Am 16. Juni 2020 erschien die Corona-Warn-App der Bundesregierung. Sie soll dabei helfen, alle Kontakte einer infizierten Person schnell zu informieren. Dadurch soll verhindert werden, dass es zu einem neuen Ausbruch der Corona-Krankheit COVID-19 kommt. Wir sprechen mit Experten über die App und beantworten die drängensten Fragen.
Expertengespräch zur Corona-Warn-App der Bundesregierung
In unserem Expertengespräch zur Corona-Warn-App der Bundesregierung unterhalten wir uns u.a. über die positiven technischen Eigenschaften der App, aber auch über den drohenden sozialen Druck, der durch sie enstehen kann. Unsere Gesprächspartner sind:
Karoline Busse promoviert zum Thema „Human-Centered Security“ und ist u.a. Dozentin am Niedersächsischen Studieninstitut für kommunale Verwaltung (NSI).
Sebastian Wolters ist CEO der mediaTest digital GmbH. Mit seinem Sachverstand unterstützt er u.a. Unternehmen dabei, ihre mobilen Endgeräte gegen Sicherheitslücken in Apps zu schützen.
Jörg Heidrich ist Fachanwalt für IT-Recht bei der Heidrich Rechtsanwälte Partnerschaftsgesellschaft mbB. Seine Tätigkeitsschwerpunkte liegen im Datenschutz, Internetrecht und Recht der IT-Sicherheit.
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
FAQ zur Corona-Warn-App
Schützt mich die App vor einer Infektion mit SARS-CoV-2?
Nur indirekt. Sinn der App ist es, beim Schutz der Allgemeinheit zu helfen. Nutzer der App werden gewarnt, dass sie sich infiziert haben könnten. Daraus ergibt sich kein Schutz für die eigene Person, da die Meldung kommt, wenn es schon zu spät sein könnte. Aber wenn genug Menschen die App benutzen – und sie funktioniert wie geplant – schützt die App auf lange Sicht, weil ein weiterer Ausbruch des Virus verhindert wird.
Woher bekomme ich die Corona-Warn-App?
Die App gibt es für die Betriebsysteme Android und iOS und kann kostenlos über die entsprechenden Stores bezogen werden. Jedes ausreichend aktuelle Endgerät mit einer Bluetooth-Schnittstelle kann verwendet werden (z.B. Smartphones und Tablets).
Was macht die Corona-Warn-App?
Die App funkt in regelmäßigen Abständen über Bluetooth pseudonyme ID-Signale an die unmittelbare Umgebung. Außerdem zeichnet sie solche Signale auf, die von anderen Endgeräten gesendet werden.
Wird ein Nutzer der App positiv auf das Virus SARS-CoV-2 getestet, kann er sich entscheiden, ob er über die App alle Menschen informieren will, die sich in seiner Umgebung befunden haben. Entscheidet er sich dafür, werden alle betroffenen Menschen gewarnt, dass sie Kontakt mit einer SARS-CoV-2-positiven Person hatten. Sie erfahren aber nicht, wer dieser Kontakt war und wo das Aufeinandertreffen stattgefunden hat.
Kann ich meine Bluetooth-Schnittstelle auch noch für andere Dinge nutzen, wenn ich die App installiere (z.B. für Bluetooth-Kopfhörer)?
Ja, das geht ohne Probleme. Die Benutzung der normalen Bluetooth-Funktionen wird von der App nicht beeinflusst, da sie von Apple und Google im Betriebssystem integrierte Technik nutzt.
Wann ist das Tracing aktiv?
Immer dann, wenn die Bluetooth-Schnittstelle des Endgeräts aktiviert ist. Die App erzwingt nicht, dass Bluetooth aktiviert ist. Nutzer der App können das Bluetooth-Tracing also beliebig an- und ausschalten. Allerdings ist eine Installation der App nur dann sinnvoll, wenn man sie auch wirklich lückenlos nutzt.
Wie steht es um den Datenschutz?
Eine Sorge vieler Nutzer ist sicherlich die Frage nach der Privatheit der Daten. Laut unabhängigen Sicherheits- und Datenschutz-Experten deutet nichts darauf hin, dass die App unbefugt Daten an irgendwelche Server übermittelt, den Nutzer unbefugt trackt oder ihn zu enttarnen versucht.
