden. Genau daran scheitern viele Vorhaben.

Magische Telefone mit unendlicher Intelligenz

Der Ruf nach Apps wiederholt sich in den letzten Jahren immer wieder. Die Visionen stehen den kreativen Ideen in Drehbüchern von Spielfilmen und Serien in nichts nach. Software, die auf kleinen tragbaren Telefonen läuft, soll die komplexesten Aufgaben lösen und mit einem einfachen Wischen von Fingern Ergebnisse liefern, die man früher nur durch jahrelange Arbeit erlangen konnte. Tatsächlich kratzen die meisten Applikationen nur an der Oberfläche.

Es wird gerne ein winziges Detail vergessen: Was leistet der Code ohne Anbindung per Internet an riesige Serverfarmen und Datenbanken, die man am Touchscreen gar nicht sieht? Apps sind nur eine Verschiebung der Tatsachen. Bleibt das Smartphone kühl, und hält der Akku sehr lange, dann geschieht die Magie eigentlich ganz woanders. Smart ist am Endgerät fast nichts, mangels verfügbarer Leistung.

Es geht um die Komplexität des Aufbaus einer Infrastruktur hinter der eigentlichen App,die man sieht. Ohne Wechselwirkung mit den großen Geschwistern in Rechenzentren reduzieren sich die Anwendungen auf dem Telefon in der Hand sehr schnell. Daten sind dann bei diesem Szenario nicht nur das Rohöl, sondern sie sind auch der Treibstoff der Digitalisierung. Der Antrieb funktioniert allerdings nicht so wie man glaubt. Die Endbenutzerinnen und Endbenutzer sind die Quelle des digitalen Goldes. Sie sitzen nicht am Steuer, sondern im Bohrloch.

Fehlendes Design bei der Sicherheit

Moderner Code kann nicht aus dem Nichts entstehen. Man muss bei der Entwicklung von Applikationen entweder auf existierendem Code aufbauen oder sich die Bibliotheken erst selbst schaffen. Selbst bei einem gemischten Aufbau vergehen mindestens Monate, um halbwegs zu einem getesteten Design zu kommen. Bei großem Druck auf die Fertigstellung nimmt die Softwareentwicklung gerne Abkürzungen. Erschwerend kommt hinzu, dass das Design bei den Fragestellungen des zu lösenden Problems beginnt und sich von Anfang an auf Features konzentriert. Die Implementation von sicherem Code und sicherem Design bleibt meist zurück. Im Bereich der Smart-Home-Geräte sieht man solche Entwicklungen sehr oft.

Ein oft vorgebrachtes Argument ist die kontrollierte Publikation von Applikationen über die App Stores der Hersteller. Natürlich verlaufen dort Prüfungen, jedoch kann eine Checkliste, die in weniger als einer Minute abläuft, kaum alle Sicherheitsschwächen oder gar Designfehler aufspüren. Im Anbetracht der Vielzahl der in den virtuellen Stores verfügbaren Programme wird zwangsläufig immer etwas unauffällig durchrutschen. Das Finden von Lücken und Bedrohungen ist viel zeitaufwendiger. Sicherheitsexpertinnen werden oft gefragt, ob ein bestimmtes Produkt sicher sei. Erwartet wird eine sofortige Antwort. Das ist nicht realistisch und funktioniert so nur in den eingangs erwähnten Drehbüchern.

Software als Maskerade

Versprechung und Realität liegen bei der Digitalisierung selten nah bei einander. Speziell über die österreichische Corona Tracing App wurde in den letzten Wochen viel diskutiert. Es ging primär um Bedenken beim Thema Datenschutz und die Sicherheit der App. Geht man mehrere Schritte zurück und hinterfragt die Güte der Daten, die diese App erheben soll, so ergibt sich ein völlig anderes Bild. Ross Anderson, ein britischer Informatiker der Universität Cambridge, hat in einem Artikel mit dem Titel „Contact Tracing in the Real World“ (publiziert im Blog „Light Blue Touchpaper“ des Informatikinstituts) die Genauigkeit der Plattform Smartphone analysiert. Sein Fazit: Die Entwicklung einer App binde mehr Ressourcen als der Nutzen einer solchen Anwendung aufwiegen kann.

Bruce Schneier, ein US-amerikanischer Experte für Kryptographie und Computersicherheit, schreibt in seinem Blog über die Auswirkungen der positiven und negativen Falschmeldungen einer Corona-App. Die Betrachtung dieses Aspekts alleine disqualifiziert die App schon für einen Einsatz in der echten Welt. Sicherheit und Datenschutz sind in dieser Betrachtung noch nicht eingegangen. Schneiers Artikel „Me on COVID-19 Contact Tracing Apps“ kann man online nachlesen.

Darüber hinaus ist ein Smartphone bei ansteckenden Krankheiten eine denkbar ungeeignete Plattform. Da GPS zu ungenau ist, versucht man Bluetooth für die Messungen von Präsenzen und Abstand zu verwenden. Auf den Geräten kommt Bluetooth LE (Low Energy) oft zum Einsatz, um die Laufzeit der Batterien zu verlängern. Die Messung der Signalstärke bei Bluetooth LE eignet sich aber maximal für eine passable Auflösung, wenn Personen durch massive bauliche Maßnahmen, wie beispielsweise Stahlbeton, getrennt sind. Materialien wie Holz, Gips oder dünner Stein ist für die Messung durchlässig.

