Seit Wochen diskutiert Deutschland über eine App, die bei der Nachverfolgung und Unterbrechung von Infektionsketten helfen soll. Der Sachstand zur sogenannten “Corona-Tracing-App” verändert sich dabei fast täglich und begünstigt dadurch einen Wildwuchs an veralteten oder falschen Informationen. Um etwas Licht ins Dunkel zu bringen, möchte ich hier auf ein paar gängige Fragen eingehen und so Missverständnisse ausräumen. Diesen Beitrag werde ich auch künftig ergänzen, wenn neue Fragen oder Erkenntnisse auftauchen. Wer hier eine Frage vermisst, kann sie mir gern per mail an anke.domscheit-berg@bundestag.de schicken.
Wie sieht es mit dem Datenschutz der App aus? Kommt mit der App die Überwachung?
Die App ist äußerst datensparsam aufgebaut. Die ausgetauschten IDs sind randomisierte Zahlen und enthalten z.B. keine Daten, die eine Zuordnung zu einem Ort (also wo man sich aufgehalten hat) oder zur Person (z.B. Name oder Telefonnummer) ermöglichen. Zusätzlich werden die Daten zur Beantwortung der Frage: “Welches Gerät war länger als 15 Minuten weniger als 2 Meter von einem anderen Gerät entfernt” aufgrund des aktuell von der Bundesregierung verfolgten dezentralen Ansatzes nicht auf einem zentralen Server des RKI verarbeitet, sondern auf jedem Endgerät selbst. Dadurch ist ein Rückschluss auf eine konkrete Person durch Deanonymisierung zwar technisch nicht völlig unmöglich (das ist auch schwer zu erreichen), aber sehr unwahrscheinlich, denn der Aufwand wäre enorm. Für eine flächendeckende Überwachung ist die App in ihrer aktuellen Form denkbar ungeeignet. Außerdem wird der Bundesbeauftragte für Datenschutz und Informationsfreiheit die App vor ihrer Verbreitung auf ihre Konformität mit der DSGVO prüfen und das Prüfergebnis wird veröffentlicht. Die Funktionsweise der App ist hier genauer beschrieben.
Wie viele Menschen müssen die App nutzen, damit sie ein Erfolg wird?
Oft wird behauptet, dass eine Tracing-App mindestens von 60% der Bevölkerung genutzt werden muss, um einen positiven Beitrag bei der Bekämpfung von Covid-19 leisten zu können. Diese Zahl basiert auf einer Studie der Universität Oxford von Mitte April. Sie ist jedoch inzwischen stark umstritten. So gibt es auch Forscher*innen, die von anderen Zahlen ausgehen, Beispiel: Bei einer Verbreitung von 30-40% sollen mit der App bereits 20-30% der Infektionsketten unterbrochen werden können. Fachleute vermuten außerdem eine ungleichmäßige Verteilung der App-Nutzung. Jüngere Generationen werden die App wahrscheinlich mehr als ältere Menschen nutzen, was man heute schon ganz allgemein bei App-Nutzungen beobachten kann. Da gerade jüngere Generationen die Personenkreise darstellen, die untereinander viel Kontakt haben und besonders mobil sind, kann die App hier bei einer höheren Verbreitung auch besonders viele Infektionsketten unterbrechen und damit auch Ältere vor Infektionen bewahren, ohne dass diese die App nutzen, wenn z.B. jüngere Verwandte über die App vor einer potentiellen Infektion gewarnt werden, und deshalb Eltern oder Großeltern eine Zeit lang nicht besuchen.
Dennoch gilt, dass wir erst eine Zeit lang nach Einführung der App genauer wissen werden, ob und wie stark sie bei der Eindämmung der Pandemie hilft. Völlig falsch ist der Glaube, dass mit Einführung der App andere Maßnahmen und Einschränkungen nicht mehr notwendig sein werden. Die App ist nur ein zusätzlicher Baustein und kein Ersatz für andere. Siehe dazu auch einen separaten Abschnitt weiter unten.
Welchen Beitrag die App leisten kann, hängt jedoch von mehr Faktoren ab, als nur von der Anzahl der Menschen, die sie installiert haben. Er wird davon beeinflusst sein, wie hoch die Qualität der App ist, also ob es zu vielen und häufigen Fehlalarmen kommt oder nicht, und ob sich Menschen, die von ihrer App eine Warnung erhalten, auch an die Verhaltensempfehlungen halten oder nicht. Diese beiden Dinge hängen natürlich zusammen, denn wer ständig Fehlalarme erhält, wird vermutlich irgendwann nicht mehr freiwillig in Quarantäne gehen.
