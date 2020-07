Die Wahrheit über die Corona-App Hartmut Schumacher

Smartphones können dabei helfen, das Coronavirus zu besiegen. Dank einer App – die allerdings nicht unumstritten ist…

Solange kein Impfstoff existiert, besteht unsere einzige Chance, die Ausbreitung des Coronavirus einzudämmen, darin, Infektionsketten zu unterbrechen. Also dafür zu sorgen, dass infizierte Menschen möglichst wenig andere Menschen anstecken.

Bislang geschieht dies durch den berühmt-berüchtigten „sozialen Abstand“ – und indem Mitarbeiter der Gesundheitsämter versuchen, durch Befragungen herauszufinden, mit wem infizierte Menschen in letzter Zeit Kontakt hatten, und diese Kontaktpersonen dann telefonisch informieren. Das ist erstens zeitaufwendig. Und stößt zweitens schnell an Grenzen, weil sich niemand an alle Menschen erinnern kann, mit denen er beispielsweise in öffentlichen Verkehrsmitteln oder im Supermarkt Kontakt hatte.

Eine große Erleichterung wäre es, wenn Smartphones diese Aufgaben übernehmen und automatisch erledigten. Mit einer entsprechenden App könnten unsere allgegenwärtigen Begleiter registrieren, wem wir begegnen. Wird bei einem Anwender einer derartigen App bekannt, dass er infiziert ist, dann kann die App seine Kontaktpersonen darüber informieren, dass sie sich in der Nähe eines infizierten Menschen aufgehalten haben. So können diese Kontaktpersonen sich bereits in Isolation begeben, noch bevor sie an sich selbst Symptome entdecken.

Eine solche Corona-Tracing-App wollte die deutsche Bundesregierung bereits Mitte April verfügbar machen. Zum Redaktionsschluss Anfang Mai jedoch ist der aktuelle Stand, dass die App noch bis mindestens Juni auf sich warten lassen wird. Wie kommt es zu dieser Verzögerung?

Ursprüngliches Konzept

Das ursprüngliche Konzept sah folgendermaßen aus: Die Corona-App für Deutschland sollte auf der Grundlage einer Technologie entstehen, die von der gemeinnützigen Organisation PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) entwickelt wurde. Diese Technologie sah eine zentrale Datenbank vor, in der die gesammelten Daten gespeichert werden.

Zu den Mitgliedern dieser internationalen Organisation gehören unter anderem mehrere Fraunhofer-Institute, das Robert-Koch-Institut, die Freie Universität Berlin, die Technische Universität Dresden, die Technische Universität München und der Mobilfunkanbieter Vodafone. Die konkrete App auf dieser Basis sollte das Robert-Koch-Institut entwickeln und veröffentlichen.

Abstandsmessungen mit Bluetooth

Die geplante Corona-App verwendet den Kurzstreckenfunk Bluetooth (Low Energy), um erstens festzustellen, welche anderen Smartphones sich in der Nähe befinden, und um zweitens die Entfernung zu diesen Geräten zu ermitteln. Wenn sich zwei Smartphones eine bestimmte Zeit lang nahe beieinander befinden, dann tauschen die beiden Geräte einen digitalen Schlüssel aus.

Wenn ein Anwender sich bei der App als infiziert meldet (und dies durch eine ärztliche Diagnose belegen kann), dann übermittelt die App die digitalen Schlüssel seiner Kontaktpersonen an den Server des App-Herstellers. So dass dieser Warnungen an die Kontaktpersonen des infizierten Menschen schicken kann. Diese erfahren jedoch lediglich, dass sie sich in der Nähe eines infizierten Menschen befunden haben – und den ungefähren Zeitpunkt dieser Begegnung. Die Identität des Erkrankten wird ihnen nicht enthüllt. Auch dem Hersteller der App ist es nicht möglich, die Identität des infizierten Menschen herauszufinden.

Pseudonyme Daten

Das Sammeln der Daten erfolgt zwar nicht anonym, immerhin aber pseudonym. Wenn Sie sich also an dem Projekt beteiligen, dann erhalten Sie eine Nutzer-ID, der Ihre Messdaten und auch Ihre Postleitzahl zugeordnet wird.

