"Die Technologie ist perfekt für diese Anwendung", sagt Slawomir Jasek. Der bärtige IT-Sicherheitsforscher sitzt im Homeoffice südlich von Krakau und zählt auf, warum er glaubt, dass BLE der Menschheit derzeit helfen könnte. "BLE ist anonym genug, es ist in jedem Telefon verbaut, es muss nicht aufwendig eine Verbindung aufgebaut werden, es braucht nicht viel Batterie, es funktioniert einfach." Jasek beschäftigt sich seit Jahren beruflich mit dem Standard, er berät zum Beispiel Hersteller von per Smartphone zu öffnenden Türschlössern, die Bluetooth Low Energy (BLE) verwenden wollen.
Bis vor wenigen Wochen wusste nur eine kleine Gemeinde von Entwicklern, Hackern, und IT-Sicherheits-Spezialisten wie Jasek, was es mit BLE auf sich hat. Heute tüfteln mehrere Forscherteams renommierter Universitäten mit staatlicher Hilfe sowie Entwickler von Google und Apple an BLE-Apps. Diese Tracing-Apps gelten als wichtiger Baustein in den Strategien gegen Covid-19. Funktioniert die Nachverfolgung der Kontakte von Infizierten über BLE, könnten die Ausgangsbeschränkungen in den USA und Europa aufgehoben werden. Die Bundeskanzlerin sprach am Mittwoch von der Hoffnung, dass eine App - neben manuellem Tracing - dabei helfen könne, in Italien ist man schon weiter. Der Beauftragte der Regierung für die Coronakrise, Domenico Arcuri, sagte am Donnerstagabend im italienischen Fernsehen, dass man eine solche App bereits in einigen Regionen teste.
Alle Meldungen zur aktuellen Lage in Deutschland und weltweit sowie die wichtigsten Nachrichten des Tages - zweimal täglich im SZ am Morgen und SZ am Abend. Unser Newsletter bringt Sie auf den neuesten Stand. Kostenlose Anmeldung: sz.de/morgenabend. In unserer Nachrichten-App (hier herunterladen) können Sie den Nachrichten-Newsletter oder Eilmeldungen auch als Push-Nachricht abonnieren.
Der Name Bluetooth Low Energy ist ein bisschen irreführend. BLE hat mit jenem Bluetooth wenig zu tun, mit dem sich etwa Handys mit Lautsprechern verbinden lassen. Bluetooth kann auch nicht mit BLE kommunizieren. Der Standard nutzt nur eine ähnliche Technologie und wurde 2009 eingeführt. 2011 kam das iPhone 4S auf den Markt, das erste Mobiltelefon, das BLE unterstützte.
Über Bluetooth LE können Daten drahtlos übertragen werden. Dafür nutzt die Technik die Funkfrequenzbänder zwischen 2,4 und 2,485 Ghz. Der einfache Grund für diese Wahl: Wer hier funken will, braucht keine Lizenz, es ist sozusagen der Wilde Westen der Frequenzbereiche. Entsprechend viel los ist auf diesen Frequenzen. Mikrowellen, Wlan, Garagentoröffner tummeln sich hier nebeneinander. Der größte Unterschied zwischen BLE und Bluetooth Classic, wie das Original mittlerweile genannt wird, ist der Energieverbrauch. Während Bluetooth merklich den Ladestand mobiler Geräte beeinflusst, kann ein BLE-Gerät mit einer Knopfzelle als Energiequelle Monate oder gar Jahre betrieben werden. Natürlich können dadurch auch weniger Daten übertragen werden und das - je nach Signalstärke - auch nur über kürzere Distanz. Genau das ist im Fall der neuen Anwendung im Kampf gegen die Verbreitung des neuartigen Coronavirus eher ein Vorteil.
