Die Corona-App ist da: Was taugt das Warnsystem?

Seit dem heutigen Dienstag steht die eigentlich für Ostern angekündigte Corona-App zum Download

von


Die Corona-App kann seit heute getestet werden. Wer nicht zufällig heute Nacht eine Party gefeiert hat, dürfte allerdings noch keine Risikobewertung vorliegen haben.
Die Corona-App kann seit heute getestet werden. Wer nicht zufällig heute Nacht eine Party gefeiert hat, dürfte allerdings noch keine Risikobewertung vorliegen haben. | Foto: Marvin König

Region. Nach monatelangem Datenschutz-Gerangel kommt nun endlich die Corona Warn-App des Bundesgesundheitsministeriums. Die Bundesregierung, das Robert-Koch-Institut und die beteiligten Unternehmen wollen sie im Laufe des heutigen Tages detailliert vorstellen, bei Google Play (Android) und im App-Store (Apple) kann sie aber bereits seit heute Nacht heruntergeladen werden. Sie soll den Gesundheitsämtern dabei helfen, auf technischem Wege tatsächliche Kontakte zwischen COVID-19 Infizierten nachzuvollziehen und Infektionsketten wirksam zu unterbrechen. regionalHeute.de hat die App getestet.


Schlank ist sie ja, mit nur 18,6 Megabyte Dateigröße. 20 Millionen Euro flossen in die Entwicklung - kaum zu fassen. Jeder Megabyte Code kostete also eine schlappe Million. Auf die Entwicklungszeit der App gerechnet standen den Programmierern also täglich 400.000 Euro zur Verfügung. Eigentlich sollte sie ja auch schon nach Ostern kommen - jetzt ist sie immerhin da. Beim ersten Start begrüßt die App mit einer grundsätzlichen Erklärung ihrer Funktion. "Mit der Corona-Warn-App durchbrechen wir Infektionsketten schneller", wird versprochen. Die App merke sich Begegnungen zwischen Menschen, indem die Geräte verschlüsselte Zufallscodes austauschen. Diese werden ausschließlich auf dem Smartphone gespeichert und verarbeitet - der sogenannte "dezentrale" Ansatz. Auf diese Weise landen keine riesigen Datenmengen auf einem zentralen Server, die dort zum Sicherheitsrisiko werden könnten.

Trotz ihrer hohen Kosten recht simpel - Über die Funktion wird umfangreich informiert.
Trotz ihrer hohen Kosten recht simpel - Über die Funktion wird umfangreich informiert. Foto: Marvin König



Es folgt eine umfangreiche Datenschutzerklärung, die hier in voller Länge nachgelesen werden kann. Es wird explizit klargestellt, dass die Nutzung der App auf freiwilliger Basis stattfindet.

So funktioniert die App


Um eine individuelle Risikoermittlung zu erhalten, muss dem explizit zugestimmt werden. Denn ganz ohne jeglichen Datenaustausch geht es eben doch nicht: Das Smartphone erzeugt und versendet bei aktivierter Kontaktaufzeichnung kontinuierlich zufällig generierte Codes per Bluetooth, die von anderen Apple- und Android-Smartphones mit aktivierter App empfangen werden. Das eigene Smartphone empfängt diese Codes ebenfalls und speichert sie für 14 Tage. Aus den ausgetauschten Codes lässt sich die Dauer und der Abstand zum möglicherweise infizierten Kontakt nachvollziehen - allerdings kein Name und kein Standort. Auch wird keine E-Mail-Adresse, kein Name und keine Telefonnummer von der App abgefragt.

Für den Fall der Fälle


Der nächste Schritt ist ebenfalls freiwillig: Mit einem vom Gesundheitsamt generierten QR-Code oder einer TAN kann eine eigene Infektion mit dem Coronavirus in der App eingetragen werden. Mehrmals täglich (oder auf Abfrage) lädt die App eine Liste mit den Zufalls-IDs aller Nutzer herunter, die ihre Infektion mit dem Coronavirus in der App geteilt haben. Diese Liste wird dann mit den Codes auf dem Smartphone abgeglichen, um eine individuelle Risikobewertung zu erhalten. Von dem erhöhten Risiko werden außerdem alle weiteren Kontakte in Kenntnis gesetzt, die vorher auf dem Smartphone gespeichert wurden. Allein hierfür nutzt die Bundesregierung auch einen zentralen Server: Die vom Nutzer autorisierten und zur Verfügung gestellten positiven Testergebnisse werden - wieder in Form von anonymisierten Codes - in Listen gespeichert und per Download auf den Geräten selbst mit den per Bluetooth empfangenen Kontakten abgeglichen.

Auch ein misstrauischer Blick in die Einstellungen zeigt: Die App verlangt keinerlei Berechtigungen, will keinen Zugriff aufs Telefonbuch, keine SMS verwalten, interessiert sich nicht für die Kamera oder das Mikrofon. Damit hat sie vielen vermeintlich harmlosen Spiele-Apps auf dem Markt schon einiges voraus.

Ohne Zustimmung läuft nichts - Diese kann aber auch jederzeit widerrufen werden.
Ohne Zustimmung läuft nichts - Diese kann aber auch jederzeit widerrufen werden. Foto: Marvin König



Saugt die App den Akku leer?


