Die Corona-Warn-App auf dem Prüfstand

Mit gut dreimonatiger Verzögerung haben Bundesregierung und Robert-Koch-Institut (RKI) mit dem technischen Knowhow von Telekom und SAP die deutsche Corona-Warn-App an den Start gebracht. Seit zwei Wochen ist sie nun im Einsatz. Zeit für ein erstes Fazit.

Neben den gesetzlichen Maßnahmen zählt die sogenannte Corona-Warn-App zu einem weiteren wichtigen Instrument zur Eindämmung der Corona-Pandemie. Die App soll dabei helfen, Menschen nach Kontakten mit infizierten Personen zu warnen, damit diese reagieren können noch bevor sie selbst Symptome zeigen. Je mehr Menschen die Anwendung herunterladen, desto besser funktioniert das System.

Südkorea – das positiv schlechte Beispiel

Das eine App funktionieren kann, zeigt das in diesem Zusammenhang oft zitierte Beispiel Südkorea. Schon früh setzte das asiatische Land eine Tracing-App ein, um Infizierte zu lokalisieren und Infektionsketten frühzeitig und schnell zu unterbrechen. Extreme Infektionszahlen konnten so – auch ohne einen Lock-down – vermieden werden. Das ist ein beachtenswerter Erfolg. Dennoch taugt Südkorea nur bedingt als Beispiel für die Einführung einer Corona-App in Deutschland.

Im Gegensatz zu Deutschland ist Südkorea ein vollständig digitalisiertes Land. Staatliche Überwachung gehört zum Alltag und wird von der südkoreanischen Gesellschaft akzeptiert. Eine Freiwilligkeit bei der Nutzung der Corona-App sucht man vergeblich. Neben einer fast lückenlosen und konsequenten Massentestung der Bevölkerung, macht die Behörde Infizierte und deren Kontakte ausfindig, indem sie auf sämtliche Bewegungs-, Telefon- und Bankdaten der Bevölkerung sowie Überwachungsvideos aus dem öffentlichen Raum zugreift. In Deutschland würde ein solches Vorgehen bereits gesellschaftlich nicht akzeptiert werden. Überdies ließen sich derartige Methoden aufgrund der gesetzlichen Regelungen des Datenschutz nicht realisieren.

Funktionsweise der App

Für eine erste Einschätzung der App werfen wir einen Blick auf die Rahmenbedingungen bei uns in Deutschland. Hier stellt sich zuerst die Frage nach der Funktionsweise der Corona-Warn-App.

Der User muss die App – kostenlos im Apple- oder Google Play-Store erhältlich – selbst installieren und den Datenaustausch im Betriebssystem auch selbst aktivieren. Es gilt dabei der unbedingte datenschutzrechtliche Grundsatz der Freiwilligkeit und persönlichen Einwilligung. Eine automatische Installation der App gibt es nicht.

Die App nutzt den Funkstandard Bluetooth Low Energy (BLE), um den Abstand zwischen verschiedenen Personen zu schätzen. Dafür funkt sie regelmäßig ihre eigene Kennung und registriert gleichzeitig die Signale anderer. Wenn sich Menschen über eine gewisse Zeit nahe kommen, tauschen die Smartphones verschlüsselt ihre IDs aus. Falls nun ein Nutzer positiv auf das Coronavirus getestet wird, kann er das freiwillig in die App eingeben – und damit die gefährdeten Kontakte warnen.

Die Corona-Warn-App bewertet auf Basis verschiedener Faktoren das persönliche Infektionsrisiko. Solche Risikofaktoren sind zum Beispiel die Zeitspanne, wann man einen Infizierten getroffen hat, wie lange dieser Kontakt gedauert hat und wie nahe man der Person gekommen ist. Die App multipliziert diese Werte. Wird ein vom RKI vorgegebener Schwellwert erreicht, erhält der User eine Warnung auf sein Smartphone. Dies erfolgt nicht in Echtzeit, sondern zeitverzögert.

IT-Sicherheit und Datenschutz

Insbesondere die Themen IT-Sicherheit und Datenschutz spielen in der öffentlichen Diskussion um die Corona-Warn-App eine elementare Rolle. Den Entwicklern der App wurde immer wieder vorgeworfen, dass Angreifer über eine Schwachstelle in der App detaillierte Bewegungsprofile von Infizierten erstellen und unter Umständen dann die Betroffenen identifizieren könnten. Auch würde der Weg für den Aufbau einer flächendeckenden staatlichen Überwachungsstruktur eröffnet.

Dem ist jedoch entgegenzuhalten, dass bei der Kontaktverfolgung nur anonymisierte Schlüssel zum Einsatz kommen, die sich regelmäßig ändern. Informationen über das Zusammentreffen von Usern werden nicht zentral gespeichert, sondern dezentral auf den Smartphones. Auf dem Server der Betreiber liegt nur eine Liste mit den anonymen Schlüsseln von Infizierten. Der User erfährt also nicht, wer von seinen Begegnungen der positiv getestete Kontakt war. Der Chaos Computer Club (CCC) stellte hinsichtlich der dezentralen Struktur der App noch einmal nachdrücklich fest, dass ein potenzieller Angreifer schon einen enorm hohen technischen Aufwand betreiben müsse, um an wenige erkenntnisarme Informationen zu gelangen. Daneben erfüllt die App auch alle zutreffenden Anforderungen aus der technischen Richtlinie “TR 03161 – Sicherheitsanforderungen an Digitale Gesundheitsanwendungen” des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das die Entwicklung der Corona-Warn-App von Beginn an beratend begleitet und unterstützt hat.

Der Bundesdatenschutzbeauftragte Ulrich Kelber begrüßte den hohen Stellenwert des Datenschutzes und – bedingt durch die Offenlegung des Quellcodes auf der Plattform GitHub – die Wahrung des Transparenzgrundsatzes bei der Corona-Warn-App. Mit einer ausführlichen Datenschutz-folgeabschätzung und der Vorlage einer vollumfänglichen Datenschutzerklärung wurden die erforderlichen datenschutzrechtlichen Dokumente vorgelegt.

Fazit

Betrachtet man die technische Struktur, die Einhaltungen der datenschutzrechtlichen Parameter und die vertrauensschaffende Transparenz, kann man der App und den verantwortlichen Akteuren ein durchweg positives Zeugnis ausstellen. Verständlicherweise liegt es in der Natur der Sache, dass eine komplexe Software, die innerhalb von nur wenigen Wochen entwickelt wurde, noch Schwachstellen und weitere Angriffspunkte beinhalten kann. Es steht außer Frage, dass diese regelmäßig geprüft und konsequent abgesichert werden müssen. Mit den durch die Corona-Warn-App gewonnenen anonymisierten Daten ist nach jetzigem Stand kein Erkenntnisgewinn über den einzelnen User möglich, so dass ein Datenmissbrauch oder gar eine strukturierte Überwachung aus unserer Sicht nicht zu befürchten ist.

Ziel der Warn-App ist die Eindämmung der Corona Pandemie zu unterstützen und damit die Gesundheit der Bürger zu schützen. Wenn wir also mit der Verwendung der App dazu ein Stück dazu beitragen können, ist dies in unser aller Interesse.