Open Source als Lösung für alles

Liebe Lage,

ich musste ein wenig schmunzeln über die Begeisterung, mit welcher ihr davon ausgeht, die Open Source Lösung der Corona App ist eeine Blaupause für alle öffentlich Aufträge.

Genau so blauäugig sind die meisten öffentlichen Ausschreibungen unserer Kunden zu Beginn auch aufgebaut.
Wenn man den Kunden in der Verhandlung dann erklärt, dass wir natürlich gerne alles neu Programmieren können, gerne auf bestehende proprietäre Lösungen verzichten und sie dann eben natürlich auf die bestehenden technischen Lösungen nicht zugreifen können, das Ganze 3x teurer und 5x länger dauert, ebbt die Begeisterung meistens ab.

Ja, es gibt Konstellation, bei denen das alles Sinn macht: ganz neue Anforderungen in der Leistung die eh neu programmiert werden müssen, keine schutzwürdige IP vom Anbieter oder Drittherstellern, hohes Transparenzinteresse oder Kontrollmöglichkeit durch die Öffentlichkeit etc.

Das hat für die Corona App sicher Sinn gemacht, für die durchschnittliche Firma, die eine gute Software entwickelt hat und davon lebt, dieses über Jahre erworbene Code gewordenes Know-How zu vermarkten, macht es keinen Sinn dies der Allgemeinheit kostenlos zur Verfügung zu stellen. Sicher gibt es auch OSS Business Modelle, die funktionieren, diese aber als den Standard zu setzten, würde wohl in vielen Fällen wirtschaftlich nicht funktionieren.

VG

Für den Staat macht es aber sehr wohl Sinn, ausschließlich auf Open Source zu setzen, weil er so Lock-In-Effekte vermeiden kann und längerfristig günstiger fährt. Außerdem sind die meisten Anwendungen für viele Behörden interessant, so dass der initiale Aufwand den Steuerzahler nur einmal belastet.

Wichtig ist dabei auch, dass zwischen Komponenten klare Schnittstellen definiert werden und diese an verschiedene Unternehmen vergeben werden.

Es ist klar, dass Unternehmen erstmal ihre proprietären Lösungen verkaufen wollen und die Preise entsprechend festsetzen, aber da muss der Staat eben hart bleiben und auf Open Source bestehen.

Bei mir war es im Prinzip immer andersrum: die Projekte greifen links und rechts auf bestehende freie Software zurück und nur das Resultat wird verproprietärt.

Und mit dem Kunden muss man dann immer diskutieren, weil er auf Biegen und Brechen keine GPL-Software drinhaben möchte, weil das Resultat auf keinen Fall offen gelegt werden soll. Da müssen dann bestehende GPL-Lösungen durch eigene doppelte Arbeit nachgebaut werden, wenn es keine relevanten permissive-Lösungen gibt.

Die vom Kunden herbeifabulierte „schützenswerte IP“ ist normalerweise lächerlich und dünn. Und das Geschäftsmodell des basiert eh darauf, ein voll integrietes Komplettpaket mit Support und Garantie zu vermarkten, da würde es keine Abbruch tun, Kernkomponeten zu veröffentlichen, bzw. Erweiterungen zu bestehenden freien Lösungen diesen Projekten wieder zukommen zu lassen.

Ich würde dem zustimmen und noch anfügen, dass das, was in den meisten Fällen geschützt werden will, eher sich als Abfall des eigentlichen Geschäfts ergebende Geschäftsgeheimnisse sind als echte IP im Sinne von etwas, das Menschen in langer Arbeit aufwendig entwickelt haben. Ich meine so Zeug wie Zulieferernamen, Einkaufspreise, Geschäftsprozesse (die meist auch nicht besonders „toll“ sind, sondern historisch gewachsene Geschwüre, die eh niemand anders so übernehmen wollen würde, weil jeder Konkurrent was mindestens ebenso hässliches und kompliziertes am Start hat, das er für das gelbe vom Ei hält).

Das spielt aber bei öffentlichen Projekten in aller Regel keine sonderliche Rolle - daher ist dort in der Tat die Open-Source-Option grundsätzlich realistischer.

