Warum ich die Corona-Warn-App installiere

Die Corona-Warn-App soll im Rahmen der Corona-Pandemie zur Nachverfolgung von Infektionsketten genutzt werden, um die Ausbreitung schnell und gezielt eindämmen zu können. Warum ich die Warn-App installieren werde, erkläre ich in diesem Beitrag.

Grundsätzlich handelt es sich hierbei um ein sinnvolles Ziel und im Rahmen der Corona-Pandemie schlicht um eine Notwendigkeit, um weitere Lockerungen zu ermöglichen. Die Schwierigkeiten liegen in der Umsetzung, denn es wäre problematisch, wenn sich daraus detaillierte Bewegungsprofile einzelner Personen erstellen ließen.  Für meine persönliche Entscheidung, die App zu installieren und den Einsatz zu befürworten, ist der Entschluss der Bundesregierung Ende April 2020 relevant, die Umsetzung der dezentralen Lösung zu beauftragen. Hieraus ergeben sich nämlich einige Vorteile für die Privatsphäre der Nutzer, auf die ich nun weiter eingehen will.

Warum wir die Corona-Warn-App brauchen

Die Corona-Warn-App kann mich nicht warnen, wenn die Person, die mir gegenübersteht, ansteckend ist, auch wenn dieses Bild immer mal wieder auftaucht. Der Einsatzzweck einer Covid-19-Warn-App ist die Aufzeichnung der Begegnungen von Individuen und die nachträgliche Auswertung dieser Begegnungen.

Eine Ansteckung kann in der Inkubationszeit erfolgen, auch wenn ein Mensch noch keine Symptome zeigt. In diesem hohen Ansteckungsrisiko liegt der Grund, warum man mit herkömmlichen Maßnahmen eine Infektionskette nicht effektiv nachverfolgen kann.

In Restaurants wird aktuell der analoge Ansatz zum Kontakt-Tracking verfolgt: Jeder muss seinen Namen und seine Kontaktdaten hinterlassen, nach 14 Tagen werden die Daten vernichtet. Das funktioniert auch noch beim Frisör oder am Arbeitsplatz, aber für Begegnungen im Supermarkt, im Park oder in der S-Bahn ist das keine Option mehr.

Die offizielle Corona-Warn-App der Bundesregierung Deutschland auf einen Blick:

orona-warn-app-bild-1-download

corona-warn-app-bild-2-risikoermittlungcorona-warn-app-bild-3-warnungcorona-warn-app-bild-4-empfehlung

 

Tracking vs. Tracing

Formal unterscheidet man zwischen Tracing und Tracking. Tracking wertet Standort-Daten aus: GPS, Funkzellen im Mobilnetz oder WLAN-Netze; üblicherweise das, was staatliche Behörden bei der Überwachung und Verfolgung von Straftätern tun. Das Ziel von Tracing ist, dass nur die Kontakte aufgezeichnet werden, nicht jedoch der Ort. Hierzu können Bluetooth Low Energy-Signale verwendet werden, bei denen man sogar über die Feldstärke einen Abstandswert ermitteln kann. Jedes Smartphone sendet bei aktivierter App ein Signal aus, den sogenannten Beacon, der von anderen Smartphones im Umfeld von ungefähr zehn Metern registriert werden kann. Jetzt muss nur noch sichergestellt werden, dass sowohl Apple- als auch Android-Geräte die Beacons der Geräte auch des jeweils anderen Herstellers zuverlässig erkennen, um eine sehr flächendeckende Aufzeichnung der Begegnungen zu bekommen.

Zentral vs. Dezentral

Wenn ein Smartphone das Signal eines anderen empfängt, kann es diesen Kontakt als anonyme nummerische Kennung aufzeichnen und abspeichern, inklusive Uhrzeit, Dauer und Signalstärke. Es könnten zusätzlich auch andere Metadaten wie GPS-Position oder WLAN-Netze aufgezeichnet werden, dies würde aber dem Prinzip der Datensparsamkeit widersprechen. „Kontakt“ hat in diesem Fall übrigens nichts mit den Kontakten im Adressbuch oder in WhatsApp zu tun. Kontakt bezeichnet nur die Begegnung von zwei Smartphones, deren Träger sich nicht einmal kennen und auch nichts voneinander erfahren müssen.

