Vor gut einer Woche (am 16.06.2020) wurde die Corona Warn-App veröffentlicht. Sie soll einen Beitrag zur Unterbrechung von Infektionsketten leisten. Wir geben eine Zusammenfassung der Ereignisse, schauen uns die Funktionsweise der App an, vergleichen sie mit der App Frankreichs und stellen dar, wie die App aufgenommen worden ist.
Was bisher geschah
Die Corona Warn-App entstand als Gemeinschaftsprojekt im Auftrag der Bundesregierung und wird vom Robert-Koch-Institut (RKI) herausgegeben. Die Entwicklung wurde von SAP geleitet, die Infrastruktur dahinter fällt in den Tätigkeitsbereich von T-Systems (Telekom). Dem Projekt stand und stehen das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Heinrich Hertz-Institut (HHI) und das Helmholtz-Zentrum für Informationssicherheit (CISPA) beratend zur Seite. Die Entwicklung der Corona Warn-App kostete den Bund rund 20 Millionen Euro. Die Server und die Hotlines kosten den Bund etwa 2,5 bis 3,5 Millionen Euro monatlich.
Nach längerer Debatte über das Konzept wurde das Projekt innerhalb von wenigen Wochen (etwa 50 Tage) fertig gestellt. Das ist zwar beeindruckend, aber letztlich einige Wochen nachdem andere Länder vergleichbare Projekte veröffentlichten (Frankreichs App „StopCovid“ ist seit dem 02.06.2020 verfügbar, andere Länder präsentierten schon im März Lösungen). Insbesondere die datenschutzrechtlich relevanten Fragen nach Tracking und Tracing sowie zentralen und dezentralen Ansätzen sorgten für Diskussion.
Tracking bezeichnet in diesem Zusammenhang, dass Standortdaten der Nutzer erhoben und (möglichst) in Echtzeit ausgewertet werden. Tracing bezeichnet hingegen das nachträgliche Verfolgen von Infizierten und Kontaktpersonen, sowie eine Benachrichtigung dieser. Beim Tracing geht es also lediglich um den Kontakt von Personen, nicht um den Standort der Begegnung.
Zunächst wurde hierfür eine Verfolgung von Handynutzern über Mobilfunkmasten vorgeschlagen, welche als invasives Instrument zur gesellschaftlichen Überwachung aufgenommen und schnell wieder verworfen wurden. Andere Projekte wie die Corona-Datenspende-App des Robert-Koch-Instituts verspielten zudem Vertrauen, da diese anders als beworben funktionierte und in Fachkreisen keinen guten Eindruck hinterließ. Insbesondere das Abfragen von Daten direkt von Wearable-Anbietern wie Fitness-Armbändern sorgte für Unmut, besonders unter Berücksichtigung von Datenschutzaspekten.
Nachfolgende Konzepte basierten vornehmlich auf Tracing („Kontakt-Tracing-Apps“), wie etwa das Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT). PEPP-PT ist ein Referenzentwurf für nationale Apps. Dieser sieht vor, dass die (per Bluetooth) gesammelten Kontaktdaten an einen zentralen Server übermittelt werden. Personen, die in Kontakt mit einer infizierten Person waren, sollen anschließend per Push-Benachrichtigung informiert werden. Allerdings sprachen sich viele Stimmen, besonders aus den Bereichen Datenschutz und IT-Sicherheit, sowie netzpolitische Organisationen, grundsätzlich gegen zentrale Ansätze aus. Zentrale Ansätze gelten als anfälliger für Missbrauch und Datenlecks. Befürwortern zufolge bieten sie eine bessere Steuerung der Pandemie und Auswertung der (bestenfalls pseudonymisierten) Daten etwa durch Forschungsinstitute.
