Die deutsche Corona-App

ein subjektiver Faktencheck

In der Timeline meiner sozialen Netzwerke werden immer häufiger die krudesten Kommentare zur kommenden Corona-App eingespielt und manchmal zuckt es mir in den Fingern, etwas zu schreiben. Meist scrolle ich etwas weiter und sehe, dass das bereits andere getan haben. Um mir nun selbst eine fundierte Meinung bilden zu können, habe ich mir viele Nachrichten, Details und Verschwörungs-Mythen angesehen und mich dann auf die Suche gemacht, was davon stimmen könnte. Ich möchte Euch gerne an meinem Ergebnis teilhaben lassen und bin selbstverständlich offen für sachdienliche Hinweise, falls ich etwas falsch oder missverständlich dargestellt habe.

Management-Summary:

Die deutsche App ist ein gutes aber nicht das einzige Hilfsmittel, um die Pandemie in Deutschland zu verlangsamen. Zusätzlich können Menschen der Risikogruppen möglicherweise geschont werden und gleichzeitig kann der Lockdown weiter aufgehoben werden und ein zweiter Lockdown sogar verhindert werden. Die App hilft - ganz banal gesagt - ab der zweiten Installation und nicht erst ab 60% der deutschen Gesamt-Bevölkerung und die App hilft allen Menschen und nicht nur denen, die sie benutzen.

Aber von vorne - wozu das Ganze? Es geht doch schon bergauf und es war vor allem alles nicht so schlimm, wie befürchtet, oder?

„There is no glory in prevention” - bereits Mitte März schrieb Tom Pueyo, ein IT-Geschäftsmann, wie eine mögliche Strategie aussehen könnte, um die Pandemie kontrollieren zu können. Da wir es bei der Sars-Cov-2-Ausbreitung mit einem ungefähr exponentiellen Wachstum zu tun haben, haben fast alle Länder den Zeitpunkt verpasst, an dem mit moderaten, punktuellen Mitteln dagegengehalten werden konnte. Die Gründe sind so vielschichtig, wie die Menschen, die Entscheidungen getroffen haben. Zu den vielen Persönlichkeits-Unterschieden kommt fast immer auch ein Fakt: Es fehlten schlicht das Wissen und die Werkzeuge.
Darum funktionierte der Lockdown um so besser, je konsequenter er durchgeführt wurde. Leider mit den großen, bekannten Nachteilen für die Wirtschaft und es besteht kein Zweifel daran, dass unsere Gesellschaft so einen Lockdown nur eine begrenzte Zeit[01] durchhalten kann. Im Gegensatz dazu besteht die Möglichkeit, keine Gegen-Maßnahmen einzuleiten, sondern nur auf die Krankheit selber zu reagieren. Die Auswirkungen konnte man leider sehr deutlich im italienischen Bergamo[02] und in New York[03] sehen. Da wir den Lockdown beenden wollen bzw. müssen[04] , scheint also die „The Hammer and the Dance“-Strategie[05] sinnvoll zu sein. Kurz zusammengefasst bedeutet sie, dass nach dem Lockdown und dem Rückgang der Infektionszahlen auf ein beherrschbares Niveau (vgl. „flatten the curve“)[06] , jede neue Infektion zurückverfolgt werden muss. Es geht darum, diejenigen Menschen zu finden, die möglicherweise bereits infiziert sind, aber auf Grund fehlender Symptome während der Inkubationszeit munter weiter soziale Kontakte pflegen und damit weitere Menschen anstecken. Genau das wird seit Beginn auch schon gemacht bzw. versucht, allerdings ist dieses „contact tracing“ enorm arbeitsintensiv und es steht dafür einfach nicht genügend Personal[07] zur Verfügung.
Genau hier hilft die Corona Warn App[08] . Sie soll unterstützen, was manuell sowieso durchgeführt wird. Nun gibt es hier viele Wege[09], die nach Rom führen. In Deutschland wurden schnell zwei besonders vielversprechende Varianten untersucht: Zum einen eine App, die Kontakt- oder Bewegungsdaten regelmäßig auf einem zentralen Server speichert. Dort wird dann auch eine Infektion mit den Daten abgeglichen und die Betroffenen können informiert werden. Funktional für mich ziemlich einleuchtend. Ein frühes Beispiel dafür ist die Australische App[10] seit Mitte April.
Der große Nachteil bei dieser zentralen Variante ist, dass die Daten der User zentral angreifbar und auswertbar gespeichert werden. Diese Nachteile sahen sogar die beiden größten Hersteller von Smartphone-Betriebssystemen Apple[11] und Google[12] ein und teilten im April mit, dass sie eine gemeinsame Schnittstellendefinition[13] in ihre Betriebssysteme einbauen würden, die eine effektive Nutzung nur bei dezentraler Datenhaltung erlauben würde. Diese Zusammenarbeit der beiden Konkurrenten ist in dieser Form einzigartig und ist ein Indiz für den Stellenwert, den diese Firmen dem Ganzen geben.
Um seinen Beitrag zur Sache zu leisten, tat der Chaos-Computer-Club (CCC), was er bisher noch nie getan hatte: Er veröffentlichte im April wesentliche Prüfsteine[14], gegen die eine Contact-Tracing-App gemessen werden müsste, damit sie aus technischer Sicht die Anforderungen an die Funktionalität erfüllen kann, bei gleichzeitiger Einhaltung des maximalen Wahrung der Privatsphäre[15]. Diese Prüfsteine stellen eine Minimalanforderung dar und sind kein Konzept oder Empfehlung für eine bestimmte App.
Wenige Tage nach Veröffentlichung der CCC Prüfsteine, legte sich die Bundesregierung[16] auf den aktuell entwickelten, dezentralen Ansatz fest. Der Quellcode[17] dieser „Corona Warn App“ wird seit dem 12. Mai auf GitHub öffentlich diskutiert und weiterentwickelt. Es geschieht, was geschehen musste: Die Netzgemeinde nimmt den Code auseinander und prüft, ob alles so ist, wie es von der Telekom und SAP kommuniziert wird. Ich selber habe mir auch einige Issues angesehen und stelle fest, dass es zwar viele Bugs und Verbesserungsvorschläge gibt („A Product Backlog is never complete“ p.15)[18], aber kein einziger Eintrag hat die Architektur bemängelt oder klagt über ungewollte Datenweitergaben an Dritte. Das ist für mich ein gutes Zeichen.
Auch der TÜV Süd bescheinigt[19] dem gegenwärtigen Stand, dass die App stabil laufe und kein Datenspion sei. Herausragend empfinde ich persönlich, dass sich SAP und Telekom durchaus die Prüfsteine des CCC anscheinend zu Herzen genommen und sogar dazu ein detailliertes Statement[20] erstellt haben. So dokumentieren die Entwickler, wie die Corona Warn App diese Forderungen technisch adressiert und umsetzt. Selbstverständlich werden die ersten vier Prüfsteine hier nicht diskutiert, da die Einhaltung dieser Punkte außerhalb der Verantwortung von SAP und Telekom liegen.
Dies sind im Einzelnen:
Epidemiologischer Sinn & Zweckgebundenheit, Freiwilligkeit & Diskriminierungsfreiheit, Grundlegende Privatsphäre, Transparenz und Prüfbarkeit.
Alle diese Punkte sehe ich derzeit in keiner Weise gefährdet und von der Bundesregierung durch das offene Verfahren sichergestellt.
Sämtliche technischen Kritikpunkte, die sich nicht auf einen Issue im GitHub-Projekt zurückführen lassen sind nach meiner Einschätzung reine Verschwörungs-Mythen. Z.B. müssen die Google-Play-Services aktiviert werden, weil Google darin die neuen Funktionen implementiert hat und nicht im Android Betriebssystem. Durch die Veröffentlichung des Sourcecodes ist sichergestellt, dass keinerlei Daten weitergegeben werden, die nicht unbedingt nötig sind.
Ebenso benötigt die App Zugriff auf die Kamera, um beim Arzt den Barcode einlesen zu können. Auch hier ist sichergestellt, dass die Kamera zu keinem anderen Zweck missbraucht wird.
Die einzige echte Kritik ist meiner Meinung nach am Bluetooth-Stack an sich angebracht. Dies betrifft aber in keiner Weise die Neuerungen, die Apple und Google eingebaut haben, noch ist davon die Corona Warn App an sich betroffen. Es besteht die Möglichkeit, dass ein Angreifer, der auf ca. 10m Meter herankommt, eine bestehende Sicherheitslücke im Telefon ausnutzt. Jedoch schätze ich die Wahrscheinlichkeit subjektiv höher ein, mit der Corona Warn App irgendjemandem zu helfen, als über Bluetooth infiziert zu werden. Jeder, der sein Handy per Bluetooth mit dem Auto koppelt, oder Kopfhörer und andere Gimmicks nutzt, ist bereits verwundbar unabhängig von der Corona Warn App.