Warum hat man die Wissenschaft eigentlich nicht stärker in die Entwicklung eingebunden? Unter anderem wird an der Uni Würzburg z. B. auch eine App entwickelt, siehe Testphase für neue Corona-Tracing-App beginnt.

Warum hat man die Wissenschaft eigentlich nicht stärker in die Entwicklung eingebunden?

Im Prinzip passierte genau das. Die Gruppe PEPP-PT um KI-Unternehmer Chris Boos, MItglied im Digitalrat, initiierte die Zusammenarbeit zwischen einigen Universitäten (und Unternehmen, von denen man niemals was mitbekam).
Daraus entstand auch das dezentrale Protokoll DP3T, was auch vom Chaos Computer Club und anderen hoch gelobt wurde.
Am Anfang wurde auf der Webseite von PEPP-PT kommuniziert, dass DP3T der favourisierte Ansatz ist. Dann wurde dieser Zusatz kommentarlos fallengelassen und auch sonst war die Kommunikation von PEPP-PT sehr dürftig.
Daraufhin gab es dann den Shitstorm, weil auch immer fragwürdiger wurde, ob 1) PEPP-PT die geeignete Initiative ist und 2) warum PEPP-PT einen zentralen Ansatz verfolgt (Anfänglich hies es, dass man offen sei für beide Lösungen, aber komischerweise haben Boos und Spahn immer nur von einer zentralen Lösung geredet), wobei immer klarer wurde, das der dezentrale Ansatz überlegener ist - außer halt, wenn man eine KI-Firma hat, die beim zentralen Ansatz Daten analysieren will… DP3T hat dann weitergemacht wie bisher. (Richtigstellung: Hier wurde keine Zeit verloren! Neben der Arbeit am Protokoll haben die Forscher sich halt noch von PEPP-PT distanziert, aber die Arbeit an DP3T ging weiter, sogar fokusierter, da mehr Mitarbeiter und mehr fachliche Kritik am Ansatz.) DP3T ist heute das Protokoll, auf dem das Protokoll von Google/Apple und damit auch das der Corona-App der Bundesregierung basieren, ein voller Erfolg also.

Google und Apple haben unter Hochdruck daran gearbeitet, ein gegenseitig verständliches Protokoll zu erarbeiten sowie die Apps tief im Betriebssystem zu verankern (bspw. damit die im Hintergrund laufen). Auch hier wurde keine Zeit verloren, und zum Glück haben sich Google und Apple geweigert, eine zentrale Lösung technisch zu unterstützen. (Etwas kurios war das Statement, dass man sich SAP und T-Systems als Partner geholt habe, „weil die mit Google und Apple auf Augenhöhe verhandeln können“. Erstens gab es nichts zu verhandeln und zweitens ist es äußerst schwierig, die beiden zu irgendwas zu zwingen - wird mal höchste Zeit für ein europäisches Smartphone und Betriebssystem, so am Rande.)

SAP und T-Systems braucht man, um die Infrastruktur hier aufzusetzen und die App an die rechtlichen Gegebenheiten in Deutschland anzupassen. Mit <=60 Millionen Euro ist das sogar ein recht schlankes IT-Projekt, und dass es open soruce ist, ist ein Meilenstein und Hoffnungsschimmer in der Digitalisierung.

Was mich unglaublich ärgert, ist, dass die Testlabore noch nicht richtig eingebunden sind. Das ist der eine Flaschenhals, der schon von Anfang an klar war und nicht rein technisch zu lösen ist. Der einzige Faktor, wo Zeit wirklich eine Rolle gespielt hat.

=================================================================

Kurzzusammenfassung: Die Wissenschaftler wurden eingebunden, haben ihren Job gemacht (inklusive sich gegen eine unnötig risikoreiche zentrale Lösung zu stemmen), Google/Apple haben ihren Job gemacht und SAP und T-Systems ebenso.

Besten Dank für die Einordnung, sehr weiterführend!