Interessant werden diese Begegnungsdaten, wenn sich nun bei einem Smartphone-Besitzer eine Covid-19-Infektion herausstellt. In diesem Falle könnte er alle Personen angesteckt haben, denen er in den letzten Tagen begegnet ist. Doch wie kommt jetzt die Warnung zu diesen Personen? Der einfachere Weg ist eine zentrale Datenhalde, in die jedes Gerät seine Begegnungen hochladen kann. In dieser zentralen Datensammlung könnten dann Auswertungen durchgeführt werden: Von einer zentralen Instanz, die die Begegnungen auswertet und eine Warnung über die App an das andere Smartphone verschickt. Corona ist ein weltweites Problem, und es gibt Regierungen die liebend gerne vollständige Kontakt- oder Bewegungsprofile von Oppositions-Politikern oder kritischen Bürgern sammeln würden, und sei es unter dem Deckmantel einer Corona-Warn-App.

Darum wurde von Anfang an aus der Zivilgesellschaft der datenschutzrechtlich unbedenklichere Ansatz einer dezentralen Auswertung gefordert. Hier werden die Begegnungsdaten einer infizierten Person zentral bereitgestellt und von allen anderen Apps heruntergeladen und erst dort ausgewertet. Hat ein Kontakt in den letzten 14 Tagen stattgefunden, warnt die App entsprechend und gibt Verhaltensempfehlungen.

Durch entsprechende kryptographische Verfahren ist sichergestellt, dass niemand in der Umgebung zur Verteilung der Daten eine Auswertung durchführen kann. Es ist für die in den Geräten gespeicherten Daten nicht möglich, direkt auf die Identität der an der Begegnung beteiligten Personen zu schließen. Es wird nur der Tag des Kontaktes und eine Bewertung des Ansteckungsrisikos ausgegeben, die durch Dauer und Nähe der Begegnung errechnet wird. Es erfolgt keine Angabe der Uhrzeit, die möglicherweise Rückschlüsse auf den infizierten Kontakt ermöglichen würde.

Google und Apple

Dieser dezentrale Ansatz wurde jetzt von Apple und Google als der offizielle Weg definiert, wie eine Corona-Warn-App zu implementieren ist. Den gerade beschriebenen Weg definiert eine entsprechende Exposure Notificaton API. Technisch basiert der Ansatz von Google und Apple auf dem sogenannten DP-3T-Protokoll. DP-3T steht für Decentralized Privacy-Preserving Proximity Tracing und wurde genau für diese Erfassung von Begegnungen durch führende Wissenschaftler zu Beginn des Jahres entwickelt. Diese API, die ein vergleichbares Protokoll abbildet, ist mit zusätzlichen technischen und organisatorischen Sicherheitsmechanismen ausgestattet. Beispielsweise erhält nur eine App für ein Land die Berechtigung, diese API zu nutzen, außer es gibt nachweislich einen regionaleren Ansatz. Die App darf keine Werbeeinblendungen haben und darf auch nicht von einer Firma veröffentlicht werden, sondern muss von einer Institution wie beispielsweise dem Robert-Koch-Institut veröffentlicht werden. Außerdem ist es in der Spezifikation ausdrücklich untersagt, dass eine App, die die Exposure Notificaton API nutzt auch die Location API nutzen darf. Weiterhin behalten sich die Hersteller vor, dass sie diese API auch wieder deaktivieren werden, wenn Corona-Tracing nicht mehr notwendig ist. Die API wird von Apple im Rahmen eines Betriebssystem-Updates auf iOS 13.5 bereitgestellt, Google verteilt es über die Google Play Services für Geräte ab Android 6.0. Huawei-Geräte, auf denen die Play Services nicht mehr installiert sind, weil ihnen die Playstore-Lizenz von Google entzogen wurde, bekommen eine eigene Implementierung der definierten API von Huawei. Diese wird als HMS Core Contact Shield bezeichnet.

