Dienstag, 19. März 2024

Archiv

Kampf gegen das Virus
Was mit der Corona-Warn-App erreicht wurde

Die deutsche Corona-Warn-App bekam viel Lob - vier Wochen nach dem Start mehren sich aber Berichte über Fehlermeldungen und Inkompatibilitäten. Ein Überblick über den bisherigen Erfolg der App und häufige Nutzerfragen.

Von Peter Welchering | 18.07.2020
Das Logo der Corona-Warn-App auf einem Smartphone. Mithilfe der App werden Bürger benachrichtigt, sollten Sie sich in der Nähe eines am Coronavirus Erkrankten aufgehalten haben, wenn dieser die App ebenso installiert hatte und seine Erkrankung meldet. | Verwendung weltweit
Auf rund 16 Millionen Downloads kommt die Corona-Warn-App der Bundesregierung bis dato (picture alliance / Ostalb Network)
Leena Simon, Datenschutzexpertin bei der Nichtregierungsorganisation Digitalcourage, hat die Corona-Warn-App auf Ihrem Smartphone nicht installiert. Sie hätte es gemacht, wenn sie gekonnt hätte, sagt sie:
"Ich habe aber ein Betriebssystem, das entgooglefiziert wurde, weil ich eben nicht die Google AGB akzeptieren möchte. Und mit solchen Geräten kann man das dann genauso wenig benutzen wie mit älteren Android-Geräten, wovon es natürlich auch noch relativ viele gibt."
Wie Leena Simon geht es recht vielen Menschen in Deutschland. Entweder ist ihr Smartphone zu alt, weshalb die Bluetooth-Schnittstelle nicht unterstützt wird, oder sie nutzen ein Android-Smartphone ohne Google-Lizenz, weil sie mit dem Datenriesen aus den USA keinen Nutzungsvertrag abschließen wollen.
Zu sehen sind Hände, die ein Smartphone halten. Auf dem Display wird das rot-blaue Logo der Corona-Warn-App des Bundes angezeigt.
Corona-Tracing-App - So funktioniert die deutsche Corona-Warn-App
Die offizielle Corona-Warn-App der Bundesregierung soll Nutzer frühzeitig über einen Kontakt zu einem Infizierten informieren und helfen, Infektionsketten zurückzuverfolgen. Ein Überblick.
Vier Wochen nach Einführung der Corona-Warn-App wird über diese Problempunkte genauso diskutiert wie über zunehmend auftauchende Fehlermeldungen. Wir nehmen das zum Anlass für eine eine Zwischenbilanz zur Corona-Warn-App der Bundesregierung.

Wie erfolgreich ist die App bislang?

Die erste Zwischenbilanz ist zwiespältig. Die reinen Zahlen klingen nach Erfolg: Fast 16 Millionen mal heruntergeladen, das ist viel mehr als erwartet. Aber in den letzten Tagen häufen sich die Fehlermeldungen. Einige sind einfach nur lästig, aber beeinflussen die Funktionsweise der App nicht, so zum Beispiel die Meldung, dass die App in dieser Region nicht unterstützt werde. Auch wenn die Meldung kommt, läuft die App weiter. Es gibt auch eine Menge Abstürze der App, sowohl auf Apple-Geräten als auch unter Android. Da muss nachgearbeitet werden. Beim Open-Source-Prozess muss noch etwas nachgebessert werden. Und auch die Anbindung der Testlabore und Gesundheitsämter ist bisher noch nicht befriedigend.
Coronavirus
Übersicht zum Thema Coronavirus (imago / Rob Engelaar / Hollandse Hoogte)

Wie viele Testlabore sind angeschlossen?

Stand Donnerstag (16. Juli 2020) sind nach Auskunft des Robert Koch-Instituts 60 Prozent der Testlabore angeschlossen. Insgesamt hat sich gezeigt, dass die digitalen Meldewege in der Infektionsbekämpfung stark verbessert werden müssen. Aber das ist tatsächlich ein ganz eigenständiges Problem – unabhängig von der Corona-Warn-App

Funktioniert die App, wenn ich Bluetooth ausschalte?

