Bundesregierung stellt Corona-Warn-App am Dienstag vor.
+
Bundesregierung stellt Corona-Warn-App am Dienstag vor.

Corona-Pandemie

Die App ist fertig

  • Tim Szent-Ivanyi
    vonTim Szent-Ivanyi
    schließen
  • Markus Decker
    Markus Decker
    schließen
  • Daniela Vates
    Daniela Vates
    schließen

Die Corona-App des Bundes soll die Verbreitung des Virus eindämmen. Doch der Nutzen solcher Programme ist fraglich – wie ein Blick in andere Länder zeigt.

Seitdem das Coronavirus unser Leben bestimmt, wird über Gegenmaßnahmen debattiert. Und seitdem über Gegenmaßnahmen diskutiert wird, ist auch die Corona-Warn-App im Gespräch. Nun ist sie fertig – zwei Monate später als geplant und weitaus später als in anderen Ländern, in denen mit der App längst gearbeitet wird. In diesem Fall trifft aber nach dem Urteil vieler Beteiligter der Satz zu: „Gut Ding will Weile haben.“ Aus der Bundesregierung verlautet, es handle sich um eine „weltweit neue Technik“.

Vorgeschichte:Ursprünglich hatte Bundesgesundheitsminister Jens Spahn (CDU) den Gesundheitsämtern den Zugriff auf die Standortdaten der Bürger geben wollen. Damit hätten diese Bewegungsprofile von Infizierten erstellen und Infektionsherde ermitteln können – zumindest in der Theorie. Tatsächlich lässt sich der Standort von Menschen via GPS aber keineswegs so exakt ermitteln, wie Spahn glaubte. Überdies äußerten Kritikerinnen – allen voran Bundesjustizministerin Christine Lambrecht (SPD) – Datenschutzbedenken. Spahn ließ den Plan deshalb rasch wieder fallen.

Stattdessen begannen IT-Experten von Fraunhofer-Gesellschaft, Helmholtz-Institut und Robert-Koch-Institut mit der Arbeit an der App. Smartphones sollen via Bluetooth erfassen, welche anderen Smartphones und damit deren Inhaberinnen sich für längere Zeit in der Nähe aufhalten. Infiziert sich einer der Smartphone-Inhaber und speist diese Information in seine App ein, informiert sie automatisch die Kontakthandys – vollständig anonymisiert.

Für Streit in der IT-Szene sorgte der Plan, alle einschlägigen Daten zentral zu speichern. Der Zorn richtete sich in erster Linie gegen den anfangs federführenden IT-Unternehmer Chris Boos. Am Ende war klar: Die App soll freiwillig sein. Und die Informationen sollen nur auf den jeweiligen Smartphones gespeichert werden, nirgendwo sonst. Auf dieser Grundlage haben die Telekom-Tochter T-Systems und SAP die App entwickelt – und zwar Open Source. Der für Fachleute wichtige Quellcode liegt offen. Das Ganze hat dem Vernehmen nach 20 Millionen Euro gekostet. Die monatlichen Betriebskosten werden auf bis zu 3,5 Millionen Euro veranschlagt. In Regierungskreisen wird betont, die App sei „kein Allheilmittel, aber eine gute Unterstützung“ bei der Virus-Bekämpfung.

So soll die Corona-App funktionieren.

Freiwilligkeit:Alle Beteiligten beteuern, dass die App freiwillig sei. Dies sei auch entscheidend für die Akzeptanz, heißt es immer wieder. Tatsächlich wird es keinen Zwang geben, schon gar keinen gesetzlichen. Es gibt auch keine Schnittstelle, die automatisch Daten an staatliche Stellen weiterreicht. Die App installiert sich nicht automatisch. „Man hat die App nur dann, wenn man sie runterlädt“, sagen Regierungsvertreter.

Linke, Grüne und FDP halten ein Gesetz gleichwohl für richtig, auch um einen informellen Zwang auszuschließen. Sie sagen, man müsse verhindern, dass etwa Reiseveranstalter ihre Kundinnen zwingen, sich die App herunterzuladen – oder Arbeitgeber ihre Angestellten.

Die große Koalition sieht für ein solches Gesetz keinen Anlass; objektiv ist es dafür auch jetzt zu spät. Der digitalpolitische Sprecher der CDU/CSU-Bundestagsfraktion, Tankred Schipanski, sagte zuletzt: „Es gibt keinen Zwang, sich die App herunterzuladen oder sie zu nutzen. Es liegt also kein staatlicher Eingriff vor. Deshalb sehe ich nicht, warum es eines Gesetzes bedarf.“

Funktionsweise der App:Treffen sich Nutzerinnen, die ein Smartphone mit der Corona-App bei sich tragen, können sich die Geräte per Bluetooth gegenseitig erkennen und tauschen bestimmte Zahlenfolgen (IDs) aus. Jedes Gerät erzeugt hierfür nach dem Zufallsprinzip alle paar Minuten eine neue ID. Der „digitale Handschlag“ wird dann auf den Smartphones für 14 Tage gespeichert. Dabei werden neben den IDs auch Zeitpunkt und Dauer des Kontakts und die Signalstärke aufgezeichnet. Diese Daten sind für die Berechnung des Infektionsrisikos nötig.