Als Gegenentwurf zu zentralen Ansätzen wie PEPP-PT entstanden weitere Protokolle wie das Decentralised Privacy-Preserving Proximity Tracing (DP-3T) oder das Temporary Contact Numbers Protocol (TCN) sowie als Gemeinschaftsprojekt von Google und Apple das Exposure Notification Framework (vorher Privacy-Preserving Contact Tracing Project). Diese Protokolle verfolgen dezentrale Ansätze. Das heißt, dass die gesammelten (pseudonymisierten) Kontaktdaten auf dem Smartphone bleiben. Im Falle einer Infektion kann diese Information an einen Server übermittelt werden, über den anschließend die Kontakte informiert werden.
Die Corona Warn-App
Die Corona Warn-App basiert hauptsächlich auf DP-3T sowie auf TCN und nutzt das von Google und Apple gemeinsam entwickelte Exposure Notification Framework („GAEN“), welches seit dem 21.05.2020 verfügbar ist. Exposure Notification bietet für eine App pro Land eine Schnittstelle, mit der Apps Bluetooth zur Suche nach anderen Nutzern auch im Hintergrund nutzen dürfen. Dies geschieht auf Ebene des Betriebssystems auf vergleichsweise energiesparende Art und Weise. Frühere Projekte wie Frankreichs StopCovid nutzen Exposure Notification nicht.
Mit der Corona Warn-App wurde erstmals in Deutschland ein staatliches quelloffenes Softwareprojekt entwickelt. Quelloffenheit (Open Source) bedeutet, dass der Quellcode öffentlich einsehbar ist. Das erlaubt einen Einblick in die Funktionsweise, was Transparenz schafft. Mit entsprechender Expertise kann sich daher jeder selbst ein Bild davon machen, wie die Software funktioniert und diese selbst kompilieren. Dank der Quelloffenheit gingen und gehen „über 1500 konkrete Hinweise“ zur Verbesserung der App ein, so SAP Vorstandsmitglied Jürgen Müller. Auch die Qualität des Codes, sowie die Reaktionsgeschwindigkeit auf etwa vom TÜV angestoßene Kritikpunkte werden als lobenswert bewertet. In diesen Punkten setzt das Projekt neue Maßstäbe.
Die Funktionsweise lässt sich aus der zuvor genannten Funktionsweise der dezentralen Ansätze ableiten: während die App (im Hintergrund) aktiv ist, generiert das Smartphone täglich einen Schlüssel, aus dem eine pseudonymisierte Kennung („ID“) abgeleitet werden. Die IDs sind nur wenige Minuten gültig. Die IDs werden mit anderen Nutzern der App in der Umgebung ausgetauscht. Näherungen zu anderen Nutzern der App werden so für 14 Tage auf dem Smartphone gespeichert (14 Tage entsprechen dem Zeitraum, die ein Infizierter ansteckend sein kann, bevor er selbst Symptome entwickelt). Hierbei wird auf die Bluetooth-Signalstärke zum anderen Smartphone zurückgegriffen, um die Distanz zu anderen Nutzern zu errechnen. Neben ID und Distanz wird die Kontaktdauer gespeichert.
Bei einer bestätigten Infektion kann ein Nutzer dies der App melden. Der Infektionsstatus wird mitsamt den letzten Schlüsseln auf einen Server übertragen, der eine Liste mit gemeldeten Infektionen pflegt. Nach einer Überprüfung der Infektion wird diese Liste allen Nutzern der App zugespielt. Daraufhin wird mittels einfacher Kryptographie lokal auf dem Smartphone abgeglichen, ob einer der Schlüssel der Infizierten zu den gesammelten IDs passt. Nutzer, die längere Zeit (≥ 15 Minuten) in der Nähe Infizierter (≤ 2 m) waren, bekommen in der App eine Benachrichtigung mit Handlungsanweisung.
Mittwoch, am 24.06.2020, wurden zum ersten Mal Nutzer über Infektionskontakte benachrichtigt. Es soll bisher etwa 340 in der App gemeldete Infektionen geben. Im Vergleich dazu hat Frankreichs StopCovid hat bisher nur 14 Personen gewarnt, obwohl die App zwei Wochen länger verfügbar ist.
