Heute ist es nun also endlich so weit: nach nur sechs Wochen Entwicklungszeit wurde die Corona-Warn-App für Deutschland in den App Stores freigegeben.
Ich habe mich im Vorfeld im Rahmen meines Corona-Tagebuches schon viel mit der App beschäftigt. Da ich selbst in der Softwareentwicklung tätig bin, habe ich mir auch viele kritische Fragen gestellt, deren Antworten ich hier kurz zusammenzutragen versuche:
Wichtige Eckdaten der Corona-Warn-App
Die Contact-Tracing-App entstand aus einer Zusammenarbeit von SAP und der Deutschen Telekom und soll ein technologiegestütztes Verfolgen von Kontakten im Rahmen der Corona-Pandemie ermöglichen.
Ursprünglich sollte die App bereits im April erscheinen, jedoch gab es große öffentliche Diskussionen über die konzeptionellen Grundlagen der App.
Die Corona-Warn-App ist verfügbar für Geräte mit Googles Android-Betriebssystem und Apples iOS-Betriebssystem und deckt damit knapp 99% aller Smartphones im Markt ab.
Hier geht’s direkt zu den jeweiligen App-Stores:
Corona-Warn-App Android
Corona-Warn-App iOS
Wichtige Updates der Corona-Warn-App
Montag, 19. Oktober 2020
Die App erhält zwei neue Funktionen:
- die Möglichkeit ein Symptome-Tagebuch zu hinterlegen
- die App funktioniert nun auch international über deutsche Landesgrenzen hinweg
Unterschiedliche Konzepte der Datenspeicherung
Der zunächst verfolgte Ansatz war nämlich, dass die Corona-Warn-App die gesammelten Daten direkt an einen zentralen Server überträgt, der diese Daten dann pseudonymisiert und auswertet.
Der zentrale Ansatz
Diese Herangehensweise ist jedoch aus Datenschutzsicht nicht sonderlich schön, da sich auf diesem Server dann die Daten aller Menschen befinden, die die App installiert haben.
Der zentrale Server wäre damit nicht nur für Hacker ein lohnendes Ziel, sondern auch für Big Data Analysten und Marketingteams des ganzen Landes und es wäre wohl nur eine Frage der Zeit, bis die Daten auch für andere Anwendungszwecke genutzt worden wären.
Die dezentrale Lösung
Nach heftigen Protesten von Datenschützern und Netzpolitikern fiel die Entscheidung schlussendlich glücklicherweise auf eine dezentrale Speicherung der Daten — sprich: die Daten verbleiben sicher und verschlüsselt auf dem Endgerät der Anwender.
Damit kann die Corona-Warn-App nur für den ihr zugedachten Zweck genutzt werden und ist für alles andere völlig wert- und nutzlos.
Wieso dauert die Entwicklung so lange?
Eigentlich dauert die Entwicklung der App gar nicht so lange.
Der erste Commit auf GitHub war am 12. Mai und wenn man dieses Datum als Entwicklungsstart hernimmt (was zugegeben etwas ungenau ist) und noch eine Woche Schmalz draufrechnet und dies bis zur ersten Veröffentlichung in den App Stores hochrechnet, so dauert die Entwicklung nur sechs Wochen.
Dafür, dass hier eine komplett neue Technologie zum Einsatz kommt, die auf Schnittstellen basiert, die selbst Apple und Google in kürzester Zeit aus der Wiege gehoben und schon Ende Mai veröffentlicht haben, ist die Entwicklungszeit durchaus als schnell zu bezeichnen.
Erschwerend hinzu kommen natürlich noch die Grundsatzdiskussionen über die Speicherung der Daten — für die Entwicklungsabteilung sind das durchaus wichtige Entscheidungen, ohne die das Weiterentwickeln nur bedingt sinnvoll ist.
Und zu allem Übel wurde dem Projekt ja auch noch das Team unterm Hintern ausgetauscht. Während zunächst das Fraunhofer Institut mit der App-Entwicklung betraut war, wechselte die Bundesregierung nach den fast schon ideologischen Grundsatzdiskussionen um die Datenspeicherungsart auf die Kombination aus SAP und Telekom. Sowas kostet natürlich auch noch mal Zeit.
Man stelle sich vor, jemand bestellt einen Lkw und mitten im Bau ändert der Kunde seine Meinung und möchte doch lieber einen Sportwagen haben — dafür wäre es dann meist zu spät und man könnte noch mal von vorne anfangen.
Und wofür brauchen wir die Corona-Warn-App überhaupt?
Die App ist dazu gedacht, auf dem Smartphone im Hintergrund zu laufen und Kontakte zu anderen App-Installationen zu sammeln. Dabei sendet die App beständig über die Bluetooth-Schnittstelle eine sich regelmäßig ändernde Identifikationsnummer aus, die von anderen Smartphones aufgefangen wird.