Eine Datenübermittlung findet nur statt, wenn ein Nutzer der App sich aktiv dafür entscheidet, ein positives Testergebnis zu melden. In diesem Fall wird eine Ansammlung von pseudonymen Krypto-Schlüsseln übermittelt. Aus einer solchen Ansammlung kann nach aktuellem Stand der Forschung nicht herausgelesen werden, wer der betroffene Nutzer ist.
Ist die App sicher?
Schon als für die App noch eine Zusammenarbeit mit der PEPP-PT-Initiative angedacht war, bestanden Bedenken hinsichtlich ihrer Sicherheit gegen Hacks.
Das größte Sicherheitsrisiko der App geht wohl davon aus, dass die Nutzer der App mit aktivem Bluetooth in der Öffentlichkeit unterwegs sind. Die Bluetooth-Schnittstellen ist seit jeher ein beliebter Ansatzpunkt für Hackerattacken. Viele Menschen haben ihre Bluetooth-Schnittstelle aber ohnehin ständig aktiviert, weil sie Bluetooth-Zubehör verwenden (z.B. Kopfhörer oder die Abspielfunktion eines Auto-Radios).
Davon abgesehen lässt sich aktuell nicht wirklich sagen, ob die Corona-Warn-App der Bundesregierung sicher ist. Absolute Sicherheit gibt es bei Software nicht. Es muss aber festgehalten werden, dass die Corona-Warn-App in einem beispiellosen Prozess programmiert wurde. Der Code ist öffentlich einsehbar und steht unter einer anerkannten Open-Source-Lizenz. Entwickler und Sicherheitsforscher aus der ganzen Welt haben sich den Code angeschaut und Verbesserungsvorschläge gemacht – und die Entwickler sind in beeindruckendem Maße darauf eingegangen. Dank dieses Vorgehens ist die Corona-Warn-App höchstwahrscheinlich sicherer als viele andere Apps.
Welche Daten werden gespeichert?
Die App speichert die Daten, die anfallen, nachdem ein Nutzer sich als positiv-getestet bei der App gemeldet hat. Diese Daten werden pseudonymisiert übermittelt und können daher nach aktuellem Wissensstand keiner Person zugeordnet werden. Die temporären Schlüssel, die über Bluetooth verschickt und empfangen werden, werden von Apples und Googles Betriebssystem-Schnittstelle erzeugt und verwaltet. Die App speichert keine Kontaktdaten.
Welchen Einfluss hat die App auf die Akkulaufzeit meines Gerätes?
Da es bis zur Veröffentlichung der App keine Möglichkeit gab, diese im echten Betrieb zu testen, ist das schwer zu sagen. Auch Apple und Google, die diesen Teil der Infrastruktur für die App entwickelt haben, hüllen sich dazu bisher in Schweigen.
Man kann aber auf Grund von Erfahrungen mit Bluetooth Low Energy (BLE) spekulieren. Nutzer, die ohnehin oft Zubehör wie Bluetooth-Kopfhörer verwenden, werden es wohl kaum merken. Da funkt das Handy ja an sich schon die ganze Zeit mit anderen Geräten, die zusätzliche Bluetooth-Benutzung der App sollte da eher wenig ins Gewicht fallen. Bei Smartphones, deren Besitzer wenig oder keine Bluetooth-Geräte nutzen oder gar akribisch alle Bluetooth-Funktionen abgestellt haben und auch andere Vorkehrungen treffen, um Strom zu sparen, wird es wohl mehr auffallen. So oder so spielen Faktoren wie eine schlechte Verbindung zum Funkmast oder schlecht geschriebene Apps, die zu viel Prozessor-Zyklen schlucken, sicherlich eine größere Rolle.
Fazit: Ja, die Corona-Warn-App wird sicherlich den Akku zusätzlich belasten. Wie schlimm das wird, hängt aber wohl von den Gewohnheiten des Nutzers und von der jeweiligen Hardware ab. Im Moment muss wohl jeder für sich selbst herausfinden, um wie viel die App seine Gerätenutzung verkürzt.
Wie wird verhindert, dass Anwender Infektionen melden, die nicht existieren?
