Interview
Wie sicher ist die Corona-Warn-App?
Die App erfüllt ihre Funktion um so besser, je mehr menschen sie auf ihren Smartphones installieren. Bild: picture alliance/dpa | Michael Kappeler
Seit Kurzem ist die deutsche Corona-Warn-App erhältlich. Ein Gespräch mit Ninja Marnau vom Saarbrücker CISPA - Helmholtz-Zentrum für Informationssicherheit über die Sicherheit und Datenschutzaspekte der App.
Jetzt kann sich jeder die lange angekündigte Corona-Warn-App auf sein Smartphone laden. Wie heißt sie denn jetzt genau?
Genau so: Corona-Warn-App. Das klingt nicht besonders sexy, beschreibt aber genau ihre Aufgabe: Kontakte warnen und so Infektionsketten unterbrechen.
Welche Rolle spielen Sie dabei?
Ninja Marnau ist Senior Researcher am Cispa - Helmholtz-Zentrum für IT-Sicherheit. Die Rechtswissenschaftlerin ist ausgewiesen Expertin auf dem Feld des Datenschutzrechts. Bild: Cispa
Ich bin Senior Researcher, also Gruppenleiterin am Cispa - Helmholtz-Zentrum für Informationssicherheit und für alles im Spannungsfeld zwischen Technik und Recht zuständig. Seit März beschäftigen meine Kollegen und ich uns damit, die Warn-App datenschutzfreundlich zu gestalten. Das Cispa wurde von der Bundesregierung gebeten, SAP und Telekom bei der Umsetzung des Projekts in Hinblick auf Datenschutz und IT-Sicherheit wissenschaftlich zu unterstützen.
Funktioniert die App wie ein Sensor? Ich gehe die Straße entlang und mein Handy vibriert, wenn mir jemand begegnet, der Corona-positiv ist?
Nein, ganz anders. Bei aktivierter App sendet Ihr Handy mittels „Bluetooth Low Energy“ permanent zufällige Zahlenketten aus, gewissermaßen Pseudonyme für Ihr Handy. Das merkt sich, welchen Zahlenketten anderer Handys es begegnet, wie lange und wie nahe Sie den Handybesitzern gekommen sind. Aber keinesfalls deren Telefonnummern oder gar Namen. Wenn Sie positiv getestet werden sollten, können Sie per Schaltfläche vereinfacht gesagt die von Ihnen bereits ausgesendeten Zahlen auf einen Server des Robert-Koch-Instituts hochladen. Die App verbindet sich automatisch einmal am Tag mit diesem Server und ruft die Zufallszahlen der positiv Getesteten ab und berechnet lokal auf Ihrem Handy: Sind Sie diesen Leuten begegnet? So nah und so lange, dass ein Infektionsrisiko besteht?
Der RKI-Server erhält diese Information nicht, eben weil er kein zentraler Datenspeicher ist?
Genau. Nur Sie selbst und Ihr Handy wissen, wem Sie begegnet sind und ob Sie ein Infektionsrisiko hatten. Noch einmal: Das passiert nachträglich. Sie bekommen keine Live-Warnung, wenn Sie jemandem begegnen, der Symptome hat. Erst wenn eine Person positiv getestet wurde, erfahren sie davon. Wenn sie ihr in den letzten 14 Tagen begegnet sind.
Und es liegt dann bei mir, wie ich mit der Information umgehe, dass ich möglicherweise auch infiziert bin?
Ja. Die App wird Ihnen Hinweise geben, an wen Sie sich wenden und wie Sie einen Test beantragen können. Aber es gibt keine Möglichkeit, auf Sie Zwang auszuüben, sich auf eine bestimmte Art zu verhalten. Natürlich ist es absolut wünschenswert, dass Sie bei einer Risikobenachrichtigung erst einmal zuhause bleiben, Ihren Arzt anrufen und einen Testtermin vereinbaren. Es ist ein Appell an das Verantwortungsbewusstsein jedes Einzelnen.