Die „Corona-Datenspende“-App unterstützt Smartwatches und Fitness-Armbänder von Apple, Fitbit, Garmin, Polar, Withings und Nokia. Wenn Sie eine Uhr oder ein Armband eines anderen Herstellers mit der App „Google Fit“ verbunden haben, dann ist es Ihnen ebenfalls möglich, Ihre Daten zu spenden.

Zusammenarbeit zwischen Google und Apple

Währenddessen, jenseits des Atlantiks: Unabhängig von den europäischen Bemühungen haben am 10. April die beiden amerikanischen Konzerne Google und Apple bekannt gegeben, gemeinsam an einer Software-Lösung zu arbeiten, die es ermöglicht, mit Hilfe von Bluetooth Begegnungen zu protokollieren. „Datenschutz, Transparenz und Zustimmung sind bei diesen Bemühungen von größter Bedeutung.“

Die Gemeinschaftslösung stellt Programmierschnittstellen zur Verfügung, die es Apps von Gesundheitsbehörden erlauben, die gesammelten Daten zu verwenden.

Die Voraussetzung dafür ist ein Software-Update. Beim iPhone wird dies durch eine Aktualisierung des Betriebssystems iOS 13 geschehen. Auf Android-Smartphones dagegen will Google die neuen Funktionen mittels eines Updates der Google Play Services verwirklichen – und zwar für Geräte ab Android 6.

Heftige Kritik

Das ursprüngliche Konzept der Bundesregierung für die Corona-App stieß jedoch auf starke Kritik: Am 24. April beispielsweise schickten einige netzpolitische Organisationen (darunter der Chaos Computer Club und die Gesellschaft für Informatik) einen offenen Brief an das Bundesgesundheitsministerium. Darin kritisierten sie den zentralen Ansatz der geplanten App. Dieser werde dazu führen, das Vertrauen in eine solche App auszuhöhlen. Die anfallenden Daten seien hochsensibel und daher besonders schützenswert. Je mehr Daten verarbeitet würden, desto größer sei das Risiko, die Anonymität der Anwender aufzuheben. „Das lückenlose zentrale Verfolgen der Aufenthalte aller Bürger ist das Horror-Szenario schlechthin.“

Schon einige Tage zuvor hatten knapp 300 Wissenschaftler aus aller Welt in einem ebenfalls offenen Brief generell vor einer zentralisierten Lösung gewarnt – und das Gemeinschaftsprojekt von Google und Apple lobend erwähnt.

Zentral oder dezentral?

Bei einem zentralen Ansatz schickt die App eines infizierten Anwenders sowohl den digitalen Schlüssel dieses Anwenders als auch die Schlüssel seiner Kontakte an einen Server. Auf diesem Server befinden sich dann also Informationen über Kontaktnetze – die im schlimmsten Falle missbräuchlich verwendet werden könnten (beispielsweise von diktatorischen Regierungen oder von Kriminellen, denen es gelingt, sie in die Hände zu bekommen).

Bei einem dezentralen Ansatz dagegen sendet die App eines infizierten Anwenders lediglich den Schlüssel dieses Anwenders an den Server. Der diesen Schlüssel dann an die anderen Anwender übermittelt. Die eigentliche Prüfung, ob es einen Kontakt zu einem infizierten Anwender gegeben hat, findet lokal statt, also direkt auf dem Smartphone.

Neuausrichtung?

Am 25. April dann änderte die Bundesregierung ihre Einstellung: Es sei nun geplant, „eine dezentrale Architektur vorantreiben, die die Kontakte nur auf den Geräten speichert und damit Vertrauen schafft“. Umgesetzt werden soll dies mit Hilfe des offenen „Decentralised Privacy-Preserving Proximity Tracing“-Protokolls (DP-3T), das auch in der Schweiz zum Einsatz kommen wird. Die Software wird quelloffen vorliegen, um zusätzliches Vertrauen zu schaffen. Zudem soll die deutsche Corona-App sich mit den Lösungen anderer europäischer Staaten vertragen.

Das neue Konzept sieht darüber hinaus vor, dass die App die oben erwähnten neuen Programmierschnittstellen von Google und Apple verwendet, um das Bluetooth-Modul der Smartphones zum Protokollieren von Begegnungen einsetzen zu können.