Außerdem muss es bei einem Verdacht auf eine Infektion einen Zugang zu Testmöglichkeiten und zu einer guten, fachlichen Beratung durch die Gesundheitsämter geben. Dazu sind sowohl Testkapazitäten auszubauen als auch ihre Kostenübernahme durch gesetzliche Krankenkassen zu garantieren und die Gesundheitsämter weiter personell zu stärken.
Warum braucht es ein Tracing-App-Gesetz?
Bisher sieht die Bundesregierung keinerlei Notwendigkeit dafür, das Parlament beim Thema Corona-Warn-App zu beteiligen und für den Einsatz der App eine gesetzliche Grundlage zu schaffen. Sie argumentiert u.a. damit, dass die App doppelt freiwillig ist, denn sowohl die Nutzung der App als auch die Übermittlung eines positiven Covid-19-Testergebnis sollen freiwillig sein. Das schließt allerdings nicht explizit aus, dass man durch die Nutzung oder Nicht-Nutzung der App irgendwelche Nach- oder Vorteile durch den Staat oder Dritte erfahren kann. So werden immer wieder auch durch Politiker*innen Forderungen nach Privilegien für App-Nutzer*innen laut (z.B. Ausnahmen von Beschränkungen oder Steuervorteile) und wird öffentlich darüber spekuliert, ob im Alltag das Vorzeigen eines Smartphones mit Corona-Warn-App eine Voraussetzung z.B. für Zutritt zu Veranstaltungen oder eine Bevorzugung bei Bewerbungen sein kann. Eine solche Praxis hätte natürlich mit Freiwilligkeit nichts mehr zu tun, denn Freiwilligkeit ist mehr, als die Abwesenheit von Zwang. Freiwilligkeit bedeutet auch, dass es keinen sozialen Druck jedweder Art geben darf. Um genau diese Rechte zu garantieren, braucht es ein Gesetz, in dem festgeschrieben ist, dass solche Diskriminierungen ausgeschlossen sind.
Darüber muss ein Gesetz den Einsatz der App streng befristen. Wenn der nationale Pandemienotstand aufgehoben wird, darf auch die App nicht mehr weiter betrieben werden. Zusätzlich muss ein solches Gesetz den Nutzungszweck eindeutig auf die Kontaktwarnung festschreiben. Jede Erweiterung um andere Funktionalitäten muss darin ausgeschlossen sein, die Eigenschaften Datensparsamkeit und Transparenz durch Open-Source-Entwicklung der App müssen gesetzlich verankert sein. Es ist ein Armutszeugnis für die Bundesregierung und trägt leider nicht zum Vertrauen in die App bei, dass sie nicht einmal daran denkt, ein solches Gesetz vorzulegen.
Wenn wir die App haben, braucht es dann keine anderen Maßnahmen mehr?
Diese Vorstellung ist falsch. Die App kann nur helfen, einige Infektionen – aber eben nicht alle früher bekannt zu machen. Wenn Menschen eine Warnung erhalten, können sie längst infiziert sein und auch schon die Infektion weitergetragen haben, denn Inkubationszeiten haben eine große Bandbreite und manche Menschen bekommen kaum oder gar keine Symptome, merken also von der Infektion nichts. Außerdem haben nicht alle Menschen ein Handy, und nicht alle Handybesitzer haben ein Smartphone. Von denen, die ein Smartphone haben, können aber nur diejenigen, die ein Apple Gerät oder das Android Betriebssystem mit dem Google Playstore nutzen, die App überhaupt runterladen, für andere wird die App gar nicht verfügbar sein. Das Handy müsste außerdem immer mitgeführt werden, immer aufgeladen sein, dürfte nie im Flugmodus sein und müsste immer Bluetooth eingeschaltet haben. Alles das trifft nicht zu und lässt sich auch nicht vorschreiben.
Die Entfernungsmessung auf der Basis von Bluetooth müßte 100% verlässlich sein, es dürfte keine false negatives geben – also kein Übersehen von tatsächlichen Infektionsmöglichkeiten, was nicht möglich sein wird. So wird z.B. durch die App nicht gewarnt, wenn eine infizierte Kontaktperson zwar weniger als 5 Minuten in der Nähe einer Person war, ihr aber direkt ins Gesicht geniest hat.