Gerne, freut mich! Kleiner Disclaimer: Das ist relativ gefärbt, weil ich jemand war, der Öffentlichkeitsarbeit gegen PEPP-PT gemacht hat. Ich stehe aber auch immer noch dazu, dass es sich hier absolut nicht um „Beide Seiten haben sicher irgendwie Recht“ handelt, sondern um „Eine äußerst fragwürdige Entwicklung wurde aufgehalten“. Spannend ist in dem Zusammenhang die hier wieder sichtbare Tendenz der CDU, bei öffentlichen Lösungen lieber mehr als weniger Daten zu sammeln: Digitaloffensive: CDU will das Prinzip Datensparsamkeit endgültig entsorgen | heise online Und natürlich wird sich immer ein Unternehmer aus dem Bereich BigData/Künstliche Intelligenz finden, der das auch ganz toll findet.

Hier muss man aufpassen, dass man Narrativen hinterfragt: Beim zentralen Ansatz wurde immer wieder von Unmengen an nützlichen Daten für die Forschung und besserer Anpassbarkeit an die Epidemie geschwärmt. Ich wette: Am Beispiel Frankreich wird sich zeigen, dass das nur ein Vorwand war.

In dem oben verlinkten Artikel wurde es auch schon angesprochen, wie schaut es mit der Schnittstelle und dem Datenschutz aus?

Bin auf dieses Paper gestoßen: Mind the GAP: Security & Privacy Risks of Contact Tracing Apps

Zusammenfassung der Autor*innen: “ Contact tracing apps running on mobile devices promise to reduce the manual effort required for identifying infection chains and to increase the tracing accuracy in the presence of COVID-19. Several contract tracing apps have been proposed or deployed in practice. Also Google and Apple have announced their joint effort of providing an API for exposure notification in order to implement decentralized contract tracing apps using Bluetooth Low Energy, the so-called „Google/Apple Proposal“, which we abbreviate by „GAP“. Some countries have already decided or are planning to base their contact tracing apps on GAP. Several researchers have pointed out potential privacy and security risks related to most of the contact tracing approaches proposed until now, including those that claim privacy protection and are based on GAP. This report makes a first attempt towards providing empirical evidence in real-world scenarios for two such risks discussed in the literature: one concerning privacy, and the other one concerning security. In particular, we focus on a practical analysis of GAP, given that it is the foundation of several tracing apps. We demonstrate that in real-world scenarios the current GAP design is vulnerable to (i) profiling and possibly de-anonymizing infected persons, and (ii) relay-based wormhole attacks that principally can generate fake contacts with the potential of significantly affecting the accuracy of an app-based contact tracing system. For both types of attack, we have built tools that can be easily used on mobile phones or Raspberry Pis (e.g., Bluetooth sniffers). We hope that our findings provide valuable input in the process of testing and certifying contact tracing apps, e.g., as planned for the German Corona-Warn-App, ultimately guiding improvements for secure and privacy-preserving design and implementation of digital contact tracing systems.”

Tut mir leid, dass ich jetzt erst antworte - ich habe auch nicht viel Zeit und mache es daher kurz: Als Informatiker, der aber nicht beruflich im Bereich Datenschutz unterwegs ist, halte ich DP3T und GAP für eine gute Sache, was Sicherheit anbelangt. Allerdings hat jedes System Lücken, so auch DP3T. Hier machen Forscher ihre Arbeit: Lücken suchen und schließen. Ich habe allerdings keine Zeit, um zu evaluieren, wie gut umsetzbar die beschriebenen Angriffe sind.

Nur soviel: Ein Angriffszenario wird es bei Contact-Tracing immer geben, egal, ob ein dezentraler oder zentraler Ansatz eingesetzt wird. Nehmen wir an, Bob will mitbekommen, wenn seine Nachbarin Allice Corona hat. Dazu laden sich beide vorbildlicherweise die App runter. Allerdings hat Bob ein Zweithandy, auch wieder mit App drauf. Dieses Zweithandy nimmt er nur mit, wenn er zu Alice geht zum Kuchenessen. Wenn dieses Zweithandy gewarnt wird, dass es Kontakt mit einer infizierten Person gab, dann weis Bob, dass Alice positiv auf Corona getestet wurde.

Dieses Szenario gibt es in verschiedensten Varianten und unterschiedlich bedrohlich, die von mir beschriebene Variante ist aber fast nicht aufzuhalten. Allerdings muss ich einschränken: Wer im echten Leben wirklich herausfinden will, ob jemand eine Corona-Diagnose hat, der wird dies vermutlich auch auf anderen Wegen herausfinden.