Nach wochenlangen Vorbereitungen geht die offizielle deutsche Warn-App für den Kampf gegen das Coronavirus an den Start. Die Bundesregierung stellt die neue Anwendung am Dienstag (10.30 Uhr) in Berlin vor. In den App-Stores von Google (Download hier) und Apple (Download hier) stand die Anwendung bereits in der Nacht zur Verfügung. Das Herunterladen soll für alle Bürger freiwillig sein, um mithilfe von Smartphones das Nachverfolgen von Infektionen zu erleichtern. Die Regierung wirbt für eine breite Nutzung und verspricht hohen Datenschutz. Das müssen Sie über die App wissen.
Warum hat es so lange gedauert, bis die App zur Verfügung stand?
Zu Beginn der Corona-Krise hat sich Bundesgesundheitsminister Jens Spahn zunächst an Apps orientiert, die mithilfe von Geo-Informationen (GPS oder Mobilfunkzelle) tracken, wo Infizierte sich aufgehalten haben und wen sie dabei getroffen haben. Es stellte sich aber schnell heraus, dass dieses Verfahren technisch zu ungenau ist und Datenschutzprinzipien verletzt. Der Chaos Computer Club wertete die ersten Ansätze als „zentralisierten Überwachungsalbtraum“, den Spahn ursprünglich geplant habe. Die Wahl fiel dann auf die Bluetooth-Technik, die präziser als GPS und Mobilfunkortung ist.
Danach stritten Wissenschaftler und Datenschützer noch lange über die beste Speichermethode: zentral auf einem Server oder dezentral auf den Smartphones selbst. Dieser Streit wurde letztlich durch Apple und Google entschieden, die für die Nutzung von dringend benötigten Programmschnittstellen nur eine dezentrale Speicherung der Kontaktdaten erlauben. Die Bundesregierung entschied dann zusätzlich, den Quellcode der App zu veröffentlichen, Feedback einzuholen und den Code ständig nachzubessern. Datenschützer und IT-Experten sind aber unisono der Meinung, dass sich dieser Zeiteinsatz gelohnt hat.
Was soll die App leisten?
Die App schützt die Anwender nicht davor, selbst mit dem Virus infiziert zu werden. Sie soll aber Infektionsketten frühzeitig erkennen und unterbrechen. Das Coronavirus ist nämlich schon ansteckend, bevor Krankheitssymptome sichtbar sind. Die App hat die Aufgabe, Personen frühzeitig zu warnen, die mit Infizierten in Kontakt standen. Die App soll außerdem dazu beitragen, dass Betroffene schneller ihr Testergebnis erhalten.
Kann das mit Bluetooth-Technik überhaupt funktionieren?
Klar ist, der Kurzstreckenfunk Bluetooth wurde nie für diese Aufgabe erfunden, sondern für andere Zwecke wie das Anschließen einer drahtlosen Tastatur und Computermaus an einen PC oder das Streamen von Musik vom Smartphone auf einen Lautsprecher. Bluetooth eignet sich aber besser als andere Techniken dazu, auch Entfernungen zwischen zwei Geräten zu schätzen, auch wenn manche Experten wie Jörg Schmalenströer von der Universität Paderborn Bluetooth für ungeeignet halten.
Mit der App verwandelt sich ein Smartphone in einen kleinen „Bluetooth-Leuchtturm“, der im Abstand von zweieinhalb bis fünf Minuten eine temporäre Identifikationsnummer 16-mal in die nähere Umgebung funkt. Gleichzeitig lauscht das Telefon, ob es Bluetooth-Signale von anderen empfangen kann. Halten sich Nutzer, die beide die App laufen haben, nebeneinander auf, tauschen die Smartphones ihre IDs aus.
Sieht damit meine nähere Umgebung all meine Kontaktdaten?
Nein. In dem Datenaustausch werden nie die Klarinformationen der Anwender verwendet. Die App generiert zunächst einen anonymisierten Tagesschlüssel. Aus diesem werden alle 15 Minuten neu temporäre IDs erzeugt, die dann mit den anderen Smartphones ausgetauscht werden. Sie lassen keinen direkten Rückschluss auf den Nutzer der App zu. Die ständig wechselnden temporären IDs werden für 14 Tage lokal auf dem Smartphone in Listen gespeichert und dann gelöscht.
Hat das technische Konzept Schwachstellen?
Bei einem technischen Audit durch TÜV-IT wurden zwar zwischenzeitlich etliche Lücken gefunden, die aber vor Veröffentlichung der App alle geschlossen werden konnten. Nach Einschätzung des Chaos Computer Clubs können Schwachstellen aber nie ganz ausgeschlossen werden. „Entscheidend ist, wie gut sie skalieren und wie groß das Schadenpotenzial für die Nutzerinnen ist“, sagt Club-Sprecher Linus Neumann. Dank Dezentralität und Datensparsamkeit sei das Risiko für die Daten der Nutzer und Nutzerinnen minimiert – selbst wenn jetzt noch Schwachstellen gefunden würden. „Im zentralisierten Ansatz würde jede potenzielle Schwachstelle schwerer wiegen.“
Was passiert, wenn ein Anwender positiv getestet wurde?