Täglich gewinnt die Wissenschaft außerdem neue Erkenntnisse über die Infektionswege und es mehreren sich die Studien, die aufzeigen, dass ein hoher Anteil der Infektionen nicht über Tröpfcheninfektionen, sondern über Aerosole erfolgt. Aerosole schweben viel länger in der Luft, weil sie viel leichter sind, sie fallen eben nicht innerhalb einer Entfernung von 2 Metern zu Boden. Vermutlich sind die über 100 Menschen, die bei einem Gottesdienst in der Kirche in Hessen mit Covid-19 angesteckt worden sind durch Aerosole infiziert worden und nicht durch Tröpfcheninfektion. Selbst wenn also alle Gottesdienstbesucher ein Smartphone mit App gehabt hätte, wären nur diejenigen in unmittelbarer Nähe des Infektionsträgers durch die App gewarnt worden. Das Beispiel zeigt im Übrigen, wie wichtig weiterhin die analoge Kontaktverfolgung durch Gesundheitsämter ist.
Die App selbst schützt also weder alle und außerdem schützt sie nur indirekt: Sie kann in manchen Fällen verhindern, dass sich weitere Personen anstecken, weil Infizierte früher von ihrer Erkrankung wissen und sich mit diesem Wissen verantwortungsvoller verhalten können. Sie ersetzt aber weder Mund-Nasen-Schutz oder den Schutz durch Abstandhalten und noch viele andere, weiter notwendige Maßnahmen.
Woher weiß man, was die App wirklich macht? Ist die App transparent, Open Source?
Vertrauen ist gut, Kontrolle ist besser. Deshalb ist es gut, dass sich die Bundesregierung im zweiten Anlauf dafür entschieden hat, die App in einem konsequent offenen Prozess als Open Source entwickeln zu lassen. Sowohl die Prozessbeschreibungen als auch die technische Architektur und erster Programmiercode für das Backend sind bereits auf der Open Source Plattform Github zu finden. Der Programmiercode für die App selbst wird ebenfalls Schritt für Schritt auf Github veröffentlicht. Die Projektverantwortlichen rufen auf der Plattform explizit zum Feedback auf und äußern öffentlich auch Wertschätzung für das bisher geleistete Feedback. Dieser offene Prozess ist eine vertrauensbildende und notwendige Maßnahme. Er stellt auch sicher, dass unabhängige Expert*innen sich die tatsächliche Funktionsweise der App im Detail anschauen und überprüfen können, ob sie wirklich nur das tut, was und wie es kommuniziert worden ist. Die Dokumentation ist umfangreich und detailliert.
Wenn ich wegen der App immer Bluetooth angeschaltet haben muss, wird dann mein Handy angreifbar und unsicher?
Es gibt kein Handy ohne Sicherheitsrisiken, aber natürlich kann man das Risikolevel beeinflussen. Wer ein Handy hat, für das es in kürzeren Abständen Updates gibt und die auch immer sofort installiert und wer nie öffentliche WLAN Hotspots nutzt, hat schon mal einiges für die Sicherheit des eigenen Geräts getan. Eine allgemeine Empfehlung zur Steigerung der Sicherheit ist auch, Bluetooth nicht ständig angeschaltet zu haben, denn immer wieder werden Sicherheitslücken öffentlich, die über die Bluetooth-Schnittstelle das Handy angreifen. Manche dieser Sicherheitslücken betreffen Millionen von Geräten und ermöglichen die vollständige Übernahme des Smartphones, zumindest, wenn bestimmte Rahmenbedingungen erfüllt sind. Dazu gehört, dass sich ein potenzieller Angreifer in unmittelbarer räumlicher Nähe befinden muss, was die Wahrscheinlichkeit von Angriffen verringert.
Wer die Corona Warn App verwenden möchte, muss jedoch immer Bluetooth eingeschaltet haben – was deshalb IT-Sicherheits-sensible Nutzer*innen beunruhigt. Aus diversen Äußerungen von Bluetooth-Expert*innen wage ich folgende (durchaus verkürzte) Zusammenfassung der Sicherheitsrisiken durch eine offene Bluetooth-Schnittstelle:
- Wer ein Apple Gerät hat und es regelmäßig aktualisiert, sollte nur ein geringes Risiko haben, wobei neuere Geräte sicherer sind, als ältere.