Wer sich bei der Implementierung einer Corona-Warn-App nicht auf dieses Angebot oder die gemeinsamen Regeln der Hersteller einlassen will, kann zwar auf eigene Faust implementieren, wird aber zusätzliche technische Herausforderungen haben: Beispielsweise hat die App in Frankreich eine eigene Implementierung für die Näherungserkennung im Bluetooth-LE, allerdings kann auf iPhones der Zugriff auf Bluetooth nur im Vordergrund erfolgen, so dass die Benutzbarkeit dieser App sehr gering und der Stromverbrauch nicht unerheblich ist. Dem Wunsch der französischen Regierung Bluetooth-Zugriffe auch im Hintergrund möglich zu machen wurde bisher durch Apple nicht entsprochen.

Wie läuft eine Infektionsmeldung ab?

Corona Warn App Componenten

Die Meldung eines positiven Covid-19-Tests ist mit weiteren Herausforderungen verbunden. Während im zentralen Ansatz eine Instanz alle Identitäten kennen würde und die Infektion entsprechend zuordnen kann, fehlt diese Information im dezentralen Ansatz. Hier muss sichergestellt werden, dass nur wirkliche Test-Ergebnisse gemeldet werden und keine Falschmeldungen abgesetzt werden können. Mit falschen Meldungen und daraus resultierenden Fehlalarmen kann das gesamte Vertrauen in die Corona-Warn-App erschüttert werden. Hier sehen sogar Google und Apple vor, dass eine App entsprechende Mechanismen implementieren muss um Spaßmelder zu verhindern. Um einen vertrauenswürdigen Upload von Begegnungsdaten bei einer Infektion zu ermöglichen muss eine TAN, die im optimalen Fall mit dem Test-Ergebnis bereitgestellt wird, angegeben werden. Diese TAN ist heute auch der am wenigsten komfortable Teil des ganzen Tracing- und Meldeverfahrens. Da noch nicht alle Labore ausreichend an die digitalen Infrastrukturen angebunden sind, oder sich Patienten gegen eine digitale Übermittlung der Test-Ergebnisse entschieden haben, muss es einen analogen Weg über eine Telefon-Hotline geben, um eine sogenannte teleTAN zu erhalten, mit denen Begegnungsdaten bei einer bestätigten Infektion hochzuladen sind. Hieraus kann natürlich ein Sport entstehen, die Telefon-Hotline von der Existenz des positiven Test-Ergebnis zu überzeugen und gezielt fehlerhafte Daten in Umlauf zu bringen.

Beim Algorithmus zur Generierung der TANs hat eine Überprüfung durch die TÜViT, eine Tochter des TÜV Nord, ergeben, dass es sehr einfach ist, gültige TANs selbst zu erstellen. Dies könnte genau zu solchen Spaß- oder Sabotage-Meldungen führen.

Das Auslesen der entsprechenden Daten aus der API für einen Upload erfordert auf dem Gerät ebenfalls nochmal eine zusätzliche Bestätigung des Benutzers, sodass die Warn-App nicht eigenständig und ungewollt die Daten auslesen und zentral hochladen kann.

Wer weiß jetzt, dass ich infiziert bin?

Die Identität des Erkrankten ist den Gesundheitsämtern, also dem Staat, bei einem positiven Test-Ergebnis sowieso bekannt. Jetzt geht es nur noch darum, die Offenlegung der Identität des Infizierten gegenüber den Begegnungen zu verhindern und trotzdem die Warnung auszugeben.

Im Rahmen der Meldung einer Infektion lassen sich aus Sicht des technischen Empfängers der Begegnungsdaten theoretisch Metadaten anreichern. Die Deutsche Telekom als Betreiber der Upload-Infrastruktur kann theoretisch bei eigenen Kunden sogar auf Haushalte oder Personen schließen. Ich gehe davon aus, dass sie das nicht tun, da es deutschem Recht widersprechen würde. Eine Auswertung der Geo-Lokation der IP-Adressen beim Versand der Begegnungsdaten würde auch keine genauere Aufstellung der Verteilung der Infektionen ergeben als die Befunddaten der Gesundheitsämter es ohnehin schon ermöglichen. Eventuell würde sich eine digitale Echtzeit-Näherung ergeben, so dass ich hier keine zusätzlichen Gefahren sehe.

