E-mail senden E-Mail Adresse kopieren

2024-09-18
Felix Koltermann

Unterstützung örtlicher Gesundheitsbehörden im Umgang mit zukünftigen Pandemien

Die Coronavirus-Pandemie hat der Welt schmerzhaft die Gefahren globaler Pandemien vor Augen geführt. Seit Juli 2022 ist das CISPA Helmholtz-Zentrum für Informationssicherheit an einem Projekt beteiligt, das die Entwicklung eines lokalen Frühwarnsystems zur Kontrolle von Infektionsausbrüchen zum Ziel hat. Das Projekt mit dem Namen LOKI-Pandemics findet unter der Leitung des Helmholtz-Zentrums für Infektionsforschung (HZI) statt. Über den Beitrag des CISPA zum Projekt haben wir mit CISPA-Faculty Prof. Dr. Cas Cremers gesprochen.

Cas, wie waren deine persönlichen Erfahrungen mit der COVID-19-Pandemie.

Für mich war es eine sehr stressige Zeit. Nicht nur wegen der Pandemie, die jeder miterlebt hat, sondern auch, weil ich Teil des DP3T*-Teams war. Wir haben versucht, eine datenschutzgerechte Lösung für die Kontaktverfolgung zu finden. Um das zu schaffen, habe ich während der Pandemie mehrere Wochen lang Tag und Nacht und an den Wochenenden gearbeitet. Und dann habe ich noch eine ganze Weile an der „Corona-Warn-App“ mitgearbeitet. Für mich war das war eine sehr intensive Zeit. Wir haben versucht aus Perspektive der Cybersicherheit zu helfen, wo immer wir konnten.

Inwiefern wurde deine Forschung durch die Pandemie beeinflusst?

Als ich angefangen, mich mit dem Thema zu beschäftigen, wusste niemand so genau, was passieren würde oder was die Auswirkungen sein würden, da das biologische und medizinische Wissen noch sehr begrenzt war. Als Sicherheitsforscher sahen wir uns vor allem damit konfrontiert, dass es Leute gab, die alles Mögliche vorschlugen, wodurch die Standortdaten der Bürger an Regierungen und App-Anbieter weitergegeben worden wären. Die Argumentation war, dass dies unvermeidlich sei. Wir wollten zeigen, dass wir dasselbe tun können, ohne all diese Daten preiszugeben. Wir dachten, das wir das zumindest theoretisch beweisen können. Dafür mussten wir sehr schnell arbeiten, was es sehr stressig gemacht hat. Denn es bestand das Risiko, dass ein großer Anbieter übernehmen würde, wenn wir dieses Projekt nicht innerhalb eines Monats abschließen, oder zumindest zeigen würden, dass es machbar ist. Dann wäre die Privatsphäre der Daten im Grunde genommen verloren gewesen.

Du bist jetzt an einem Projekt namens LOKI-Pandemics beteiligt. Was ist das Ziel dieses Projekts?

Ziel des Projekts ist es, den örtlichen Gesundheitsbehörden, der Öffentlichkeit und den Entscheidungsträgern in Deutschland eine Software zur Verfügung zu stellen, die ihnen bei der Bewältigung künftiger Pandemien hilft, die einen ähnlichen Verbreitungsmechanismus haben, wie wir es bei der COVID-19-Pandemie gesehen haben, wie z. B. physischen Kontakt oder räumliche Nähe. Wir wollen dies unter Wahrung der Privatsphäre und unter lokaler Speicherung der Daten tun. Das ist das L in LOKI, dass die Daten lokal auf der Ebene der lokalen Gesundheitsbehörde bearbeitet werden, wir aber dennoch Modellierung, Analyse und alle Arten von Algorithmen anbieten können, um daraus Daten zu extrahieren. Teil von LOKI ist eine grafische Benutzeroberfläche in Form einer Webanwendung namens ESID (Epidemiological Scenarios for Infectious Diseases). Sie ermöglicht es den Benutzern, die Auswirkungen verschiedener Szenarien auf die vorhergesagten Infektionsraten zu sehen, und soll die Entscheidungsfindung unterstützen.