Wie lange ich einer infizierten Person wie nah gekommen bin, erfasst allein das Signal von Bluetooth Low Energy?
Ja. Das ist technisch schwierig, denn jedes Handy sendet dieses Signal in unterschiedlicher Stärke, das muss man für jeden Handytyp anpassen, darum mussten so detaillierte Tests im Vorfeld durchgeführt werden. Es ist das beste System, das wir haben, aber insgesamt suboptimal.
Es variiert also von Hersteller zu Hersteller und von Betriebssystem zu Betriebssystem?
Die App sendet permanent zufällige Zahlenketten aus und merkt sich, welchen Zahlenketten anderer Handys es begegnet, wie lange und wie nahe Sie den Handybesitzern gekommen sind. Freepik/Helmholtz (Bildmontage)
Genau. Für Google und Apple ist es unterschiedlich, für jede Hardware-Generation ist es unterschiedlich, für jeden Hersteller. Das macht es so schwierig.
Welche Entfernung und welche Dauer gelten als kritisch?
Wir starten wahrscheinlich mit 15 Minuten und unter zwei Metern. Haben wir zu viele falsch positive oder falsch negative Ergebnisse oder neue Forschungsergebnisse, kann das RKI die Werte anpassen.
… also die vollen 15 Minuten ein einem Abstand von unter zwei Metern? Für eine Infektion reichen doch wahrscheinlich schon Sekunden.
Unser Wissen über die Infektiösität und Übertragung von Sars-CoV-2 wächst ständig. In geschlossenen Räumen geschieht sie zum Beispiel viel leichter als im Freien. Insofern sind die Werte zunächst konservativ gewählt, um zu vermeiden, dass jeder benachrichtigt wird, der im Freien nur kurz an jemandem vorbeigelaufen ist. Außerdem handelt es sich bei der App ja nur um ein paralleles System zur manuellen Kontaktnachverfolgung der Gesundheitsämter.
Ich erfahre auch nicht, wo die Begegnung stattgefunden hat?
Die App ist in keiner Form mit Bewegungsdaten verbunden. Es gibt keine GPS-Ortung. Das ist in vielen Ländern anders, die mit zentraler Datenspeicherung arbeiten.
Warum hatte das Cispa sich so vehement gegen eine zentrale Datenspeicherung ausgesprochen?Da würden die Gesundheitsämter die Betroffenen anrufen, die Fälle könnten viel lückenloser erfasst werden.
Wenn auf einem zentralen Server Daten liegen, wer in Deutschland wem begegnet ist, entstehen zum einen interne Begehrlichkeiten, damit Datenanalysen anzufertigen, Bewegungsmuster zu errechnen. Gar nicht mal aus böser Absicht, sondern beispielsweise auch zu Forschungszwecken. Auch wenn diese Forschung sinnvoll ist, könnten solche Zusatzfunktionen das Vertrauen der Nutzer, die die App freiwillig nutzen, stark einschränken. Und es sind natürlich auch für Kriminelle sehr attraktive Bewegungs- und Gesundheitsdaten. Ein solcher zentraler Server könnte angegriffen werden und keinen Server auf der Welt kann man so sicher machen, dass ein Datenverlust zu 100 Prozent auszuschließen ist.
Und in der dezentralen Variante…
…liegen nur Daten auf dem Server, die ohnehin für den Abruf bereitstehen, die bekommt jeder App-Nutzer. So ist der Server für Hacker vollkommen unattraktiv. Die zentraleuropäischen Länder haben da auch eine Vorbildfunktion. Eine Implementierungslösung würde auch in Ländern ausgerollt, die nicht vergleichbare rechtsstaatliche Schutzgesetze haben. Sie könnten eine zentrale Architektur der App für Zwangsmaßnahmen und zur Verfolgung von Bürgern einsetzen.
Das macht die Einstiegshürde, die App zu nutzen, bei der dezentralen Variante niedriger.