Ein Vorreiter in der Nutzung von BLE ist Apple
Alexander Heinrich ist wissenschaftlicher Mitarbeiter am Institut für die Sicherheit von Mobilgeräten in Darmstadt (SEEMOO) und gehört zum sehr überschaubaren Kreis von BLE-Experten in Deutschland. Heinrich beschäftigte sich bisher vor allem mit einem Thema: Wieso können Apple-Nutzer eine Nachricht auf iPhone anfangen und Sekunden später nahtlos auf dem Macbook weiterschreiben? Woher weiß das Macbook so schnell darüber Bescheid? Die Antwort: Bluetooth Low Energy. Alle Apple-Geräte verschicken konstant sogenannte Beacons, kleine Dateien mit wenigen, aber entscheidenden Informationen, an andere Apple-Gadgets. So weiß das Handy, dass die Watch gerade einen Termin bearbeitet hat, und das Macbook, was gerade auf dem iPhone in die Zwischenablage kopiert wurde.
Das klingt erst einmal unheimlich (laut jedoch Heinrich sicher, weil die Daten verschlüsselt weitergegeben werden) - aber praktisch. Bei Apple firmiert der gesamte Prozess unter dem Namen "Continuity". Nutzer sollen möglichst wenige Reibungsverluste erleben, wenn sie zwischen Geräten hin und herwechseln.
Dieselben Beacons, die Apple-Geräte ständig hin und herschicken, sollen nun westlichen Staaten die Rückkehr zu einer Art Normalität erlauben. Sie sollen die Grundlage von Tracing-Apps sein. Tracing, nicht Tracking: im Gegensatz zu Tracking-Apps, die bereits in Südkorea, Israel oder Polen genutzt werden, soll beim Tracing der Standort von Menschen nicht getrackt werden. Stattdessen soll Software nur erfassen, welche Geräte sich wie lange so nah waren, dass ihre Nutzer einem Ansteckungsrisiko mit dem Virus ausgesetzt waren. Wird einer von ihnen im Nachhinein positiv auf das Virus getestet, alarmiert die App alle anderen Nutzer der App, die ihm nah waren.
Gesundheitsorganisationen wie die WHO haben festgelegt, dass dieses Ansteckungsrisiko besteht, wenn sich Menschen 15 Minuten lang in einer Entfernung von ein bis zwei Metern in der Umgebung eines Corona-positiven Mitmenschen befinden. BLE-Technik hat zumindest das Potenzial, genau das herauszufinden. Dazu verschicken alle Geräte, die eine App für das Corona-Tracing installiert haben, konstant die kleinen Beacon-Nachrichten mit einer ID, die von anderen in der Nähe befindlichen Geräten mit der App gespeichert werden. Bei Apples Continuity-Programm werden jede Sekunde zwei Beacons verschickt, sagt Heinrich, das sei aber noch vergleichsweise wenig. Die Dauer eines Kontakts sei also sehr zuverlässig nachweisbar - so lange ein Telefon Beacons empfängt, war es in der Nähe.
Problematisch ist bislang die Entfernungsmessung
Schwieriger ist es bei der Entfernung zwischen zwei Gerätebesitzern. Vielerorts war zu lesen, dass die Technologie eine Entfernung von zwei Metern gut erkennen. Das hält Bluetooth-Experte Heinrich für viel zu optimistisch. "Das mit der Entfernung funktioniert nicht wirklich gut." Sein Institut hat mit Entwicklern einer der Apps aus der Schweiz und italienischen Forschern lange über diese Frage nachgedacht. Grund für die Probleme bei der Distanzmessung sei die große Zahl an verschiedenen derzeit genutzten iPhone-Versionen, aber vor allem den unzähligen Android-Modellen, in denen wiederum verschiedene Antennen verbaut sind. Die Signalstärke eines empfangenen Pakets gebe deshalb nur sehr bedingt Aufschluss über die tatsächliche Entfernung des Absenders. Auch ob die Handys in der Hosentasche sind oder in der Hand gehalten werden, habe Einfluss auf die Stärke der Signale. Die Forscher kamen zu dem Schluss: Realistisch betrachtet kann die Entfernung, über die Tracing-Apps IDs austauschen, bis zu acht Metern betragen.
Das würde dazu führen, das Nutzer vergleichsweise häufig auf Risikokontakte hingewiesen werden, die tatsächlich ungefährlich waren, weil sie zu weit weg oder hinter einer Wand standen. Die Folge: Menschen würden von den vielen Warnhinweisen möglicherweise genervt und würden sie weniger ernst nehmen. Aufforderungen, sich testen zu lassen oder in Quarantäne zu gehen, würden ignoriert.