Sind lokale Gesundheitsbehörden als Projektpartner beteiligt, und wenn ja, warum ist das wichtig?

Es gab in der Vergangenheit schon ähnliche Projekte, die gescheitert sind. Ein Grund für das Scheitern solcher Projekte ist, dass man viel Austausch mit den lokalen Gesundheitsbehörden braucht, um zu verstehen, was sie tatsächlich benötigen oder was sie bereit wären zu tun. Sie müssen ihren Beitrag leisten und es muss eine Plattform geben, die sie verstehen können. Die Hardware und die Systeme, die die örtlichen Gesundheitsbehörden in Deutschland verwenden, sind sehr unterschiedlich. Es gibt keine einheitliche Software, die von allen genutzt wird.

Wir stehen mit einer Reihe von örtlichen Gesundheitsbehörden in Kontakt, um einige kleine Pilotprojekte durchzuführen, bei denen wir versuchen, sie in der Nutzung der von uns bisher entwickelten Software zu schulen. Außerdem holen wir ihre Meinung dazu ein, was sie sonst noch benötigen und welche Daten sie vor Ort bereitstellen können und wollen. Das Problem ist, dass sie bereits überlastet sind. Wenn man zu ihnen sagt „Macht diesen zusätzlichen Schritt und versorgt bitte die Software täglich mit Daten“, müssen sie sehen, dass sie im Gegenzug etwas Sinnvolles zurückbekommen. Ansonsten werden sie es nicht machen.

LOKI-Pandemics ist ein Projekt, das hauptsächlich den Gesundheitssektor betrifft. Welche Dimensionen hat das Projekt in Bezug auf Datenschutz und Cybersicherheit?

Letztendlich haben wir es mit Daten zu tun, die von Krankheitsfällen stammen. Damit handelt sich um Daten, die in Bezug auf den Datenschutz sehr sensibel sind, da sie von den örtlichen Gesundheitsbehörden stammen. Idealerweise würden wir gerne etwas mehr über diese Fälle erfahren. Zum Beispiel, wie alt die Menschen sind, bei denen Infektionen auftreten, zu welchem Teil der Bevölkerung sie gehören und so weiter. Es gibt viele Faktoren, die sich auf die Modelle auswirken könnten, die wir für Vorhersagen verwenden. Und man kann sich vorstellen, dass man bestimmte Dinge sehr genau vorhersagen könnte, wenn man auf all diese Daten in ganz Deutschland in sehr detaillierter Weise zugreifen könnte. Aber das ist wiederum sehr schlecht für den Datenschutz. Abstrahiert man die Daten andererseits zu sehr und sagt „Diese lokale Gesundheitsbehörde hatte heute hundert Fälle“, ist es sehr schwierig, Vorhersagen zu treffen, weil man zu viele Informationen weggelassen hat.

Die Herausforderung besteht darin, einen vernünftigen Mittelweg zu finden: Beispielsweise, indem man Techniken wie die Differential Privacy anwendet, die immer noch das gewünschte Maß an Modellierung ermöglichen und zu vernünftigen Ergebnissen führen, aber ohne zu viele private Informationen preiszugeben. Das ist ein wichtiger Aspekt. Und es gibt einen zweiten Aspekt, nämlich dass am Ende einige Endergebnisse an eine zentrale Stelle übermittelt werden müssen, nachdem einige Privatsphäre-Maßnahmen ergriffen wurden. Es geht also um Sicherheitsmechanismen, wenn Informationen an einen zentralen Server übermittelt werden, auf dem das Endergebnis einer Prognose gespeichert wird, und auch um die Verteilung dieser Informationen an die einzelnen lokalen Gesundheitsbehörden.