Meldet eine Person, positiv auf Covid-19 getestet zu sein, werden alle IDs, die das Gerät der infizierten Person in den vergangenen 14 Tagen erzeugt hat, an einen zentralen Server gesendet.

Die Corona-Warn-App lädt regelmäßig die als positiv gemeldeten IDs herunter und gleicht sie mit den auf den auf dem Smartphone vorhandenen Daten ab. Als Nutzer erfährt man dann, ob es einen relevanten Kontakt mit einer infizierten Person gegeben hat. Die ID-Listen sind nicht einsehbar. Auch die infizierte Person weiß nicht, welche Personen eine Warnung erhalten.

Grundsätzlich können alle, die ein Smartphone besitzen, die Corona-Warn-App aus dem Google Playstore oder dem Apple App-Store herunterladen. Besitzerinnen von Android-Geräten benötigen mindestens Version 6.0 (Marshmallow), Apple-Nutzer benötigen ein Gerät mit iOS 13.5. Voraussetzung für die Nutzung der App ist außerdem, dass auf dem Smartphone die sogenannte Covid-19-Funktion aktiviert ist. Sie ist unter Einstellungen->Google->„Benachrichtigung zu möglichem Kontakt mit Covid-19-Infizierten“ zu finden.

Umstritten ist insbesondere, ob die Kontaktermittlung per Bluetooth tatsächlich sicher funktioniert. Die genutzte Funktechnik „Bluetooth Low Energy“ wurde nicht zur Abstandsmessung entwickelt. Registriert wird lediglich die Stärke des Signals. Damit kann im Zweifel nicht erkannt werden, ob eine Glasscheibe oder eine dünne Wand zwischen zwei Personen ist. In so einem Fall bestünde keine Gefahr der Ansteckung, selbst wenn eine Person infiziert wäre.

Die sogenannte Tracing-App alarmiert Smartphone-User, wenn sie Covid-19-Erkrankten zu nahe gekommen sind - allerdings nur, wenn beide Bluetooth eingeschaltet und die App installiert haben. Foto: Michael Kappeler/dpa

Grundsätzlich kann also nicht ausgeschlossen werden, dass es sowohl falsch-positive Meldungen (Kontakt wurde ausgelöst, obwohl tatsächlich keiner bestand) als auch falsch-negative Registrierungen (relevanter Kontakt bleibt unerkannt) geben wird. Problematisch für viele dürfte auch die Tatsache sein, dass die Bluetooth-Technik und die zusätzlich notwendige Standortermittlung via GPS den Akku belastet. Außerdem müssen zum Abgleich der Kontaktlisten Informationen ausgetauscht werden, was das eigene Datenvolumen schmälert. Die Entwickler versichern zwar, dass beides nicht ins Gewicht fällt. Doch erst die Erfahrungsberichte von Anwenderinnen werden zeigen, ob das tatsächlich auch stimmt.

Datenschutzprobleme:Viele Experten sind sich einig, dass der dezentrale Ansatz ein Höchstmaß an Sicherheit bringt. Alle Kontaktinformationen liegen nur als Zahlencodes vor, die zufällig generiert werden. Damit ist keinerlei Rückverfolgung der Identität der App-User möglich. Auch Bewegungsprofile oder Standortinformationen werden durch die App nicht übermittelt.

Es gibt in dem gesamten Prozess nach dem derzeitigen Kenntnisstand aber eine Schwachstelle: Sollte eine App-Nutzerin positiv getestet werden, bekommt sie vom Test-Labor einen QR-Code, den sie mit ihrem Smartphone scannen kann. Da aber viele Labore noch nicht an die technische Infrastruktur angeschlossen sind, ist in diesem Fall ein anderer Weg vorgesehen: Die Betroffene muss eine Telekom-Hotline anrufen, sich dort eine TAN-Nummer geben lassen. Dazu muss sie aber dem Mitarbeiter ihre eigene Handy-Nummer mitteilen. Die Regierung verspricht, dass die Nummer nach dem Versand sofort wieder gelöscht wird. Bei der Bewertung dieses Verfahrens muss auch folgendes berücksichtigt werden: Ohne App müsste eine Betroffene mit einem Mitarbeiter des Gesundheitsamtes persönlich sämtliche Kontakte durchsprechen. Vor diesem Hintergrund erscheint die Datenschutz-Lücke noch akzeptabel.

Das könnte Sie auch interessieren

Kommentare