Auf den ersten Blick scheint die App keinen besonderen Energiebedarf zu haben, obwohl Bluetooth durchgängig aktiviert sein muss. Die Entwickler versprechen außerdem, dass durch die Verwendung von Bluetooth LE (Low Energy) zusätzlich Energie gespart werde.

Wie hoch ist die Gefahr für Fehlalarme?


Kurz gesagt: Sehr hoch. Um zu dieser Annahme zu kommen reicht es schon, sich den eigentlichen Zweck der verwendeten Bluetooth-Technik zum Austausch zwischen den Geräten näher anzusehen. Im Gegensatz zu Coronaviren kann ein Bluetooth-Signal auch Wände durchdringen, sollte man beispielsweise einer infizierten Person begegnen, die hinter einer Glasscheibe oder einer dünnen Wand sitzt, würde die App das höchstwahrscheinlich als direkten Kontakt werten. Bluetooth ist schlicht nicht dafür entwickelt worden, um Entfernungen zu bestimmen und kann dies lediglich anhand der Signalstärke abschätzen. Auch ob das Gegenüber oder man selbst einen Mundschutz trägt, kann die App nicht wissen.

Kann heimliche Spionage ausgeschlossen werden?


Um dieser Befürchtung abzuhelfen, wurde der Quellcode der Anwendung auf der Entwicklerplattform Github hochgeladen und kann so von jeder Person mit Programmierkenntnissen auf Fehler und Schwachstellen untersucht werden. Für Unmut sorgte ein Papier der Universität Darmstadt und der Universitäten Marburg und Würzburg, laut dem Angreifer infizierte Nutzer identifizieren und Bewegungsprofile von ihnen erstellen könnten. Dies sei jedoch kein Makel der App, sondern der Betriebssysteme von Google und Apple und könnte nur durch ein Softwareupdate vonseiten der Betriebssystemhersteller behoben werden. Um diese potenzielle Sicherheitslücke zu nutzen, müssten Angreifer laut den Wissenschaftlern jedoch einen unglaublichen Aufwand betreiben - das Kosten-Nutzen-Verhältnis macht es also eher unwahrscheinlich. Letztendlich ist keine Software absolut sicher.

Positiv-Meldungen können nicht gefälscht werden


Nach der Einrichtung der App passiert erstmal nichts weiter. Die App läuft Daten- und energiesparend im Hintergrund und bewertet regelmäßig das Infektionsrisiko. Es besteht die Möglichkeit, häufig gestellte Fragen zur App auf der Website der Bundesregierung oder Tipps zum Umgang mit dem Coronavirus abzurufen. Ein positives Testergebnis kann übrigens nicht einfach gefälscht werden - in der App-Funktion zum Melden einer Infektion gibt es drei Möglichkeiten: Die Registrierung des Tests per TAN, per QR-Code (hierfür müsste dann doch einmal der Zugriff auf die Kamera zugelassen werden) oder das Anfordern einer TAN per Hotline, falls das örtliche Gesundheitsamt keine zur Verfügung stellt.

Was bringt das alles?


Wissenschaftler der Universität Oxford hatten vor einigen Monaten einmal die These aufgestellt, dass etwa 60 Prozent der Bevölkerung eine Tracing-App nutzen müssten, um eine Pandemie zu stoppen. Doch auch eine geringere Anzahl Nutzer sei erfolgversprechend. Eine Umfrage von infratest dimap für den ARD-DeutschlandTrend ergab, dass immerhin 42 Prozent der Deutschen die App nutzen wollten. 39 Prozent lehnten die Nutzung ab und immerhin jeder sechste Deutsche (16 Prozent) sagte, er besitze kein Smartphone.

In einem Interview mit der Süddeutschen Zeitung erklärte Lucie Abeler-Dörner, eine der beteiligten Oxford-Forscherinnen, dass die 60 Prozent auf Basis der Tatsache berechnet wurden, dass England zu diesem Zeitpunkt noch die Herdenimmunität-Taktik verfolgt habe. Die Situation in Europa sei jedoch nun eine andere - nach wie vor gelte, dass sich das volle Potenzial bei möglichst vielen Nutzern entfalte, jedoch beginne sie schon zu wirken, wenn nur 15 Prozent der Bevölkerung mitmachen würden. "In unserem Modell verhindern jeweils ein bis zwei Menschen, die die App nutzen, eine Neuansteckung", so Abeler Dörner. Der tatsächliche Effekt könnte aber sogar noch größer sein, da für dieses Modell eine zufällige Verteilung der App-Nutzer angenommen worden sei.

"Tatsächlich werden vermutlich einige Gruppen die App stärker nutzen als andere, sodass die App in diesen Gruppen einen deutlich größeren Effekt hat, als unser Modell vorhersagt", erklärt die Forscherin weiter. Sie meint auch, dass die App zwar zu spät komme, um den Lockdown zu verhindern, jedoch sei sie nun geeignet, um einer zweiten Welle wirksam vorzubeugen. Die Bundesregierung erklärt: "Je schneller Sie diese Information erhalten, desto geringer ist die Gefahr, dass sich viele Menschen anstecken. Deshalb ist die App neben Hygienemaßnahmen wie Händewaschen, Abstandhalten und Alltagsmasken ein wirksames Mittel, um das Coronavirus einzudämmen. Die Bundesregierung unterstützt die App, weil sie dem Schutz und der Gesundheit der Gemeinschaft dient."