Anwender können freiwillig entscheiden, ob sie eine SARS-CoV-2-Infektion an die App melden wollen. Um zu verhindern, dass dies geschieht, obwohl kein positiver Test vorliegt, muss der Anwender sein Testergebnis mit einem QR-Code oder einer TAN bestätigen. Den QR-Code erhält der Patient von dem Labor, dass ihn positiv getestet hat oder alternativ von seinem Arzt. Außerdem kann er bei einer Telefonhotline anrufen und sich eine PIN durchsagen lassen. QR-Code und PIN sind quasi das selbe: Sie werden vom Server der App auf Echtheit geprüft und dieser teilt der App dann mit, dass der Nutzer sich als infiziert melden darf. Die Entscheidung darüber, das dann zu tun, liegt, wie gesagt, allein beim Nutzer. Zu diesem Zeitpunkt wurden seine Daten ohnehin bereits an das zuständige Gesundheitsamt gemeldet, da es sich bei COVID-19 um eine meldepflichtige Krankheit handelt.
Ist es realistisch, dass die App die Verbreitung des neuartigen Coronavirus eindämmt?
Dazu lässt sich momentan nichts Gesichertes sagen. Erste Ergebnisse aus anderen Ländern deuten eher darauf hin, dass solche Apps nicht so gut funktionieren, wie es sich Gesundheitsexperten und Regierungen erhofft hatten. Allerdings gibt es erst wenige Erfahrungen mit Apps, die auf der Betriebssystem-Schnittstelle von Apple und Google beruhen.
Um ihren Zweck zu erfüllen muss die App eine signifikante Verbreitung in der Bevölkerung finden – Zahlen von 60 bis 80 Prozent aller Smartphones im Land stehen im Raum. Es ist fraglich, ob das überhaupt realistisch ist. Außerdem gibt es bisher wenige Erkenntnisse dazu, wie gut die Bluetooth-Abstandsmessung im realen Einsatz mit der Verbreitung des SARS-CoV-2-Erregers zueinander zu bringen ist. Nicht zuletzt, weil auch bei der Forschung zum Verbreitungsweg des Virus noch viele Fragen offen sind und sich momentan noch ohne Weiteres kein klarer Konsens aus den vielen wissenschaftlichen Veröffentlichungen zu dem Thema ablesen lässt.
Wie sieht es mit einer möglichen Kompatibilität zu anderen Corona-Apps aus?
Eine solche Kompatibilität wäre sicherlich nützlich, vor allem wenn man im Grenzgebiet zu einem Nachbarland lebt. Auf Ebene der eigentlichen Corona-Warn-App spricht einer solchen Interoperabilität nichts entgegen, vorausgesetzt wir reden von einem Land, das auch die Betriebssystem-Schnittstelle von Apple und Google in seiner App verwendet. Bei den meisten deutschen Nachbarländern ist das der Fall, allerdings bildet Frankreich eine nennenswerte Ausnahme.
Benutzen zwei Apps die Schnittstelle von Apple und Google, können beide Apps darüber Daten austauschen und so Kontakte aus dem jeweils anderen Land speichern. Allerdings muss jetzt noch die Serverinfrastruktur angepasst werden und hier geht jedes Land auf Grund unterschiedlicher Vorbedingungen in den jeweiligen Gesundheitssystemen eigene Wege. Die Server-Software in beiden Ländern muss so gebaut (oder angepasst) werden, dass sie Meldungen von positiven Testergebnissen auch ins jeweils andere Land weiterreicht. Die deutsche Software macht das momentan nicht, was in der Kürze der Zeit aber wahrscheinlich auch etwas viel verlangt gewesen wäre. Vor allem, weil man die Entwicklung hier natürlich mit anderen Ländern koordinieren muss.
Immerhin haben die Entwickler allerdings nicht ausgeschlossen, dass solche Funktionen in Zukunft kommen und sogar erste Grundsteine in diese Richtung gelegt. Da es sich um Open-Source-Code handelt, steht einer Nachrüstung solcher Funktionen nach dem Launch der App nichts im Wege. Ganz im Gegenteil, der Erfahrung nach beschleunigt eine Open-Source-Lizenz und eine aktive Community aus Entwicklern – wie sie die deutsche App bereits aufweisen kann – solche Vorhaben ungemein. Es ist also durchaus denkbar, dass in den kommenden Monaten Kompatibilität zu den Apps von europäischen Nachbarländern hergestellt werden kann.