In diesem Fall trägt man diesen Status selbst in die App ein. Das Meldesystem will dabei verhindern, dass versehentlich oder absichtlich eine falsche Infektionsmeldung in das System gelangt. Um einen Missbrauch oder Irrtum zu verhindern, muss dieser Status offiziell bestätigt werden. Das geschieht zum einen über einen QR-Code, den man vom Testlabor erhält. Alternativ kann man auch eine TAN eingeben, die man von einer Telefon-Hotline bekommt, da nicht alle Labore in der Lage sind, QR-Codes zu generieren. Im Infektionsfall erhalten die betroffenen Kontakte einen Hinweis, dass sie sich testen lassen sollen.
Kann man zur Verwendung der App gezwungen werden?
Die Bundesregierung hat mehrfach betont, dass die Installation und Verwendung der App freiwillig sind und dass es keinen App-Zwang geben darf. Auch positive Anreize wie Steuererleichterungen oder andere Vergünstigungen hat die Koalition ausgeschlossen. „Klar ist: Ein Zwang zur Nutzung der App würde dem Vertrauen maximal schaden“, sagt Linus Neumann, der Sprecher des Chaos Computer Clubs. „Nach unserer Kenntnis plant das zurzeit auch niemand.“
Die Grünen und Linken, Verbraucherschützer und Organisationen wie Amnesty International fordern aber, dass der Einsatz der App durch ein Gesetz geregelt wird. So müsse nicht nur die Installation der App freiwillig sein. Es dürfe auch keine Verpflichtung geben, ein Smartphone mit laufender App mit sich zu führen und bei Restaurantbesuchen, beim Einkaufen oder Veranstaltungen vorzuzeigen.
Wie viele Menschen müssen die App nutzen, damit das Konzept funktioniert?
Eine britische Studie geht von 40 Millionen Nutzern aus. Erst wenn sich 60 Prozent der Bevölkerung oder mehr beteiligten, werde der volle Effekt erreicht. Die Forscher aus Oxford sagen aber auch: „Selbst bei einem geringeren Anteil gehen wir davon aus, dass die Zahl der Infektionen und Todesfälle sinkt.“
Regierungssprecher Steffen Seibert verwies am Montag auf inzwischen veränderte Rahmenbedingungen: „Das war eine vollkommen andere Zeit mit einem viel, viel höheren Reproduktionsfaktor.“ Die Berechnungen aus Oxford gingen auch von der Annahme aus, dass es gar keine anderen Mittel des Kampfes gegen die Pandemie gebe. Der Nutzen der App wird aber umso größer sein, je mehr Nutzer sie habe. „Deswegen hoffen wir, dass viele Menschen sich überzeugen lassen. Aber sie hat ihren Nutzen bereits weit unterhalb dieser Marke von 60 Prozent.“
Greifen Google und Apple bei der App sensible Daten ab?
Davon ist nicht auszugehen. Es gibt keinerlei Hinweise in diese Richtung, selbst wenn das theoretisch irgendwie möglich wäre. Dass die Programmschnittstellen (APIs) der beiden Konzerne im Gegensatz zur App selbst nicht quelloffen gemacht wurden, ist nach Einschätzung des Chaos Computer Clubs als „ein Schönheitsfehler für Transparenz und Überprüfbarkeit“ zu bewerten.
„Als vertrauensbildende Maßnahme wäre es wünschenswert gewesen, wenn auch Apple und Google ihren Teil des Systems Open Source gestellt hätten“, sagte Clubsprecher Neumann. „Da Apple und Google die Mobiltelefone aber vollständig kontrollieren, könnten sie sich ohnehin immer Zugriff auf alle Daten verschaffen. Als Käuferinnen sind wir daher immer davon abhängig, den Herstellern unserer Systeme vertrauen zu müssen – das ist nicht schön, aber leider bittere Realität des Duopols.“
Auf welchen Smartphones kann die App installiert werden?
Beim iPhone ist das aktuelle Betriebssystem iOS 13.5 Mindestvoraussetzung. Das gibt es für Geräte ab dem iPhone 6s oder dem iPhone SE. Ein altes iPhone 5, 5S oder 6 reicht nicht aus. Bei Android-Handys ist die Lage etwas unübersichtlicher. Hier ist Android 6 und die Unterstützung von Bluetooth LE Mindestvoraussetzung. Zum anderen müssen aber auch die Google Play Services laufen, weil der Konzern die Schnittstellen nicht über Android selbst zur Verfügung stellt, sondern über diese Google-Dienste.
Wie sicher kann die Warn-App gegen Fehlalarme sein?
Da die Bluetooth-Technik nicht für das Messen von Abständen entwickelt wurde, wird es sicherlich auch Fehlalarme geben. Es kann zum Beispiel sein, dass sich Infizierte hinter einer Glaswand befunden haben und einen Alarm auslösen, obwohl durch den „Kontakt“ keine Infektionsgefahr ausging. Daher verweisen selbst die Entwickler darauf, dass die App nur einen begrenzten Beitrag zur Normalisierung liefern kann. Wer sich und andere vor einer Infektion schützen will, sollte auch mit der App Abstand wahren und eine Maske tragen.