Entwickelt werden soll die App unter der Leitung der Deutschen Telekom und des Software-Herstellers SAP. Die Wahl fiel auf diese Unternehmen, weil sie erstens über die nötige „Infrastrukturkompetenz“ verfügten. Und weil es sich bei ihnen zweitens um „große Industrieplayer“ handele, „die auf Augenhöhe mit Apple und Google reden können“.

Um zu gewährleisten, dass die App den notwendigen Anforderungen an Datenschutz und Datensicherheit entspricht, werden auch das Bundesamt für Sicherheit in der Informationstechnik und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit eingebunden.

Beratend tätig werden sollen die Fraunhofer-Gesellschaft und das Helmholtz-Zentrum für Informationssicherheit, die bereits im Rahmen des ersten Konzepts an der App gearbeitet haben.

Bereitschaft in der Bevölkerung?

Laut einer Untersuchung der University of Oxford lässt sich die Pandemie stoppen, wenn etwa 60 Prozent der gesamten Bevölkerung die Corona-App verwenden und sich an ihre Ratschläge halten. Aber auch bei niedrigeren Anwenderzahlen wird sie eine positive Wirkung haben: Nach den Schätzungen der Wissenschaftler wird eine Infektion pro ein oder zwei Anwender der App verhindert.

Das Verwenden der Corona-App ist freiwillig, irgendeine Art von Verpflichtung oder Zwang soll es nicht geben. Diversen Umfragen zufolge ist allerdings nur knapp die Hälfte der Deutschen bereit, eine derartige Corona-App zu verwenden. Hinzu kommt, dass tatsächlich noch längst nicht jeder Deutsche ein Smartphone benützt: Der Anteil der Smartphone-Nutzer liegt in Deutschland bei ungefähr 80 Prozent. Etwas naiv gerechnet kommt man also auf lediglich etwa 40 Prozent Corona-App-Anwender.

Die Bundesregierung hofft jedoch, dass die Entscheidung für eine dezentrale Organisation der App eine bessere Akzeptanz in der Bevölkerung bewirkt. Regierungssprecher Steffen Seibert: „Die Neuorientierung erhöht ganz klar die Chancen der Umsetzung.” Thorsten Frei, stellvertretender Vorsitzender der CDU/CSU-Bundestagsfraktion, schlägt sogar einen Steuerbonus für Nutzer der Corona-App vor, um „den Anreiz für einen wirklichen Gebrauch der App [zu] erhöhen“.

Trotz aller Freiwilligkeit: Es ist bislang kein Gesetz geplant, das Menschen, die die App nicht verwenden möchten, vor Diskriminierungen schützen würde (beispielsweise wenn die App zur Voraussetzung für den Einlass zu Veranstaltungen gemacht wird).

Stopp Corona Die App „ Stopp Corona “ befindet sich nicht erst im Planungsstadium, sondern ist bereits seit dem 25. März erhältlich – allerdings ausschließlich in Österreich. Die App, die vom Österreichischen Roten Kreuz stammt, fungiert als „Kontakt-Tagebuch“ – protokolliert also, wann man sich in der Nähe welcher anderer Menschen befindet. Der Sinn dahinter: Entdeckt ein Mensch bei sich Symptome einer Ansteckung mit dem Coronavirus (oder erhält er eine entsprechende Diagnose von einem Arzt), so kann er dies der App mitteilen. Daraufhin fordert ihn die App auf, sich umgehend in Selbstisolation zu begeben. Und auch diejenigen Menschen, mit denen er in den vergangenen 54 Stunden Kontakt hatte, erhalten eine derartige Aufforderung. Auf diese Weise lässt sich der Zeitraum verkürzen zwischen dem Auftreten der Symptome bei einem Menschen und dem Auffinden derjenigen Menschen, die er möglicherweise angesteckt hat. Handschlag per Bluetooth Damit die „Stopp Corona “-App eine Begegnung mit einem anderen Menschen protokollieren kann, muss sie einen „digitalen Handschlag“ mit dessen Smartphone durchführen. Das funktioniert entweder von Hand (durch Eingeben eines Ziffern-Codes). Oder aber automatisch. In diesem Fall verwendet die App das Bluetooth-Modul des Smartphones, um herauszufinden, welche anderen Smartphones sich in der Nähe befinden. Ein automatischer Handschlag wird nur dann durchgeführt, wenn zwei Menschen einen bestimmten Mindestabstand für einen längeren Zeitraum unterschreiten. Als Beispiel nennt der Hersteller den Mindestabstand von 2 Metern und einen Zeitraum, der länger ist als 15 Minuten. Anonymität Das Verwenden der App ist freiwillig. Um die Akzeptanz der App zu erhöhen, legt der Hersteller großen Wert auf Anonymität: Anwender erhalten lediglich eine Nachricht darüber, dass sie sich in der Nähe eines infizierten Menschen befunden haben (und zu welchem Zeitpunkt), erfahren jedoch nicht, um wen es sich dabei handelt.