Wir werden in den nächsten Tagen Sorgen ausräumen müssen und immer wieder betonen müssen: Es ist kein Tracking! Niemand kann nachvollziehen, wie Sie sich bewegen, wen Sie treffen. Diese App ist kein Überwachungswerkzeug. Sondern der Appell an das Verantwortungsbewusstsein jedes Einzelnen, auf eine Warnmeldung auch zu reagieren.
Die App nützt doch aber nur, wenn sie auch weit verbreitet ist. Bei 60 Prozent der Bevölkerung, wie immer wieder zu lesen ist…
Die berühmte Oxford-Studie. Es ist nicht so, dass eine App unter diesen 60 Prozent nichts hilft. Es ist der Grenzwert, ab dem sie extrem viel helfen würde. Darunter kann jeder Nutzer ein kleines bisschen beitragen. Schon wenn in einem Freundeskreis oder an einer Arbeitsstelle viele diese App nutzen, entstehen Cluster, in denen früh gewarnt werden kann. Auch die sind extrem wichtig.
In mehr als 20 Ländern gibt es Corona-Warn-Apps. Welche sind erfolgreich?
Es gibt international ganz wenig Positivbeispiele. Das liegt auch daran, dass Google und Apple ihre Schnittstelle erst am 20. Mai veröffentlicht haben. Alle Apps, die bereits auf dem Markt sind, konnten die Schnittstelle nicht nutzen und haben nur gewirkt, wenn sie anders funktionieren – zum Beispiel mit GPS und Bewegungsmustern. Oder Bluetooth musste dauerhaft an und im Vordergrund sein. Das macht natürlich kein Handynutzer. Bei Bluetooth Low Energy ist das kein Problem. Es gibt Länder, die auf das zentrale Modell setzen, wie Australien, Großbritannien, Frankreich. Es wird sich zeigen, wie gut sie die Daten schützen können, rechtlich wie technisch. Einige Länder verfolgen einen ähnlichen Ansatz wie Deutschland. Die Schweiz ist schon sehr weit, Österreich, Estland. Mit diesen Ländern wird es hoffentlich möglich sein, auch grenzüberschreitend Daten auszutauschen und auch Grenzgänger warnen zu können. Mit Frankreich beispielsweise ist das sehr viel schwieriger, um nicht zu sagen unmöglich.
Bluetooth soll man doch aber zumindest im öffentlichen Raum deaktivieren, weil es anfällig ist für Hacker. Warum ist Bluetooth bei der Corona-Warn-App weniger gefährlich?
Bisher war unser Rat tatsächlich: Lassen Sie Bluetooth aus, wenn Sie es nicht unbedingt brauchen. Aber es ist aktuell die einzige technische Möglichkeit, die wir haben, um Begegnungen dezentral feststellen zu können und wir versuchen, es so sicher zu machen wie möglich. Schon jetzt nutzt die Corona-Warn-App nicht das klassische Bluetooth, das Ihren Computer kabellos mit Lautsprecher, Tastatur oder Maus verbindet, sondern das schon erwähnte Bluetooth Low Energy. Aber man kann auch nicht sagen, dass es komplett risikofrei wäre. Es ist eine Frage der Abwägung. Wir sagen: Google und Apple haben die App im Auge, können jederzeit Sicherheitslücken schließen. Es ist ein geringes Sicherheitsrisiko, das ich persönlich in Kauf nehmen würde, um gewarnt werden zu können.
Was nehmen Sie persönlich aus der Entwicklungsphase mit?
Ich freue mich extrem darüber, wie transparent dieser Entwicklungsprozess stattgefunden hat. Mit einem öffentlichen Code, den externe Experten vorab und immer noch anschauen und beurteilen konnten und können. Probleme und Risiken können benannt und nachgebessert werden. Das hier hat Modellcharakter für öffentliche IT-Großprojekte.
Hier die Download-Links für die Corona-Warn-App
Leser:innenkommentare