Open Source

Am 25. April 2020 hat die Bundesregierung den zuvor favorisierten zentralen Ansatz verworfen und sich auf den dezentralen Ansatz und die APIs der Hersteller eingelassen. Beauftragt mit der Entwicklung wurden SAP und die Deutsche Telekom. Die Entwicklung wird unter Apache 2.0 Lizenz als Open Source-Projekt durchgeführt und ist auf Github einsehbar.

Durch die Regularien der Geräte-Hersteller wird sich aber nicht jeder seine eigene-Corona-Warn-App selbst bauen können, sondern vielmehr dient die Veröffentlichung vor allem der Transparenz und gibt Möglichkeiten zum Review.

Die Unkenrufe, dass ausgerechnet die beiden Schwergewichte der deutschen IT-Branche die für die schnelle Entwicklung beauftragt wurden, scheinen sich nicht zu bewahrheiten. Es scheint eher so, dass irgendwo in den Konzernen versteckt eine Hand voll gute Entwickler oder Entwickler-Teams sitzen, die zu solchen schnellen und erfolgreichen Entwicklungen in der Lage sind. Vom Tag der Architektur-Entscheidung am 25. April bis zur Veröffentlichung der ersten Version der App liegen keine acht Wochen.

Warum ich die App installiere

Corona Warn App UI Screen iOS

Meine Entscheidung die Corona-Warn-App zu verwenden, begründet sich vor allem hierauf:

  • Verwendung der Geräte-Hersteller APIs und klaren Privacy-Zusagen
  • Implementierung der dezentralen Infrastruktur für den Datenschutz
  • Transparenz durch Open Source

Darum sehe ich hier wenig bis gar kein Missbrauchspotential der implementierten Technologie.

Die Informationen, die als Metadaten an einem Tweet hängen, geben beispielsweise auch Informationen über meinen Standort preis. Kontaktdaten die Facebook über WhatsApp erhält,  können sehr explizit zum Aufbau von Verbindungen unter den Anwendern genutzt werden, und hier haben 60 Millionen deutsche Nutzer von WhatsApp keinerlei Bedenken beim Datenschutz. All diese Risiken zur realen Kontakt-Nachverfolgung bestehen bei der Corona-Warn-App nicht, weil das Design völlig anderes angelegt ist.

Ressourcenbedarf

Für den Erfolg der App wird ein weiteres Kriterium relevant sein: Der Ressourcenbedarf. Große Footprints und große Datenvolumina könnten hier ein Problem werden. Gerne werden ja für schnelle Entwicklungen große Frameworks eingesetzt, sodass es abzuwarten bleibt, welchen Speicherplatz die App selbst benötigt und wie groß die lokal abgelegten Daten werden.

Dass die Telekom schon laut über Zero-Rating nachdenkt, also das Herausrechnen der Daten-Volumina aus dem Traffic-Verbrauch, legt zumindest nahe, dass die übertragenden Daten nicht völlig irrelevant sind, wobei es auch immer noch Verträge mit sehr geringen Daten-Volumina im Bereich von wenigen hundert Megabyte im Monat gibt.

Der Strom-Verbrauch durch die optimierte Implementierung der Lösung nach den Vorgaben der Hersteller sollte deutlich reduziert sein. Durch die API wird ein energiesparender Hintergrundbetrieb möglich, was somit ebenfalls keinen Grund liefert die App nicht zu installieren.

Risiken in der Realität

In der Realität werden aber zusätzliche Risiken für die Nutzer bestehen. Es wird eine Menge von Fake-Apps geben, die sich als Corona-Warn-App ausgeben, um entweder Malware auf die Geräte zu verbreiten oder andere Informationen abzugreifen. Hier braucht es eine wirksame Unterstützung besonders durch die App Store-Betreiber, da ansonsten dadurch auch die legitime Corona-Warn-App einen schlechten Ruf bekommen kann. Und die Fake-Apps können die Exposure Notificaton API ja völlig außen vor lassen, denn diese Daten sind für Hacker gar nicht interessant. Sinnvoll wäre eine einfache Möglichkeit, die Echtheit der installieren Corona-Warn-App auch für den normalen Anwender leicht zu überprüfen.