Über die Signalstärke der Bluetooth-Verbindung kann in etwa die Distanz festgestellt werden (auf Dezimeter genau). So kann festgehalten werden, für wie lange der Kontakt zu anderen Menschen mit welchem Abstand bestand.
All diese Daten verbleiben zunächst auf dem Smartphone der Person.
Der Ursprung der Idee
Diese Herangehensweise der Kontaktermittlung gibt es schon bei einem Smartphone-Zubehör, welches manche vielleicht sogar im Einsatz haben: der Schlüsselfinder.
Ein kleiner Anhänger kommt an den Schlüssel und über eine App kann man den Standort des Anhängers feststellen und ihn auch klingeln lassen. So in etwa funktioniert auch die App.
Erkrankt nun jemand, der die App installiert hat, an COVID-19, so kann er dies über die App mitteilen. Daraufhin werden die Identifikationsnummern von den Kontakten der letzten 14 Tage übermittelt, bei denen der Abstand unter zwei Metern betrugt und deren Kontaktdauer über 15 Minuten betrug.
So können gezielt die Personen informiert werden, die im fraglichen Zeitraum Kontakt zum Infizierten hatten.
Welche Daten erhebt, speichert und verarbeitet die Corona-Warn-App?
Die App nutzt die Bluetooth-Schnittstelle des Smartphones, um Identifikationsnummern mit sich in Reichweite befindlichen Smartphones auszutauschen.
Dabei wird über die Bluetooth-Signalstärke der Abstand zwischen den Geräten gemessen.
Diese zufälligen IDs werden mit einer Synchronisierung-ID verknüpft, um die Kontaktnachverfolgung zu ermöglichen. Diese enthält jedoch keine weiteren Daten, erst recht keine personenbezogenen Daten.
Geo-Informationen, wie GPS-Positionsdaten, werden dabei explizit nicht erhoben.
Auch personenbezogene Daten werden nicht ausgetauscht oder übertragen.
Die App gleicht lediglich verschlüsselt die einen Synchronisierungsschlüssel mit ihrem Server ab. So kann man Informationen über Infektionen sicher austauschen.
Wer hat die App entwickelt?
Maßgeblich wird die App in Zusammenarbeit von SAP und der Deutschen Telekom entwickelt.
Beratend tätig waren die Fraunhofer-Gesellschaft und das Helmholtz-Zentrum CISPA.
Die Allianz europäischer Technologieunternehmen „#GesundZusammen“ steuerte Input zum Userinterface bei.
Schlussendlich angeboten wird die App vom Robert-Koch-Institut.
Wie sieht die App nun eigentlich aus?
Da die App ja nun final veröffentlicht wurde, hier ein paar Screenshots:
iOS App Store Startseite Aktivierung Fertig!
Kann man der Corona-Warn-App trauen?
Meiner persönlichen Meinung nach, kann die App ein nützlicher Baustein bei der Kontaktverfolgung von Infektionsketten sein. Außerdem glaube ich, dass mit der Implementierung der dezentralen Datenspeicherung auf dem jeweiligen Gerät, eine datenschutzmäßig solide Basis gewährleistet ist.
Insbesondere weil die App als Open Source veröffentlicht wurde und der Quelltext der App für jeden auf GitHub einsehbar ist, weiß man ganz genau, was die App technisch tut und was nicht. Das ist ein riesengroßer Pluspunkt beim Aufbau von Vertrauen.
Des Weiteren greift die App auf die von Apple und Google bereitgestellten Schnittstellen zurück.
D.h. das Smartphone-Betriebssystem selbst übernimmt die Erkennung, wie lange und auf welcher Entfernung zwei Handys nebeneinander waren.Und auch die Erzeugung, der Austausch und der Abgleich der Krypto-Schlüssel (Temporary Exposure Keys/pseudonyme Rolling Proximity Identifiers, kurz: RPI) läuft über das Handy-Betriebssystem. Diese Identifikationsnummern ändern sich alle zehn bis zwanzig Minuten und verhindern so, dass Einzelpersonen über die IDs nachverfolgbar sind.
Sollte die Liste der IDs also trotz allen Vorkehrungen einmal an die Öffentlichkeit kommen, ist darüber kein Rückschluss auf Einzelpersonen oder Aufenthaltsorte möglich.
Damit ist auch sichergestellt, dass sich der Akkuverbrauch im Rahmen bewegt, und die App den Akku nicht unnötig leersaugt.
Inzwischen wurde die App auch vom TÜV analysiert und zertifiziert, falls das jemanden beruhigt.
Mich beruhigen da eher die Aussagen vom ChaosComputerClub, die nichts an der App auszusetzen haben.
Wer bezahlt den ganzen Spaß?
Dass die App kostenlos herunterzuladen ist, versteht sich von selbst. Dennoch hat die Entwicklung der App ja Geld gekostet und auch der Betrieb der Infrastruktur muss sichergestellt werden.