Nein. Ohne Bluetooth kann die Warn-App keine Kontakt-IDs mehr aussenden und empfangen. Ihr fehlt dann sozusagen die Datengrundlage für die Arbeit.

Wie alt darf ein Smartphone sein, damit die App darauf läuft?

Es kommt auf die richtige Betriebssystemversion an. Die Bluetooth-Schnittstelle muss im Betriebssystem integriert sein. Das ist beim iPhone ab dem iOS 13.5 der Fall, bei Android ab Version 6.

Muss die App die ganze Zeit geöffnet sein?

Nein, die App arbeitet im Hintergrund. Dazu müssen Bluetooth und die Risikoermittlung beide aktiviert sein. Dann arbeitet die App korrekt und berechnet auch nach einem ziemlich komplexen Algorithmus das Risiko. Dieser Algorithmus zur Risikoberechnung ist übrigens wie der Quellcode der App veröffentlicht worden.
"Wir müssen als Land widerstandsfähiger sein"
Der FDP-Gesundheitspolitiker und Infektiologe Andrew Ullmann rechnet damit, dass eine zweite Coronawelle einsetzen wird. Doch entscheidend sei, wie Deutschland sich darauf vorbereite.

Wenn es einen "Fehler bei der Kommunikation mit der Google-API" gibt, hilft Löschen und Neuinstallieren?

Löschen und Neuinstallieren ist in diesem Fall nicht sinnvoll. Die Entwickler sagen, bei dieser häufigen Fehlermeldung würden die Kontakt-IDs weiterhin aufgezeichnet. Wenn die App gelöscht wird, gehen auch die gespeicherten Kontakt-IDs verloren.

Wenn die Standortfreigabe aktiviert ist, kann Google dann meinen Standort ermitteln?

Die Standortfreigabe ist nötig, damit per Bluetooth die Kontakt-IDs ausgetauscht werden können. Die Warn-App selber ermittelt keinen Standort. Das hat eine Sichtung des öffentlich einsehbaren Quellcodes ergeben. Ob die ausführbare Version der App allerdings vollkommen dem veröffentlichten Quellcode entspricht, ist unbekannt. Zweitens haben Wissenschaftler der TU Darmstadt und der Unis Marburg und Würzburg schon im Juni eine Methode vorgestellt, wie Angreifer Bewegungsprofile erstellen und die Smartphone-Besitzer identifizieren können. Das ist eine sehr aufwändige Methode, bisher nur aus Laborversuchen bekannt.
Hinweisschild an einem Laden in der Leipziger Innenstadt, dass man einen Mindestabstand von 2 Metern einhalten soll.
Grundrechte während und nach Corona
Die Grundrechtseingriffe im Namen des Infektionsschutzes wurden in Deutschland überwiegend begrüßt. Dem Historiker René Schlott bereitet das Sorgen, er hätte mehr Abwehrreaktionen erwartet.

Wie lange bleibt ein positiver Virus-Befund auf dem Handy und meldet den Nutzer als ansteckend?

Nutzer entscheiden selber, ob sie eine Warnmeldung über den Server des RKI absetzen wollen. Um das tun zu können, benötiget man den QR-Code oder die TAN des Testlabors, das die Positivtestung festgestellt hat. Dann lädt man seine Kontakt-IDs der vergangenen 14 Tage hoch. Die können von allen anderen Apps heruntergeladen werden, damit sie auf dem jeweiligen Smartphone mit den dort gespeicherten fremden Kontakt-IDs verglichen werden können. Die App meldet also nichts automatisch weiter, allein der Smartphone-Besitzer entscheidet. Übertragene Kontakt-IDs bleiben dann einige Tage auf dem RKI-Server, so dass alle Apps sie herunterladen und mit ihren gespeicherten fremden Kontakt-IDs vergleichen können. Dann werden aber auch diese IDs auf dem Server gelöscht.
Kritik trotz Open-Source-Ansatz

Open Source bedeutet, dass der Quellcode der App öffentlich zugänglich ist, interessierte Programmierer also ihre Funktionsweise nachvollziehen können. Das hat der App viel Lob eingebracht.