Weitere Risiken ergeben sich über die Kommunikationsnetze, allerdings wird das Verhalten der App erst nach der Veröffentlichung überprüft werden können. Bösartige WLAN-Infrastrukturen sind hier eine Herausforderung, wenn mit DNS-Umleitung oder Man-In-The-Middle-Angriffen gearbeitet wird. Auf Unternehmens-Geräten kann beispielsweise auch eine eingespielte Unternehmens-CA dazu führen, dass die Verbindungen zu den zentralen Servern der Corona Warn App für eine Malware-Prüfung entschlüsselt werden könnten. Auch hier wird sich der Härtungsgrad der App erst nach der Veröffentlichung überprüfen lassen. In diesem Fall reden wir von technisch lösbaren Problemen, falls sie denn tatsächlich existieren. Die meisten anderen Apps auf den Geräten haben Zugriff auf viel bedeutsamere Daten und werden nicht entsprechend kontrolliert, wie es bei der Corona-Warn-App der Fall sein wird.

Fazit

Um den maximalen Umfang der Lockerungen im Rahmen der Corona-Pandemie durchführen zu können, ist es aus meiner Sicht für jeden Bürger notwendig, die App zu installieren und zu aktivieren. Die Auswirkungen auf den Datenschutz sind in der deutschen Implementierung so deutlich reduziert, dass es keinen Grund gibt, eine Verwendung mit diesen Argumenten abzulehnen.

Hier geht’s direkt zum Download der offiziellen, deutschen Corona-Warn-App der Bundesregierung:

Direkt zum App Store…
app-store-de-icon-link

 

Direkt zu Google Play…

googleplay-de-icon-link

 

 


Weitere Informationen

Die User Journey

Corona Warn App User Journey

Die Anwendungsphase,  ein Auszug der Projektdokumentation (Github Scoping Document):

Phase Anwendung

Die Phase der Anwendung ist in vier weitere Bereiche unterteilt, in welchen die Person unterschiedliche Bedürfnisse hat.

Hintergrund

Im Ruhezustand (Idle Mode) des Mobiltelefons läuft die Anwendung im Hintergrund und speichert für die Person automatisiert und verschlüsselt die in der Nähe befindlichen Pseudo-IDs anderer Personen anhand definierter Parameter über Entfernung und Dauer des Kontaktes. In regelmäßigen Abständen holt sich die App vom Server eine Liste der Pseudo-IDs der sich freiwillig infiziert gemeldeten Personen und vergleicht diese mit den gespeicherten Pseudo-IDs im Gerät, um einen möglichen Kontakt zu ermitteln.

Kontaktfall

Im festgestellten Kontaktfall zu infizierten Personen erhält die Person jeweils eine Benachrichtigung und verhaltensbezogene Empfehlungen. Hier kann zum Beispiel die Kontaktaufnahme mit ärztlichem Fachpersonal, mit dem zuständigen Gesundheitsamt und/oder die freiwillige häusliche Isolation empfohlen werden.

Testing

Im Fall eines durchgeführten Tests auf eine SARS-CoV-2-Infektion kann die Person über die App den digitalen Testinformationsprozess starten und damit über das ermittelte Testergebnis benachrichtigt werden.

Infektfall

Im Fall eines positiven SARS-CoV-2-Befunds kann eine Person freiwillig die in der App gespeicherten eigenen pseudonymen Warn-IDs veröffentlichen, damit andere Personen, die die App nutzen, auf ihrem eigenen Smartphone abgleichen können, ob sie mit der infizierten Person in Kontakt standen.


Quellen sowie Urheberrecht Bilder, Grafiken, Schaubilder:

Github-Project Corona-Warn-App
The official COVID-19 exposure notification app for Germany.
https://github.com/corona-warn-app

Webseite Open Source Projekt Corona-Warn-App
https://www.coronawarn.app/

„User Journey“, „Components“ und „UI Screens Android/iOS“ – Copyright (c) 2020 Deutsche Telekom AG and SAP SE or an SAP affiliate company.

Das Logo „Corona Warn App“ ist eine eingetragene Wort-/Bildmarke der Bundesregierung Deutschland; „Download“, „Risikoermittlung“, „Warnung“ und „Empfehlung“ – Copyright (c) 2020 Bundesregierung Deutschland, Bundespresseamt

2 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *