Kontaktverfolgung per Smartphone - Hintergründe und Analyse ‐ Seite 2/3

veröffentlicht von doelf am 17.04.2020 - UPDATE: 16.06.2020

Grenzwertig: Jedem Land seine eigene App

Die App kommt nicht von Apple oder Google, hier darf jedes Land sein eigenes Süppchen kochen. Eine grenzübergreifende Kontaktverfolgung ist somit nur möglich, wenn mehrere Länder zusammenarbeiten und ein kompatibles Konzept verwenden. Deutschland, Österreich, die Schweiz, Belgien und die Niederlande setzen auf eine dezentrale Speicherung, so dass eine Kompatibilität per Update nachgereicht werden kann. Frankreichs App StopCovid speichert die Daten hingegen zentral, was technisch und auch aus Sicht des Datenschutzes eine deutlich höhere Hürde darstellt. Auch Deutschland hatte zunächst mit einer zentralen Speicherung geliebäugelt, war mit seinen Vorstellungen bei Apple und Google jedoch abgeblitzt. Letztendlich beugte sich Deutschland den Vorgaben der US-Konzerne, während Frankreich den Konflikt riskiert und deren Schnittstelle links liegen lässt. Bleibt die Frage, wo sensible Daten besser aufgehoben sind: Bei Apple und Google oder beim französischen Staat?

Wie funktioniert die deutsche App?

Die deutsche App greift die von Apple und Google bereitgestellte Schnittstelle auf und nutzt somit die Vorgaben der Contact Tracing Cryptography Specification. Es gibt einen eindeutigen Nachverfolgungsschlüssel (32 Bit) pro Benutzer, der stets auf dem Gerät verbleibt. Alle 24 Stunden wird ein neuer Tagesschlüssel (16 Bit) generiert. Diese Tagesschlüssel verbleiben auf dem Gerät, solange der Benutzer gesund ist. Wird beim Benutzer eine COVID-19-Infektion nachgewiesen, erhält dieser vom Gesundheitsamt einen Code (TAN), mit dem er sich gegenüber der App als infiziert ausweisen kann. Diese Meldung ist, genau wie die Nutzung der App, freiwillig. Man muss seine Erkrankung somit nicht mitteilen, doch zumindest gibt es einen Mechanismus, um falsche oder versehentliche Krankmeldungen zu unterbinden.

Bei der Meldung werden die Tagesschlüssel des vermutlichen Infektionszeitraums als Diagnoseschlüssel an einen zentralen Server übertragen. Einmal täglich holen sich die Geräte aller teilnehmenden Nutzer bei diesem Server eine Liste mit den Diagnoseschlüsseln ab, um einen möglichen Kontakt identifizieren zu können. Diese Identifikation funktioniert über einen weiteren Schlüssel, der Näherungskennung (16 Bit). Die Näherungskennung wird bei aktivierter App an alle Bluetooth-Geräte in Reichweite gesendet und ist somit öffentlich. Um eine personenbezogene Nachverfolgung zu erschweren, wechselt sie jedes mal, wenn sich die MAC-Adresse des Bluetooth ändert. Entwickelt wurde die deutsche Corona-Warn-App von SAP und T-Systems. Erfreulicherweise wurde der Quellcode auf GitHub veröffentlicht und konnte somit vorab ausgiebig geprüft werden.

Schwachstellen und Risiken

Die Ergebnisse dieser Tests waren weitgehend positiv, doch TÜV würde die App im aktuellen Zustand noch nicht bekommen: Die vom Bundesamtes für Sicherheit in der Informationstechnik (BSI) beauftragten Prüfer von TÜVit haben in der App mehrere Schwachstellen gefunden, darunter auch eine ernstzunehmende. So ist die Verschlüsselung der TAN, welche die Erkrankten von Gesundheitsamt erhalten, unzureichend. Man könne solche TANs leicht nachmachen und damit Fehlalarme provozieren. Ob dieser Fehler vor der Veröffentlichung der App behoben wird, ist aktuell noch unklar. Andere Stellen konnten erst gar nicht geprüft werden: Über das von SAP und T-Systems genutzte Server-Backend ist praktisch nichts bekannt und auch die von Apple und Google entwickelten Schnittstellen nutzen geschlossenen Code. Dennoch: Es hat sich in den vergangenen zwei Monaten viel getan und wenn Digitalstaatsministerin Dorothee Bär heute die im Vorfeld geäußerte Kritik beklagt, möchte ich sie höflichst daran erinnern, dass diese App ganz anders aussehen würde, wenn Deutschland auf dem damals eingeschlagenen Weg einer zentralen Datenverfassung geblieben wäre. Sie sollte sich vielmehr darüber freuen, dass die typisch deutsche Mentalität einen konstruktiven Beitrag geleistet hat.