Voraussetzungen
Damit die App funktioniert, muss zunächst das Exposure Notification Framework laufen. Benötigt wird Smartphone mit Bluetooth Low Energy (verfügbar ab Bluetooth Version 4.0) und aktueller Software. Apples iPhones benötigen das aktuelle Betriebssystem iOS 13.5 (verfügbar ab dem iPhone 6s). Smartphones mit Android benötigen dessen Version 6 und aktuelle Google Play Services. Androide, auf denen keine Google Play Services installiert sind, können die App in der Regel nicht nutzen. Eine Ausnahme stellt Huawei dar. Für Android Smartphones ohne Googles Play Services bietet das Projekt microG eine Implementiertung des neue Frameworks, wenn auch noch nicht zuverlässig. Wie das Exposure Notification Framework von Google und Apple funktioniert, welche Daten dabei erhoben werden ist nämlich weitgehend unbekannt.
Rezeption
In Fachkreisen wird die App fast ausschließlich positiv aufgenommen. Die Grundsätze Privacy by Design und Privacy by Default werden vorbildlich umgesetzt. Laut dem Datenschutzbeauftragten des Bundes, Ulrich Kelber, gebe es keine Gründe, die gegen eine Nutzung der App sprechen. Selbst die erwähnten netzpolitischen Organisationen wie der Chaos Computer Club, bzw. dessen Sprecher Linus Neumann, sieht keinen Anlass zur Kritik.
Innerhalb einer Woche wurde die App knapp 13 Millionen mal heruntergeladen und erzielte zunächst Bestwertungen in Googles Play Store und Apples App Store mit 4,7 respektive 4,8 von 5 Sterne. Einige Nutzer unter Android klagen in letzter Zeit unter anderem darüber, dass die bisher ermittelten Kontakte verloren gingen und die App „von vorne beginnt“. Die Wertung rasselte im Play Store zeitweise auf unter 4. Sowohl die Anzahl der Downloads als auch die hinterlassenen Bewertungen liegen deutlich über Frankreichs StopCovid.
Auch die Anfrage zur Standortberechtigung auf Android verunsichert Nutzer. In Android wird Bluetooth mittlerweile als Standortkriterium einkategorisiert (Neben GPS ermöglichen Bluetooth Beacons eine Standortverfolgung von Nutzern, genau wie über WLAN-Netze). Deshalb wird bei der Suche nach Bluetooth-Geräten in der Nähe grundsätzlich nach der Berechtigung zur Standortbestimmung gefragt. Die Corona Warn-App nutzt allerdings keinerlei Standortdaten. Mehr Informationen hierzu.
Während bezüglich der Appsicherheit derzeit nichts zu beanstanden ist, kann ein Medienbruch von der App zur telefonischen Hotline stattfinden. Dies kann passieren, wenn Testlabore nicht ausreichend digital angebunden sind. Ein Befund über eine Infektion wird dann nicht wie vorgesehen mit einem QR-Code per Post zugesendet, sondern ohne einen solchen Code. Der QR-Code wird idealerweise mit der App aufgenommen und verifziert. Die Verifizierung findet ohne den Code mittels einer Befragung an der telefonischen Hotline statt, wobei Betroffene plötzlich nicht mehr elegant pseudonymisierte IDs, sondern konkrete Personen mit allen dazugehörigen, personenbezogenen Daten sind. Dies ist nicht der App zuzuschreiben, sondern den testenden Laboren.
Ein anderer Kritikpunkt ist, dass die App „nur“ 80 % der Begegnungen richtig erfasst, wie Vorabtests bezeugten (Seite 12). Möglicherweise ist dies auf die Tatsache zurückzuführen, dass sich Bluetooth-Wellen mit Nierencharakterstik verbreiten. Idealerweise sollten sich die Wellen kugelförmig verbreiten, sodass die Signalstärke zwischen Nutzern des selben Abstands auch gleich stark ist. Abstände könnten hierdurch unterschätzt werden. Weiterhin funkt Bluetooth im durch WLAN-Netze hoch frequentierten 2,4 GHz Frequenzband, was zu Interferenzen und somit zu Ungenauigkeiten führen kann. An der Verbesserung der Genauigkeit wird aber noch gearbeitet.