- Wer ein Android Gerät hat, ist vom Hersteller des Geräts abhängig – manche liefern häufiger Updates zur Schließung von Sicherheitslücken aus als andere, bei älteren Geräten gibt es oft gar keine Updates mehr. Die Updatezyklen sind generell länger, d.h. Sicherheitslücken werden langsamer geschlossen.
- Praktischer Tipp: bitte im eigenen Handy das Datum des letzten Updates prüfen, wenn es VOR dem Januar 2020 lag, also eine Jahreszahl 2019 oder sogar noch älter aufzeigt, dann gibt es mit hoher Wahrscheinlichkeit offene Bluetooth-Sicherheitslücken, die das eigene Handy unter bestimmten Umständen (räumliche Nähe und spezifische technische Ausstattung des Angreifers) attackierbar machen.
Aber selbst bei Apple gibt es Risiken, so hat das BSI erst am 19.05.2020 eine Warnung der Risikostufe 3 zu einer neuen Sicherheitslücke bei iPhone und iPad veröffentlicht und dazu geraten, die Bluetooth Schnittstelle bis zur Verfügbarkeit eines neuen Updates nicht zu nutzen. Die Begründung des BSI: “Ein Angreifer in Funkreichweite kann Sicherheitsvorkehrungen umgehen und dadurch die Bluetooth Kommunikation manipulieren.” Wenige Tage später ergänzte das BSI in einem Update, dass die Sicherheitslücke Geräte vieler Hersteller betrifft aber nur mit hohem technischen Aufwand ausgenutzt werden kann. Auch in einer Bürgerbroschüre von 2019 rät das BSI, die Bluetooth-Schnittstellen (so wie andere Funkschnittstellen auch) nicht ständig offen zu lassen, was jetzt natürlich im Widerspruch zum Wunsch der Bundesregierung steht, dass möglichst viele Menschen die App installieren und nutzen – was eine ständig offene Bluetooth Schnittstelle erfordert.
Das BSI ist jedenfalls laut Aussage der Bundesregierung eng eingebunden und soll am Ende eine Aussage zur Sicherheit der App vornehmen. Ich bin gespannt auf seine konkreten Empfehlungen dazu.
Es bleibt am Ende aber eine individuelle Abwägung der unterschiedlichen Risiken, denn IT-Sicherheit und Gesundheitsschutz stehen in gewisser Weise einander gegenüber. Dazu braucht es aber eine ehrliche Kommunikation von Seiten des Corona-Warn-App-Projektes, denn um Risiken besser abwägen zu können, muss man sie beurteilen können.
Wer entwickelt die App und wer ist überhaupt zuständig?
Die Federführung dafür hat das Bundesgesundheitsministerium. Es hat die SAP mit der Deutschen Telekom zur Umsetzung beauftragt – allerdings mit Stand 27.5.2020 nach wie vor ohne vertragliche Grundlage, obwohl seit dem 26.4.2020 an der Umsetzung gearbeitet wird und schon etliche Arbeitsergebnisse vorliegen. Daher ist auch nicht bekannt, wie teuer das Projekt werden wird. In Medien kann von zweistelligen Millionenbeträgen lesen, aber offizielle Angaben gibt es bisher (28.5.2020) nicht.
Beteiligt sind aber auch die Start-Up-Initiative Gesund-zusammen.de, die in den Feldern User Experience und Outreach das Projekt unterstützt. Für die Öffentlichkeitsarbeit zeichnet das Bundespresseamt zuständig, es lässt sich von der PR Agentur Goldener Hirsch dabei unterstützen. Der Bundesdatenschutzbeauftragte begleitet die Datenschutzaspekte des Vorhabens, das BSI kümmert sich um die IT-Sicherheit. Die Forschungsinstitute Fraunhofer und Helmholtz sind beratend beteiligt.
Speichert die App Gesundheitsdaten?
Die Antwort darauf lautet: Das hängt davon ab. Denn anders als ursprünglich geplant, wird die App eine separat aktivierbare Funktion enthalten, über die man sich ein Covid-19 Testergebnis auf das Handy, in die App schicken lassen kann. Wer diese Funktion aktiviert, wird also genau diese gesundheitsbezogenen Information erhalten und sie wird (wie, wo und wie lange ist noch nicht klar) auch in der App gespeichert sein. Für diesen Fall gilt dann natürlich auch nicht mehr die Aussage, dass “die App keine personenbezogenen Daten enthält”, denn natürlich ist das ein personenbezogenes Datum, ob man positiv oder negativ getestet wurde.