"Es sind sehr, sehr viele Dinge gut gelaufen", sagt etwa Falk Garbsch, einer der Sprecher des Chaos Computer Clubs. "Vor allem der Open-Source-Ansatz, den wir seit sehr vielen Jahren fordern, wenn es um öffentliche Gelder geht, die irgendwo investiert werden."

Und doch ging der Open-Source-Prozess anderen Kritikerinnen wie etwa Leena Simon von der Datenschutzorganisation Digitalcourage nicht weit genug:

"Die Reproduzierbarkeit fehlt. Das heißt, man kann gar nicht überprüfen. Ist diese App auch wirklich dasselbe wie der Code, der da veröffentlicht wurde? Das heißt, das ist schon weite Schritte gegangen, so wie wir es gut finden. Aber leider: Wir haben halt einfach das nicht durchgehalten. Und dadurch sind viele Vorteile, die man sich aus der freien Software genau erhofft und erwünscht, verschenkt worden."

Ob also der veröffentlichte Quellcode auch mit dem maschinenlesbaren Code der App übereinstimmt, entzieht sich der öffentlichen Prüfung. Falk Garbsch vom Chaos Computer Club: "Es wäre natürlich schön, nachvollziehen zu können, dass diese App auch aus dem Source-Code gebaut ist, der vorliegt. Und es wäre an sich sogar noch schöner, wenn ich sagen könnte, ich baue mir diese App einfach selber und spiele die mir selbst auf mein Smartphone. Der Haken daran ist, dass Google ja diese APIs eingebaut hat und Apple auch. Und vor allem bei Google weiß ich, dass um mit diesen APIs zu sprechen, muss man irgendwelche Signatur-Schlüssel haben, die natürlich nur beim RKI liegen. Bedeutet: Ich kann auf meinem Rechner diese App nicht einfach mal selber bauen und einfach mal eine selbst kompilierte App ausprobieren. Und das ist natürlich etwas, was sehr schade ist und was natürlich ein bleibender Kritikpunkt ist."

Ein anderer Kritikpunkt ist, dass für die Funktion der App permanent Bluetooth eingeschaltet sein muss. Leena Simon:

"Da habe ich ganz persönlich sogar doppelte Erfahrung. Ich arbeite nämlich auch mit bedrohten Frauen, die von digitaler Gewalt bedroht sind. Und Bluetooth ist eben eine Schnittstelle, über die man ein Gerät sehr gut angreifen kann. Und ich rede mir in meinen Beratungen und Fortbildungen immer den Mund fusselig, dass man Bluetooth möglichst immer ausgeschaltet haben sollte. Und jetzt kommt eine App der Bundesregierung daher und fällt mir da ziemlich in den Rücken, weil man ja für diese App Bluetooth einfach die ganze Zeit angeschaltet haben muss. Und das läuft natürlich dem Bildungsauftrag, wie verhalte ich mich, dass mein Handy sicher ist, ein bisschen zuwider."
Das Risiko, Smartphones über die Bluetooth-Schnittstelle der Warn-App anzugreifen, wird sehr unterschiedlich bewertet. Auf jeden Fall erfordert solch ein Angriff großen Aufwand. Auch dass die Corona-Warn-App der Bundesregierung nicht während des Urlaubs im Ausland eingesetzt werden kann, wird kritisiert. Jedes Land in der Europäischen Union kocht sein eigenes Corona-Süppchen. Bisher konnten sich die EU-Mitgliedsländer nicht einmal auf gemeinsame Standards für den Austausch der Kontakt-IDs einigen. Falk Garbsch fände ein europäisch koordiniertes Projekt wünschenswert:

"Weil die Grenzen in Europa sind ja weitestgehend offen. Und da man sich ja auch im europäischen Ausland sehr schnell bewegen kann, wäre es natürlich gut, wenn die Nachbarländer irgendwie auch ein Tracing hätten, was da dranhängt. Wenn man ihm sagen kann, na ja, ich bin jetzt zum Beispiel in den Niederlanden unterwegs gewesen und habe mich da eine halbe Stunde lang im Café mit ihm unterhalten. Oder der hat neben mir gesessen, und der ist jetzt positiv getestet. Das werde ich ja nie erfahren, weil es ja grenzübergreifend nicht funktioniert."