Ich habe ein Android-Handy ohne Google. Kann ich die App installieren?
Momentan nicht. Google hat seine Version der Betriebssystem-Schnittstelle in die Google Play Services integriert. Wer den Google App Store auf seinem Android-Gerät nicht installiert hat, kann die Corona-Warn-App somit nicht verwenden. Google hat sich allerdings dahingehend geäußert, dass man die Schnittstelle in den Open-Source-Teil von Android (dem Android Open Source Project, AOSP) einbauen wolle. Somit könnte sie dann auch von AOSP-Distributionen verwendet werden und wäre quelloffen. Wann genau das zu erwarten ist, ist momentan allerdings unklar.
Welche Betriebssystem-Version benötigt die App?
Bei Apple-Handys ist die entsprechende Schnittstelle ab iOS 13.5 in das Betriebssystem integriert. Android-Geräte sind theoretisch ab Android 5.0 (Lollipop) mit der Schnittstelle kompatibel, benötigen allerdings auch passende Bluetooth-Low-Energy-Hardware. Außerdem hinken viele Gerätehersteller bekanntlich weit mit Android-Updates hinterher und viele Geräte, die sich noch in Benutzung befinden, werden gar nicht mehr mit Updates versorgt. Der einfachste Weg, herauszufinden, ob das eigene Gerät kompatibel ist, ist wohl auch hier, in dem man einfach versucht, die App zu installieren und in Betrieb zu nehmen.
Was passiert, wenn die App mich vor einem Infektionsrisiko warnt?
Erst mal nichts. Eine Warnung der App bedeutet nicht, dass man wirklich infiziert ist. Sie bedeutet nur, dass man laut Bluetooth-Entfernungsmessung in der Nähe einer infizierten Person war. Denkbar wäre zum Beispiel, dass man die ganze Zeit durch eine Glasscheibe getrennt war und man sich gar nicht angesteckt hat. Eine Warnung der App bedeutet nicht, dass man sich in Quarantäne begeben muss. Auch muss man eine solche Warnung nicht an das Gesundheitsamt melden, da die Meldepflicht nur bei positiven klinischen Testergebnissen gilt und vom Arzt, beziehungsweise dem Test-Labor wahrgenommen wird.
Man ist also nicht verpflichtet, zu Hause zu bleiben. Auch hat man durch die Meldung der App nicht automatisch Anspruch auf einen SARS-CoV-2-Test. Ob ein solcher Test geboten ist, entscheidet im Zweifel der Hausarzt nach einem Gespräch.
Was denn nun? Soll ich die App jetzt installieren oder nicht?
Es sprechen gute Gründe dafür, die Corona-Warn-App zu installieren: Die App scheint, nach allem was wir bisher wissen, solide programmiert, der Quellcode ist offen und IT-Sicherheits- und Privatsphäre-Experten haben keine Bedenken angemeldet. Falls die App funktioniert, könnte sie helfen, die Verbreitung von COVID-19, jedenfalls in Deutschland, einzudämmen. Alle die dabei mithelfen erweisen der gesamten Gesellschaft einen Dienst.
Gegen eine Installation spricht, dass ein dauerhafter Einsatz von Bluetooth definitiv Einfluss auf die Akkulaufzeit des Smartphones hat und immer eine gewisse Angriffsfläche bietet. Sowohl durch Sicherheitslücken als auch durch die Möglichkeit, den Geräte-Besitzer durch den Funkverkehr und die ausgesendeten Daten zu tracken. Außerdem gibt es keine belastbaren Erkenntnisse darüber, ob Apps dieser Art die Verbreitung des Virus wirklich beeinflussen können. Zusätzlich ist nicht zu unterschätzen, welches Missbrauchspotential in der App ruht.
Teile des Beitrags wurden erstmals veröffentlicht auf heise online, der Nachrichten-Website des Heise-Zeitschriften-Verlags. Heise online berichtet u.a. über Neuigkeiten in der Informations- und Telekommunikationstechnik. Die Veröffentlichung des Beitrags erfolgt mit freundlicher Unterstützung von heise online.