Das Projekt richtet sich an die lokalen Gesundheitsbehörden in Deutschland. Könnte die von Euch entwickelte Lösung auch in anderen Ländern funktionieren?

Obwohl das System speziell für die lokalen Gesundheitsbehörden in Deutschland entwickelt wurde, denke ich, dass die meisten darin enthaltenen Elemente allgemein anwendbar sind. Dahinter stehen allgemeine Überlegungen dazu, wie man lokal erhobene Daten mithilfe von Techniken zum Schutz der Privatsphäre und zur Anonymisierung nutzen kann, bevor man sie aggregiert oder für Modellierungen verwendet. Und es gibt noch einen weiteren Aspekt, der kein Sicherheitselement ist und den ich noch nicht angesprochen habe. Zur Verbesserung der Vorhersagen setzen wir Simulationen und andere Techniken ein, die keine privaten Daten verwenden. Ich denke, dass all diese Techniken mit vielleicht geringfügigen Änderungen auch anderweitig eingesetzt werden könnten.

Mit Blick auf das Ende des Projekts: Was muss geschehen, damit das Projekt in deinen Augen erfolgreich ist?

Wenn es darum geht, den lokalen Gesundheitsbehörden etwas anzubieten, ist der Maßstab für echten Erfolg, ob diese das Projekt nutzen. Das ist jedoch eine Herausforderung, die weit über das aktuelle Projekt hinausgeht. Denn es erfordert eine Finanzierung über die unmittelbare Projektlaufzeit hinaus für Wartung, Support, usw. Ein Projekt dieser Art braucht Kontinuität und langfristige Unterstützung. Betrachten wir also Erfolg im Hinblick auf die größeren Ziele des LOKI-Projekts, ist es nur dann erfolgreich, wenn wir noch einige Jahre daran weiterarbeiten und es weiterentwickeln können. Was diese Ziele angeht, so geht dies jedoch weit über den Rahmen des derzeit finanzierten LOKI-Projekts hinaus. Das kleinere Ziel ist, eine Plattform zu entwickeln und deren Machbarkeit zu zeigen. Ich bin zufrieden, wenn wir bei LOKI das kleinere Ziel erreichen und es so weit bringen, dass ein Folgeprojekt die nächste Stufe erreichen kann.

Was sind die wichtigsten Erkenntnisse aus der COVID-19-Pandemie für deine Forschung?

Ich denke, es ist schwer zu sagen, wie zukünftige Pandemien aussehen könnten, da sie sich in Form, Ausprägung und Verhalten stark von der COVID-19-Pandemie unterscheiden können. Aber was wir gelernt haben, ist, dass die IT-Infrastruktur in vielen Ländern in einem sehr schlechten Zustand ist. Viele Dinge können wir zwar technisch lösen, aber die lokalen Gesundheitsbehörden verfügen nicht über die dafür notwendige Infrastruktur. Das gilt für Deutschland, aber auch für andere Länder. Ich denke, dass wir in dieser Hinsicht nicht die Fortschritte gemacht haben, die wir uns wünschen würden. Das ist meine ehrliche Meinung. Wir wären besser auf die nächste Pandemie vorbereitet, wenn wir eine viel bessere und konsistentere IT-Infrastruktur hätten. Von der technischen Seite her sind wir jetzt besser darauf vorbereitet, bestimmte Dinge auf eine Weise zu liefern, die die Privatsphäre schützt. Hier hat es immense Fortschritte gegeben. Wobei die wichtigsten Fortschritte zweifellos auf medizinischer Seite zu verzeichnen sind, wie wir an der neuen Art von Medikamenten gesehen haben.

Cas, vielen Dank, dass du dir die Zeit für dieses Gespräch genommen hast.

* DP3T ist die Abkürzung für „Decentralized Privacy-Preserving Proximity Tracing“ (dezentrale, datenschutzfreundliche Kontaktverfolgung).