Zusätzlich hat man mit Reflexionen zu kämpfen, die Richtung und Reichweite verfälschen. Laut Datenblättern der Chiphersteller schwankt die Empfangsleistung teilweise um den Faktor 100. Weiterhin ist Bluetooth LE als System mit einer einzigen Antenne konzipiert. Das bedeutet, dass sich die Richtung des Signals eigentlich nicht feststellen lässt. Dazu sind mehrere Antennen notwendig. Obendrein halten Personen ihr Smartphone gerne in verschiedenen Haltung, was eine weitere Unschärfe einführt. Die Lokalisierungsfehler im Labor sind damit schon so hoch, dass diese Technologie ausscheidet. Dabei wurden Szenarien wie öffentlicher Personennahverkehr, Geschäfte oder Lokale gar nicht betrachtet, geschweige denn das Gehen auf der Straße oder in engen Treppenhäusern (wo hinter jeder Tür Bluetooth-LE-Signale messbar sind). Auch die schon öffentlich erwähnten Schlüsselanhänger dürften der Sachlage keine wesentliche Verbesserung einräumen. Die Physik ist da sehr unbarmherzig.

Der Ausflug stellt klar: Software wird leider nicht mehr nur zur Lösung von Problemen eingesetzt. Gerne verwendet man sie zur Maskierung von offenen Fragen und zum Vortäuschen von Lösungen. Es ist eine Maskerade, die wir in vielen Bereichen der modernen Gesellschaft wiederfinden. Die Aufgabe von Sicherheitsexpertinnen und -experten ist es, diese Maskerade zu durchschauen. Ganz ohne die Verbreitung von Sars-Cov-2 wurde daher Anfang des Jahres „Maskerade“ als Motto für die im November stattfindende DeepSec In-Depth Security Konferenz gewählt. Bei der Informationssicherheit geht es immer um einen Blick hinter die Kulissen. Code muss dekonstruiert und analysiert werden. Softwarearchitektur muss hinterfragt werden. Schwächen im Design müssen aufgespürt werden.

Entzauberte Digitalisierung als Bauplan für Verbesserung

Die hier angeführten Argumente und Vorgehensweisen sind nicht eine Blaupause für die Verteuerung der Digitalisierung. Das erklärte Ziel der DeepSec Konferenz ist es, Menschen, die mit verschiedenen Aspekten der modernen Informationstechnologie betraut sind, an einen Tisch zu bringen und zum Austausch zu bewegen. Die erwähnten Ansätze für eine Corona-Tracing-App sind nur ein plakatives Beispiel. Sicherheitsexpertinnen und -experten mahnen regelmäßig, dass ein solides – sicheres – Design unablässig für Applikationen ist. Man ist daher gut beraten, die Fachwelt zu konsultieren, bevor man sich in eine Sackgasse redet.

Digitalisierung kann nur einen Fortschritt bringen, wenn der dahinter liegende Ansatz auch genau durchdacht ist. Jeder Gang ins Kino kann das leicht illustrieren: Kein Film mit schlechtem Drehbuch wird besser, wenn man ihn in Hochauflösung oder gar 3D dem Publikum zeigt. Man sieht dann leider nur ein teuer produziertes Fiasko – wie teilweise in der Softwareentwicklung. Die DeepSec Konferenz möchte daher trotz ihrem Motto keine Maskerade bieten, sondern allen Teilnehmerinnen und Teilnehmern die Chance geben, sich mit Fachpersonen auszutauschen. Es geht darum, hinter die Maske zu schauen und zu bewerten, was wirklich hinter einer Technologie steckt. Zu diesem Zweck werden auch Trainings angeboten, die in zwei Tagen hochkonzentriert Wissen zum Anfassen und Anwenden bieten. Die ersten Trainingseinheiten sind bereits online und können gebucht werden.

Nutzen Sie die Gelegenheit, bevor ihr Produkt versagt, noch bevor es auf dem Markt ist. Es sei darauf hingewiesen, dass dieser Satz ganz speziell für Entscheider abseits des Marktes gilt, die Unternehmen und Bürgerinnen sowie Bürger auf anderer Ebene digitalisieren möchten. Digitalisierung als Wort aufschreiben und ständig wiederholen, ist alleine zu wenig.

Programme und Buchung

Die DeepSec-2020-Konferenztage sind am 19. und 20. November. Die DeepSec-Trainings finden an den zwei vorangehenden Tagen, dem 17. und 18. November statt. Der Veranstaltungsort für die DeepSec-Veranstaltung ist das Hotel The Imperial Riding School Vienna – A Renaissance Hotel, Ungargasse 60, 1030 Wien.

Tickets für die DeepSec Konferenz selbst und die Trainings können Sie jederzeit unter dem Link https://deepsec.net/register.html bestellen.

Quellen der zitierten Artikel von Ross Anderson und Bruce Schneier: https://www.lightbluetouchpaper.org/2020/04/12/contact-tracing-in-the-real-world/ https://www.schneier.com/blog/archives/2020/05/me_on_covad-19_.html

(Ende)

Aussender: DeepSec GmbH Ansprechpartner: René Pfeiffer Tel.: +43 676 5626390 E-Mail: deepsec@deepsec.net Website: deepsec.net/