Mein Fazit:

Die Corona Warn App ist technisch nicht in der Lage die Privatsphäre der Nutzer anzugreifen. Sie ist ein weiterer kleiner Baustein neben Abstandhalten, Maske tragen und generell Kontakte zu reduzieren, um der Pandemie Einhalt zu gebieten und trotzdem die Wirtschaft nicht weiter zu belasten, als unbedingt notwendig. Ich bin froh, dass ich damit auch für die Risikogruppen etwas tun kann und so meiner sozialen Verantwortung ein Stück weiter gerecht werden kann.

Quellen:
  1. https://de.wikipedia.org/wiki/Wirtschaftskrise_2020
  2. https://www.tagesspiegel.de/politik/italien-mit-hoechstzahl-an-corona-toten-armee-transportiert-leichen-mit-lkw-ab-ausnahmezustand-im-land-verlaengert/25660522.html
  3. https://theworldnews.net/ch-news/leichenhallen-sind-uberfullt-new-york-muss-mobile-zelte-fur-corona-tote-aufstellen
  4. https://freiheitsrechte.org/corona-und-grundrechte/
  5. https://medium.com/@tomaspueyo/coronavirus-the-hammer-and-the-dance-be9337092b56
  6. https://youtu.be/Buqviy1e9uM
  7. https://www.kreis-tir.de/buergerservice/aktuelles/news/news/detail/News/corona-virus-contact-tracing-teams-zur-unterstuetzung-des-gesundheitsamtes/
  8. https://www.coronawarn.app/de/
  9. https://en.wikipedia.org/wiki/COVID-19_apps
  10. https://en.wikipedia.org/wiki/COVIDSafe
  11. https://www.apple.com/covid19/contacttracing/
  12. https://www.google.com/covid19/exposurenotifications/
  13. https://www.apple.com/de/newsroom/2020/04/apple-and-google-partner-on-covid-19-contact-tracing-technology/
  14. https://www.ccc.de/de/updates/2020/contact-tracing-requirements
  15. https://youtu.be/XvRnyv9fPns
  16. https://www.tagesschau.de/inland/coronavirus-app-107.html
  17. https://github.com/corona-warn-app
  18. https://www.scrumguides.org/docs/scrumguide/v2017/2017-Scrum-Guide-US.pdf
  19. https://www.heise.de/news/TUeV-Pruefung-der-Corona-App-App-soll-stabil-und-sicher-laufen-4782882.html
  20. https://github.com/corona-warn-app/cwa-documentation/blob/master/pruefsteine.md