Damit die Entfernungsmessung noch besser wird, müssten Tracing-Apps genauer kalibriert werden. In Berlin wurden Soldaten der Bundeswehr dafür eingesetzt. Für das Projekt "Pepp-PT" testeten sie die Empfangsstärken mit BLE-Geräten empfangenen IDs. Die Ergebnisse wurden wiederum verwendet, um die Signalstärke anzupassen, mit der Pakete von der App verschickt werden. Die Bundesregierung bevorzugt laut ihren Corona-Beschlüssen vom Mittwoch derzeit offenbar Pepp-PT für die deutsche App-Version.
Eine Gruppe von Forschern der ETH Zürich und der EPFL Lausanne versucht in ihrem Projekt "DP3T", Entfernungsmessung auf andere Weise zu verbessern. Ihre App teilt die Pakete, die verschickt werden, in mehrere Teilpakete auf. Nur wenn ein Empfänger genügend Pakete empfangen hat, wird daraus eine ID zusammengesetzt, über die man später als möglicher Risikokontakt identifiziert werden kann. Denn der Austausch der IDs kann scheitern, wenn auf dem Weg Pakete verloren gehen, weil sich zwischen den Empfängern etwa eine Wand befindet, zu viele andere Signale die Übertragung stören, oder die Entfernung schlicht zu groß ist. Aber auch diese Lösung ist noch nicht perfekt, gibt Carmela Troncoso zu. Die Spanierin ist Professorin für Datensicherheit an der EPFL und arbeitet seit Wochen an dem Projekt für eine Tracing-App, die auch die Privatsphäre der Nutzer schützt.
Die Beteiligung von Google und Apple sehen Forscher als Chance
Dass sich nun selbst Google und Apple in die Entwicklung einer Tracing-Anwendung einschalten, sieht Troncoso positiv. "Ich hätte nie geglaubt, dass ich das sage, aber ich glaube, das ist eine gute Sache", sagt sie in einem Chat über Zoom. "Weil Google und Apple eigentlich nicht als die großen Verteidiger der Privatsphäre bekannt sind." Aber dieses Mal freut sie sich über die Beteiligung der Konzerne. Schon allein, weil die Apps ohne Apples Mitwirkung in deren Ökosystem nicht funktioniert hätten. Und Google könnte die Technologie dank seinem Marktanteil auf einen Schlag für sehr viele Telefone verfügbar machen. Auch für die Kalibrierung der Signalstärken für Android-Telefone kann das Wissen von Google nützlich sein.
Und was ist mit der Sicherheit vor Hackern? BLE-Experte Slawomir Jasek winkt ab. Missbrauchspotential liege vor allem bei den Gesundheitsbehörden der Staaten, die gerade die zugehörigen Apps entwickeln, und die wie etwa Singapur die App mit der Telefonnummer der Nutzer verbinden könnten. Bluetooth sei nicht die sicherste Technologie der Welt gegen Hackerangriffe, deshalb wird von IT-Sicherheitsexperten auch oft darauf hingewiesen, Bluetooth standardmäßig auszuschalten. Doch das sei kein Problem der Tracing-Apps, über die ja nur weitestgehend anonyme IDs verschickt werden. Nutzer würden also durch Tracing-Apps nicht angreifbarer, als sie ohnehin schon sind, zumal die meisten Bluetooth für drahtlose Kopfhörer oder ähnliches ohnehin standardmäßig eingeschaltet hätten.
Das aktuell größte Risiko für den Erfolg von des Coronavirus-Tracings per App sieht er ohnehin nicht in der Technologie selbst, sondern in der Akzeptanz. Wenn die Menschen der Anwendung nicht trauen, dann werden sie sie nicht freiwillig herunterladen.
Einem Bericht der Financial Times zufolge befürchten einige Experten zudem, dass weltweit bis zu zwei Milliarden Menschen entsprechende Apps gar nicht nutzen können: Die Chips, die BLE ermöglichen, seien in ihren alten Handys noch gar nicht verbaut worden. In Deutschland dürften aufgrund der Verbreitung moderner Geträte aber relativ viele Menschen die Technik nutzen können.
