Seit dem 16. Juni steht die Corona-Warn-App der Allgemeinheit in Deutschland zur Verfügung und dient der Kontakt Nachverfolgung. Die vom Robert Koch-Institut veröffentlichte App wurde von den Unternehmen SAP und der Deutsche Telekom AG unter Beteiligung von rund 25 weiteren Unternehmen entwickelt und soll der Eindämmung der COVID-19 Pandemie dienen.
Die Funktionsweise
Jürgen Müller, Chief Technology Officer bei SAP, schreibt in seinem Blog, dass die App die Technologie Bluetooth Low Energy verwendet, bei der die einzelnen Smartphones als Beacons fungieren. „Um vollständigen Datenschutz zu gewährleisten und die Verfolgung von Bewegungsmustern der Nutzer zu verhindern, sind die gesendeten IDs nur temporär und ändern sich alle 15 Minuten. Neue IDs werden von einem Schlüssel abgeleitet, der sich täglich durch ein kryptografisches Verfahren ändert.“
Wenn nun ein Nutzer positiv auf das Virus SARS-CoV-2 getestet wurde, kann er der App eine Verifizierung des positiven Tests zur Verfügung stellen. Erst dann werden die temporären IDs der vergangenen 14 Tage anonymisiert auf einen Server hochgeladen, damit alle Smartphones, die mit der positiv getestenen Person in Kontakt waren, informiert werden können.
Müller betont deutlich, dass niemand feststellen kann, mit wem eine Person Kontakt hatte. „Es können keine Informationen zur Nachverfolgung, Verhaltensprofile oder ähnliche Muster zentral erstellt werden.“ In der aktuellen Netzgeschichte der Deutschen Telekom, wird die Funktionsweise nochmal vereinfacht erklärt:
Keine Warnung vom Chaos Computer Club
Für die Nutzung der App muss auf dem Smartphone dauerhaft Bluetooth aktiviert sein, was natürlich Sorgen bei den VerbraucherInnen auslösen kann. Wer allerdings ein aktuelles Smartphone nutzt und regelmäßig die Sicherheitsupdates installiert, hat hier wenig zu befürchten. Denn bekannte Lücken werden regelmäßig geschlossen. Zudem kann Bluetooth nur als Einfallstor für Hacker dienen, wenn sich das Opfer in direkter Umgebung befindet. Der Aufwand für Hacker ist also unverhältnismäßig groß, gegenüber den geringen Erfolgsaussichten, wirklich wertvolle Informationen abzugreifen oder Schaden anzurichten.
Da der Code der App als Open-Source-Projekt komplett auf Github einsehbar ist, wacht die Allgemeinheit ebenfalls über das Programm und seine Funktionen. Das soll vor allem der Datensicherheit der Nutzer dienen und für Transparenz und Akzeptanz in der Bevölkerung sorgen.
Und auch der Chaos Computer Club sieht keine Probleme mit der App. „Wir haben aus grundsätzlichen Erwägungen noch nie ein Produkt oder eine Dienstleistung empfohlen“, sagte Linus Neumann, Sprecher des CCC, gegenüber ZDFheute. Eine Warnung würden sie bei problematischen Apps dennoch aussprechen. Das ist aber bei der Corona-App nicht der Fall.
Der dezentrale Ansatz wird insofern sichergestellt, dass die „Entscheidungsarbeit“ immer auf den Geräten der Nutzer stattfindet. So werden die temporären IDs zwar auf einem Server zum Abgleich mit allen Geräten gespeichert, jedoch findet dort keine Auswertung statt und der Server speichert auch keine Geheimnisse, die er nicht sowieso mit den Endgeräten teilen würde. Neumann erklärt dazu, dass die Geräte die Codes der Infizierten regelmäßig herunterladen und dann lokal nachschauen, ob sie einen Code davon in ihrer eigenen Datenbank haben. Und erst dann alarmiert die App die Nutzer. Er betont: „Die gesamten relevanten Entscheidungen und die Datenauswertung finden jeweils auf dem Gerät der Nutzer statt“ – also dezentral.
Die App alleine reicht nicht
Einige Nutzer könnten sich nun in falscher Sicherheit wiegen und andere Schutzmaßnahmen außer Acht lassen. Das soll aber nicht der Sinn der App sein. Die App schützt nicht vor einer Ansteckung. Sie soll Infektionsketten unterbrechen. Daher ist es auch weiterhin wichtig, dass wir die geltenden Abstands- und Hygieneregeln einhalten um die Pandemie erfolgreich zu bekämpfen.