Persönliche Daten muss man zunächst einmal nicht in die App eingeben. Wer sich allerdings (nach einer ärztlichen Diagnose) bei der App „krankmeldet“, der muss seine Mobilfunk-Telefonnummer angeben. Das dient laut Hersteller dazu, Missbrauch zu verhindern.

Gefälschte ­Corona-Apps

Auch Cyber-Kriminelle machen sich die Angst der Menschen vor der Coronavirus-Erkrankung zunutze: Die Forscher des Sicherheitsunternehmens Check Point Research haben im April 16 Smartphone-Apps entdeckt, die vorgeben, Informationen über das Coronavirus zu liefern, in Wahrheit aber bösartige Zwecke verfolgen.

Panik ist dennoch nicht angebracht. Denn keine dieser Android-Apps ist bislang in einem offiziellen App-Store aufgetaucht. Stattdessen wurden sie auf neu eingerichteten Web-Sites angeboten, die unbedarfte Anwender mit Informationen über das Virus anzulocken versuchen.

Online-Banking im Visier

Bei einer der enttarnten Apps handelt sich um den berüchtigten Bank-Trojaner „Cerberus“. Diese App ist in der Lage, alle Eingaben (einschließlich Zugangsdaten) auf dem Smartphone zu protokollieren, Google-Authenticator-Daten an sich zu bringen und SMS-Nachrichten (beispielsweise mit Zwei-Faktor-Authentisierungs-Informationen) abzufangen. Auch das Fernsteuern des befallenen Smartphones ist möglich.

Unerwünschte ­Premiumdienste

Der zweite aufgeflogene Übeltäter: „CallPay“, eine App, die – ohne dass der Smartphone-Besitzer es merkt – kostenpflichtige Abonnements abschließt, indem sie spezielle Telefonnummern anruft oder SMS-Nachrichten verschickt.

Massenweise Werbung

Eine weitere bösartige Software, die sich als Corona-App tarnt: „Hiddad“. Diese App zeigt unkontrolliert Werbeanzeigen auf dem Smartphone an.

Datendiebstahl und ­Überwachung

Bedrohlicher ist die App „MRAT“, die es den Kriminellen erlaubt, das befallene Smartphone komplett zu überwachen und zu steuern. In der Regel wird dieser Trojaner verwendet, um Daten zu stehlen oder um den Smartphone-Besitzer ausspionieren.

Die chinesische Corona-Ampel

Nach dem schrittweisen Beenden der Ausgangsbeschränkungen in China verwenden die Behörden dort ein Smartphone-basiertes Ampelsystem, um die weitere Verbreitung des Coronavirus zu erschweren.

Zu diesem Zweck kommt eine Software zum Einsatz, die als Zusatzmodul in den verbreiteten Smartphone-Apps WeChat und Alipay installiert wird. WeChat ist ein Messenger, Alipay eine Bezahl-App. Fast jeder Smartphone-Besitzer in China verwendet mindestens eine dieser Apps.

Wer sich in China frei umherbewegen möchte, der muss in der Software einen Fragebogen ausfüllen, der nach gesundheitlichen Details fragt. Abhängig von diesen Angaben erhält der Smartphone-Besitzer einen farbigen QR-Code.

Menschen mit einem roten oder gelben Code dürfen nicht reisen. Ein roter Code bedeutet, dass der Smartphone-Besitzer mit dem Coronavirus infiziert ist oder zumindest wahrscheinlich infiziert ist. Ein gelber Code besagt, dass er Kontakt mit einem infizierten Menschen hatte. Ein grüner Code bedeutet, dass der Smartphone-Besitzer keine Symptome der gefürchteten Erkrankung hat. Nur mit diesem Code darf er beispielsweise in eine U-Bahn einsteigen oder in ein Hotel einchecken.