Betont wird auch, dass die Freiwilligkeit gewahrt werden muss. Ansonsten drohe ein informeller Zwang, wie beispielsweise die Verpflichtung, die App mit niedrigem Risiko-Status vorzuzeigen, bevor ein Geschäft betreten werden darf. Dies könnte insbesondere für Personen, die die App nicht nutzen können, diskriminierend sein:
Aufgrund der o. g. Voraussetzungen läuft die Corona Warn-App nicht auf älteren Geräten. Hinzu kommen noch diejenigen, die kein Smartphone besitzen.
Abschließend sei erwähnt, dass komplexe Software, die in kurzer Zeit entwickelt worden ist und in hohem Tempo weiterentwickelt wird, tendenziell häufiger Sicherheitslücken enthalten. Zweifel und Fragen zur App und den technischen Hintergründen begegnet die Bundesregierung mit der Möglichkeit der kostenlosen telefonischen Kontaktaufnahme.
Update (16.07.2020)
Einen Monat nach der Veröffentlichung (16.07.) wurde die Corona Warn-App über 16 Millionen mal heruntergeladen (entspricht fast 20% der Bevölkerung). Größere Fauxpas sind bisher ausgeblieben, kleinere Fehlermeldungen sorgen jedoch teils für Verunsicherung. Die Wertung im Google Play Store hat derweil noch weiter gelitten und liegt derzeit bei 3,4 (in Apples Store wird die App mit 4,6 von 5 Sternen bewertet).
Grund dafür ist zum einen die oben erwähnte Standortberechtigung, die wohl aus Verunsicherung einen Teil der 1-Stern-Bewertungen ausmachen. Weiterhin läuft unter Android viel verschiedene Hardware (und Software), was zu Problemen führen kann. Aktuell wird im Play Store häufig auf Fehlermeldungen mit den Fehlernummern 10 und 39508 verwiesen, die meist im Zusammenhang mit fehlender Risikoermittlung auftreten. Das Problem werde aktuell zusammen mit Google gelöst, die Kontakte werden weiterhin aufgezeichnet.
Auch in der iOS-App gab es gelegentlich Fehlermeldungen. Darin heißt es Kontaktmeldungen in dieser Region würden möglicherweise nicht unterstützt. Das unterliegende Problem ist allerdings nicht die App, sondern das von Google und Apple entwickelte Exposure Notification Framework. Die App funktioniert trotz dieser Meldung wie vorgesehen. Mit Version 13.6 des iOS soll alsbald eine Lösung zur Verfügung stehen.
Die weitere Entwicklung fokussiert sich auf die Interoperabilität mit anderen europäischen Corona-Apps, die ebenfalls das Exposure Notification Framework nutzen. Da diese Möglichkeit sparsam ist (bzgl. Energieverbrauch und Datenweitergabe), setzen viele Länder auf diese Variante. Dazu gehören unter anderem Österreich und Italien. Dem gegenüber stehen u. a. Frankreich, Großbritannien und Norwegen. Diese gehen einen eigenen Weg, der nicht auf dem Exposure Notification Framework basiert und zudem einen zentralen Server zur Kontaktverfolgung nutzt. Eine Leitlinie zur Gestaltung nationaler Apps zur Nachverfolgung von Infektionsketten hat die EU-Kommission bereits im März dargelegt. Diese orientiert sich an den Grundsätzen der DSGVO und betont, dass es „von entscheidender Bedeutung [sei], Lösungen zu finden, die am wenigsten in die Privatsphäre eingreifen und den Anforderungen des EU-Rechts an den Schutz personenbezogener Daten und den Schutz der Privatsphäre in vollem Umfang entsprechen“. Derzeit existieren lediglich 10 nationale Apps in der EU, in naher Zukunft dürften noch weitere erscheinen. Ob sich diese an der EU-Leitlinie orientieren und ebenfalls auf das Exposure Notification Framework setzen, bleibt offen.