Dass es diese Information in der App geben kann, birgt Potenzial für ein Problem, nämlich den Mißbrauch der App als Immunitätsausweis. So könnten Vorteile versprochen werden, wenn man eine App vorzeigen kann, in der eine hinreichend lang zurückliegende Infektion nachgewiesen ist, man also nicht mehr infektiös aber immun ist. Dieses Problem ließe sich vermeiden, wenn das Testergebnis nur für kurze Zeit in der App gespeichert wird und sofort nach Meldung an den RKI Server aus der App gelöscht wird.
Kann man sich missbräuchlich als infiziert melden und damit das System “trollen”?
Jein. Und diese Antwort ist ein Problem, denn wenn es möglich ist, sich fälschlich als infiziert im System weiter zu melden, werden möglicherweise viele Menschen als vermeintlich gefährdet gewarnt und begeben sich unnötig in Quarantäne. Gibt es viele solcher Fehlalarme, kann die Wirkung der App gefährdet sein, weil dann auch berechtigte Warnmeldungen weniger ernst genommen werden.
Das “Jein” hat damit zu tun, dass es zwei verschiedene Wege gibt, eine Freischaltung für die Infiziert-Meldung zu erreichen.
Der erste Weg:
Bei der Abgabe der Probe scannt man einen QR-Code des Labors mit dem Handy in der App ein. Der QR-Code ist mit der Probe eindeutig verbunden, aber soll keinerlei personenbezogene Daten, wie z.B. den Namen der Person, enthalten. Wird die Probe als positiv getestet, übermittelt das Labor elektronisch diesen QR-Code als “Positiv-Code” an den zentralen Server des RKI und das Testergebnis (in jedem Fall, also auch ein negatives) an das Handy der getesteten Person. Hat man ein positives Testergebnis erhalten, startet man den Prozess der Weitermeldung der Infektion an den zentralen Server, an dessen Beginn ein Abgleich des eigenen QR-Codes mit den als positiv beim Server hinterlegten QR-Codes stattfindet. Gibt es eine Übereinstimmung, wird die App freigeschaltet für die Weitermeldung der Infektion an den zentralen Server, dabei werden die gespeicherten, randomisierten IDs der Geräte übermittelt, denen man in der relevanten Infektionszeit zu lang und zu nah gekommen war, wo also ein potentielles Übertragungsrisiko besteht. In dieser Variante der Freischaltung ist Trollerei praktisch ausgeschlossen, eine fälschliche Übermittlung ist nicht möglich. Aber dieser Prozess wird nicht in allen Fällen zum Tragen kommen, denn zum einen ist er freiwillig und nicht jede*r möchte solche sensiblen Gesundheitsdaten auf dem Handy haben und zum anderen verfügen noch lange nicht alle Labore über die notwendige digitale Meldeinfrastruktur. Es braucht also einen weiteren Weg der Freischaltung und der ist leider anfällig für Trollerei.
Der zweite Weg:
Die alternative Variante zum QR-Code Prozess ist eine Freischaltung über eine Hotline. Diese Hotline soll offenbar von der Deutschen Telekom bereitgestellt werden und ist nicht zu verwechseln mit einer zweiten Hotline der DTAG, die Nutzerfragen zur Installation und rum um das Technische der App beantworten soll. Die Freischaltungshotline hat eine andere Funktion. Erhält eine Person ein positives Testergebnis vom Labor, aber hat keinen QR-Code gescannt, muss man diese Hotline anrufen und wird dann “Plausibilitätsfragen” gefragt. Nach Aussagen eines Vertreters des BMG im Digitalausschuss am 27.5.2020 sind diese Fragen noch in Entwicklung, aber werden vermutlich auch Fragen enthalten, wie: “Haben Sie sich testen lassen?”, “Haben Sie ein positives Testergebnis erhalten?”, “Von welchem Labor?”, “Wann war das?”. Kommt die Ansprechperson am anderen Ende der Hotline zur Einschätzung, dass eine hinreichende Plausibilität gegeben ist, schickt sie eine TAN per SMS an das Smartphone der anrufenden Person (wofür natürlich die Handynummer bekannt gegeben werden muss). Diese TAN ist dann in der App einzugeben, wo sie eine Freischaltung der Infiziert-Meldung an den RKI Server auslöst. Es liegt auf der Hand, dass dieser Prozess nicht besonders trollsicher ist, man muss nur überzeugend genug am Telefon lügen, dass man einen positiven Test erhalten hat und ein existierendes Labor in der Nähe angeben. What can possibly go wrong?