Kann es nach der Pandemie ein Zurück geben?

Nach wie vor ungeklärt ist die Frage, was mit der Technologie zur Kontaktverfolgung nach dem Ende der COVID-19-Pandemie geschehen wird. Theoretisch könnte sich immer wieder ein Virus rund um die Welt verbreiten und sei es nur die nächste Grippewelle. Da würde es sich doch anbieten, die einmal getane Arbeit in der Hinterhand zu behalten oder gar aktiviert zu lassen, denn dann könnte man Infektionswege bereits protokollieren, bevor die nächste Gefahr überhaupt identifiziert wurde. Zudem könnte man solche Daten über längere Zeiträume sammeln und mit Hilfe künstlicher Intelligenz Ausbreitungsszenarien vorausberechnen. Solche Daten könnten für Forschung wie Wirtschaft gleichermaßen wertvoll sein und alles von Wert weckt Begehrlichkeiten.

Und was ist mit der Freiwilligkeit?

In Deutschland ist die Nutzung der Corona-Warn-App freiwillig, in Ländern wie China werden solche Apps auf den Smartphones der Besucher zwangsinstalliert. Da empfiehlt es sich, für den Urlaub ein zweites Telefon anzuschaffen. Ohne Smartphone zu reisen ist auch keine Option, denn ohne Smartphone und App wird man ins Reich der Mitte gar nicht mehr eingelassen. Und auch abseits von China sollte man vor Auslandsreisen genau prüfen, wie die lokalen Gesetze oder Verordnungen aussehen. Die obligatorische Temperaturmessung vor dem Zugang in Apple-Stores lässt ebenfalls die Warnglocken hell schrillen: Es scheint nur eine Frage der Zeit, bis die ersten Geschäfte oder Restaurants die Corona-Warn-App zur Eintrittsbedingung erklären oder Aufschläge für den zusätzlichen Verwaltungsaufwand von allen App-Verweigerern verlangen. Gleiches gilt für Unternehmen, die von ihren Beschäftigten das Mitführen von Smartphone nebst App verlangen.

Die Gretchenfrage: Was bringt die App?

Zwischendurch hätte man die Verantwortlichen aus Politik und dem Silicon Valley ob ihrer Technikgläubigkeit gerne mal übers Knie gelegt, denn die Corona-Warn-App ersetzt weder Masken noch den viel wichtigeren Mindestabstand. Sie ist nichts weiter als ein zusätzliches Hilfsmittel, welches den Gesundheitsämtern die Arbeit erleichtert und namentlich nicht bekannte Langzeitkontakte nachvollziehbar macht. An Treffen mit Familie, Freunden und Kollegen erinnern wir uns, doch wer uns in Bus oder Bahn über einen längeren Zeitraum gegenüber saß oder wer sich zeitgleich mit uns in einem Restaurant befand, das wissen wir nicht. Tatsächlich werden auch die Gesundheitsämter weiter herumtelefonieren müssen, denn die dortigen Mitarbeiter können nicht nachvollziehen, wer die App nutzt oder überhaupt ein Smartphone besitzt. In einigen Fällen werden die Gespräche aber wesentlich kürzer ausfallen. Die Frage, ob man die Corona-Warn-App installieren soll, lassen wir unbeantwortet. Das muss jeder für sich selbst entscheiden. Aber in ihrer jetzigen Form kann man sie ohne größere Bedenken installieren. Und das ist ja schon einmal etwas.


Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]