Mit SAP und Telekom haben sich zwei alteingesessene Giganten gefunden, die leider auch ordentlich hinlangen:
Die Kosten für die Entwicklung der Corona-Warn-App liegen laut der Bundesregierung bei etwa 20 Millionen Euro. Hinzu kommen noch die Kosten für den Betrieb und mögliche Aktualisierungen und Weiterentwicklungen. Diese liegen bei schätzungsweise 2,5 bis 3,5 Millionen Euro pro Monat(!).
Es ist mir persönlich unklar, wie binnen sechs Wochen Entwicklungszeit so hohe Kosten zusammengekommen sind und auch die Betriebskosten kommen mir völlig überhöht vor. Aber in diesen Zeiten sitzt das Geld beim Stichwort „Corona“ ja oft etwas lockerer.
Über den Sinn der Corona-Warn-App
Bringt die App denn überhaupt etwas?
Nun, wenn nur ein paar Menschen die App installiert haben, ist der Nutzen natürlich gering.
Ab einer Verbreitung von ca. 60% in der Bevölkerung jedoch wird eine kritische Masse erreicht und die App kann ihre Vorteile voll ausspielen. Je mehr Menschen mitmachen, desto besser ist es.
Was kann die App sonst noch?
Da sich die Grundfunktion der App ja komplett im Hintergrund abspielt, gibt es in der App für den Anwender im Regelfall eigentlich nicht viel zu tun.
Die App wurde deshalb noch mit einigen Zusatzinformationen rund um die Corona-Pandemie erweitert.
So finden sich Tipps zum richtigen Verhalten und Informationen über die App selbst.
Außerdem ist angelacht, dass man durch das Scannen eines QR-Codes seine Testergebnisse einfach übermitteln kann. Da diese Funktion jedoch einen Rattenschwanz an Änderungen in internen Prozessen unseres Gesundheitswesen voraussetzt, wird es erstmal wohl bei einer oldschool telefonischen Hotline bleiben müssen.
Was könnte aus der App noch mal werden?
Spannend ist natürlich auch die Frage, in welche Richtung sich die App sinnvoll weiterentwickeln lässt, wenn wir sie denn erstmal haben. Ich stelle mir vor allem vor, dass die App auch für andere Virus-Pandemien ein sinnvolles Mittel darstellt.
Man stelle sich einmal vor, ein neues Virus erblickt das Licht der Welt. Dann ließe sich die App relativ schnell auch für die Kontaktverfolgung der Ausbreitung des neuen Virus nutzen.
Außerdem wäre des denkbar, dass die App um ein paar Funktionen erweitert wird:
- Push-Warnhinweise bei Unterschreiten des Sicherheitsabstands zu Anderen
- Informationen zu aktuellen Regeln und Verordnungen
- Internationaler Rollout, denn wenn alle die selbe App nutzen, klappt’s auch weltweit
Was kann jetzt noch schiefgehen?
Technologisch steht, meiner Meinung nach, nun alles auf stabilen Beinen.
Jetzt kommt es darauf an, wie die Rezeption in der Gesellschaft ist und wie sie mit der App umgeht.
Eigentlich reicht es, wenn möglichst viele Menschen die App installieren und im Infektionsfall diese Informationen weitergeben.
Jedoch spinnen einige Menschen schon wieder rum und es stehen meiner Meinung nach zweifelhafte Ideen im Raum.
So wäre es laut einiger Nasen denkbar, dass Menschen, die die App installiert haben, weniger Beschränkungen unterliegen als solche, die die App nicht installiert haben. Da sind zum Beispiel Ideen ausgesprochen worden, wie:
- nur mit App ins Restaurant
- wer die App installiert hat, darf sich freier in der Öffentlichkeit bewegen (Zoo, Theater, usw.)
- Urlaub nur mit App
Diese Ideen halte ich für gefährlich, da sie die Menschen stigmatisieren, diskriminieren und in Gruppen einteilen könnten und ich hoffe innig, dass sie nicht in die Tat umgesetzt werden.
Ich bin jedenfalls gespannt, wie die Akzeptanz in der Bevölkerung ist, und wieviele Downloads und Installationen die App so in nächster Zeit haben wird. Und dann können wir uns anschauen, ob die App tatsächlich zu einem guten Werkzeug in der Kontaktverfolgung dieser Virus-Pandemie sein wird, wie gerade gehofft wird.
Wo finde ich weiterführende Informationen zur App?
Ich habe versucht die mir wichtigsten Fragen hier zusammenzustellen und zu beantworten.
Wenn Du noch tiefer in die Materie einsteigen möchtest, findest Du hier eine Sammlung von Links, die viele weitere Informationen enthalten:
- Häufig gestellt Fragen zur App vom Corona-Warn-App-Open-Source-Project
- Quelltext der App bei GitHub
- Informationen von Steffen Seibert, Regierungssprecher:
Corona-Warn-App downloaden:
Du kannst Dir die App seit heute für Android im Play Store und für Apples iOS-Geräte im App Store herunterladen: