Seit Anfang dieser Woche steht die Corona-App zum Download bereit. Etwa 44 Prozent der Deutschen wollen sie auf ihrem Smartphone installieren. Doch sind jetzt wirklich alle Sicherheitsbedenken aus dem Weg geräumt? //Von Florian Rüll und Jan Roßbach
Im Lauf der ersten Woche ist die Corona-App knapp zehn Millionen Mal heruntergeladen worden. Die Debatte um eine zentrale oder dezentrale Speicherung der Daten hatte den Start verschoben. Aus datenschutzrechtlichen Gründen ist die Nutzung nun freiwillig. Wenn User*innen der App Kontakt mit einer infizierten Person hatten, bekommen sie eine Benachrichtigung auf ihr Smartphone. Ist eine Person selbst erkrankt, kann sie ihre Mitmenschen anonymisiert warnen.
Quellcode der Corona-App auf GitHub veröffentlicht
Aber nicht nur aufgrund von datenschutzrechtlichen Bedenken, auch weil rund 25 Millionen Menschen gar kein Smartphone besitzen, ist die Nutzung der App freiwillig. Sie kann jederzeit aktiviert oder deaktiviert und Funktionen können ein- und ausgeschaltet werden. Falls es zu einer Infektion mit Covid-19 kommt, ist auch das Teilen der Informationen und Testergebnisse freiwillig.
Um Missbrauch auszuschließen, muss jede Infektionsmeldung in der App von den Gesundheitsbehörden bestätigt werden. Der User kann den QR-Code, den er vom Arzt oder dem Labor erhält, in die Corona-App einscannen. Zusätzlich kann jeder positiv Getestete nur einmal eine Warnung auslösen. Damit sich die Entwickler Telekom und SAP vor Missbrauchsvorwürfen schützen können, haben sie den Quellcode des Programms auf der Entwickler-Plattform GitHub veröffentlicht. Software und IT-Experten können in dem Open-Source-Projekt Fehler finden und Vorschläge zur Verbesserung machen.
Die University of Oxford hat in einer Simulation berechnet, dass ungefähr 60 Prozent der Bevölkerung die App nutzen müssen, um die Pandemie zu stoppen. In Deutschland gibt es knapp 58 Millionen Smartphone-Nutzer, das entspricht rund 70 Prozent der gesamten Bevölkerung. Somit wäre dies theoretisch möglich. Laut einer Umfrage des britischen Meinungsforschungsinstituts YouGov sind allerdings nur 44 Prozent der Deutschen bereit, die App zu installieren. Trotzdem kann durch die App die Zahl der Neuinfektionen und Toten zurückgehen. Etwa eine Infektion weniger pro ein bis zwei User können auch bei einer Nutzung von 44 Prozent der Bevölkerung erreicht werden, so Professor Christophe Fraser von der University of Oxford.
Chaos Computer Club hat dezentrale Speicherung gefordert
Aus epidemiologischer Sicht ist die Speicherung von den Userdaten auf einem zentralen Server von großem Vorteil. Falls es zum Kontakt mit einem Infizierten kommt, sendet das Smartphone die Information, wann es in der Nähe eines anderen Gerätes war, an einen Server. Der Server weiß nun, dass es einen Infizierten gibt und kann dann eine Warnung an jenes Smartphone senden. Dadurch kann beispielsweise das Robert-Koch-Institut (RKI) Hochrechnungen anstellen, wie sich die Infektionszahlen entwickeln werden.
Der große Nachteil ist, dass dann sehr sensible Daten auf dem Server liegen und jeder, der diese Daten zur Verfügung hat, weiß, wer wann zu wem Kontakt hatte. Deswegen ist die Idee einer zentralen Speicherung auf großen Widerstand gestoßen. Der Chaos Computer Club (CCC) ist ein Verein, der seit 30 Jahren als Vermittler im Spannungsfeld technischer und sozialer Entwicklungen agiert. Der CCC hat sich am 24. April 2020 in einem offenen Brief an Bundesgesundheitsminister Jens Spahn und Kanzleramtsminister Helge Braun gewandt. In diesem hat er eine dezentrale Speicherung der Daten gefordert. Die Club-Mitglieder argumentierten, dass auch Apple und Google sich gegen die zentrale Variante ausgesprochen haben. Außerdem handele es sich bei Gesundheitsdaten um die intimsten Daten der Menschen. Die Aufenthaltsorte könnten leicht von Innen- oder Außentätern missbraucht werden. Auch die Anonymität könne bei einem zentralen Server nicht garantiert werden.
Wegen dieser heftigen Kritik hat sich die Bundesregierung sehr schnell doch für eine dezentrale Speicherung der Daten entschieden. Zwar gibt die dezentrale Variante weniger Informationen für Institute wie das RKI, dafür bleibt der User anonym. Alle Daten werden dezentral, das heißt, lokal auf dem Smartphone gespeichert.
Corona-App und Bluetooth-Tracking
"Ich habe die App installiert, jedoch unterstützt mein Handy die benötigte Version der Schnittstelle nicht, sodass sie für mich nutzlos ist", sagt Jan Tolsdorf. Der Research Assistant der Data & Application Security Group an der Hochschule Bonn-Rhein-Sieg findet den dezentralen Ansatz sehr gut und glaubt, dass der Datenschutz mit der App gewahrt werden kann. Er sieht die Gefahr nicht bei der Corona-App selbst, sondern bei den anderen Apps oder Ladenbesitzern, die das eingeschaltete Bluetooth oder GPS missbrauchen könnten. "Ich würde mein Bluetooth nicht ständig eingeschaltet lassen, da zum Beispiel Supermärkte oder Malls eben auch diese Technik verwenden, um Nutzer zu tracken."
Sein Kollege Florian Dehling hat sich am Tag der Veröffentlichung die App installiert. "Ich habe keine Auswirkung auf die Akkulaufzeit festgestellt, sodass ich die App auch weiterhin laufen lasse. Bezüglich der Risiken im Datenschutz vertraue ich auf die Kontrolle durch die Community. Durch den Open Source Ansatz fühle ich mich sehr sicher", erklärt Florian Dehling. Er ist skeptisch, ob die Corona-App merkbare Ergebnisse erzielt. Andererseits hat die App für ihn schon bei der Unterbrechung einer Infektionskette ihren Zweck erfüllt. Er fügt hinzu: "Wenn man als Einzelner dazu beitragen kann, indem man einfach eine Minute Zeit investiert, um eine App zu installieren, sehe ich keinen Grund, warum man sich dagegen wehren sollte."
Teaserbild: Mit Bluetooth-Low-Energy gegen den Coronavirus. Quelle: Florian Rüll