Logo
Aktuell Inland

Was man jetzt zur Corona-Warn-App wissen muss

Die Menschen in Deutschland sehnen sich in der Coronakrise nach einer Normalisierung ihres Alltags - und eine Tracing-App soll dabei helfen. Hat die Corona-Warn-App das Potenzial, diese Hoffnungen zu erfüllen? Und welche Nachteile sind damit verbunden?

Corona-Warn-App
Die Corona-Warn-App soll die Kontaktverfolgung von Infizierten ermöglichen und dadurch die Infektionsketten verkürzen. Foto: Oliver Berg/dpa
Die Corona-Warn-App soll die Kontaktverfolgung von Infizierten ermöglichen und dadurch die Infektionsketten verkürzen. Foto: Oliver Berg/dpa

BERLIN. Nach einer monatelangen Diskussion und einer 180-Grad-Wende der Bundesregierung ging es dann doch sehr schnell: Die offizielle Corona-Warn-App des Bundes steht zum Download bereit. Die App soll dabei helfen, die Infektionsketten frühzeitig zu erkennen und zu durchbrechen.

Warum hat es solange gedauert, bis die App zur Verfügung stand?

Zu Beginn der Coronakrise hat sich Bundesgesundheitsminister Jens Spahn zunächst an Apps orientiert, die mit Hilfe von Geo-Informationen (GPS oder Mobilfunkzelle) tracken, wo Infizierte sich aufgehalten haben und wen sie dabei getroffen haben. Es stellte sich aber schnell heraus, dass dieses Verfahren technisch zu ungenau ist und Datenschutzprinzipien verletzt. Der Chaos Computer Club wertete die ersten Ansätze als »zentralisierten Überwachungsalptraum«, den Spahn ursprünglich geplant habe. Die Wahl fiel dann auf die Bluetooth-Technik, die präziser als GPS und Mobilfunkortung ist.

Danach stritten Wissenschaftler und Datenschützer noch lange über die beste Speichermethode: zentral auf einem Server oder dezentral auf den Smartphones selbst. Dieser Streit wurde letztlich durch Apple und Google entschieden, die für die Nutzung von dringend benötigten Programmschnittstellen nur eine dezentrale Speicherung der Kontaktdaten erlauben. Die Bundesregierung entschied dann zusätzlich, den Quellcode der App zu veröffentliche, Feedback einzuholen und den Code ständig nachzubessern. Datenschützer und IT-Experten sind aber unisono der Meinung, dass sich dieser Zeiteinsatz gelohnt hat.

Was soll die App leisten?

Die App schützt die Anwender nicht davor, selbst mit dem Virus infiziert zu werden. Sie soll aber Infektionskette frühzeitig erkennen und unterbrechen. Das Coronavirus ist nämlich schon ansteckend, bevor Krankheitssymptome sichtbar sind. Die App hat die Aufgabe, Personen frühzeitig zu warnen, die mit Infizierten in Kontakt standen. Die App soll außerdem dazu beitragen, dass Betroffene schneller ihr Testergebnis erhalten.

Kann das mit Bluetooth-Technik überhaupt funktionieren?

Klar ist, der Kurzstreckenfunk Bluetooth wurde nie für diese Aufgabe erfunden, sondern für andere Zwecke wie das Anschließen einer drahtlosen Tastatur und Computermaus an einen PC oder das Streamen von Musik vom Smartphone auf einen Lautsprecher. Bluetooth eignet sich aber besser als andere Techniken dazu, auch Entfernungen zwischen zwei Geräten zu schätzen, auch wenn manche Experten wie Jörg Schmalenströer von der Universität Paderborn Bluetooth für ungeeignet halten.

Mit der App verwandelt sich ein Smartphone in einen kleinen »Bluetooth-Leuchtturm«, der im Abstand von zweieinhalb bis fünf Minuten eine temporäre Identifikationsnummer 16-mal in die nähere Umgebung funkt. Gleichzeitig lauscht das Telefon, ob es Bluetooth-Signale von anderen empfangen kann. Halten sich Nutzer, die beide die App laufen haben, nebeneinander auf, tauschen die Smartphones ihre IDs aus.

Sieht damit meine nähere Umgebung all meine Kontaktdaten?

Nein. In dem Datenaustausch werden nie die Klarinformationen der Anwender verwendet. Die App generiert zunächst einen anonymisierten Tagesschlüssel. Aus diesem werden alle 15 Minuten neu temporäre IDs erzeugt, die dann mit den anderen Smartphones ausgetauscht werden. Sie lassen keinen direkten Rückschluss auf den Nutzer der App zu. Die ständig wechselnden temporären IDs werden für 14 Tage lokal auf dem Smartphone in Listen gespeichert und dann gelöscht.

Hat das technische Konzept systematische Schwachstellen?

Bei einem technischen Audit durch TÜV-IT wurden zwar zwischenzeitlich etliche Lücken gefunden, die aber vor Veröffentlichung der App alle geschlossen werden konnten. Nach Einschätzung des Chaos Computer Clubs können Schwachstellen aber nie ganz ausgeschlossen werden. »Entscheidend ist, wie gut sie skalieren und wie groß das Schadenpotenzial für die Nutzerinnen ist«, sagt Club-Sprecher Linus Neumann. Dank Dezentralität und Datensparsamkeit sei das Risiko für die Daten der Nutzer und Nutzerinnen minimiert - selbst wenn jetzt noch Schwachstellen gefunden würden. »Im zentralisierten Ansatz würde jede potenzielle Schwachstelle schwerer wiegen.«

Was passiert, wenn ein Anwender positiv getestet wurde?

In diesem Fall trägt man diesen Status selbst in die App ein. Das Meldesystem will dabei verhindern, dass versehentlich oder absichtlich eine falsche Infektionsmeldung in das System gelangt. Um einen Missbrauch oder Irrtum zu verhindern, muss dieser Status offiziell bestätigt werden. Das geschieht zum einen über einen QR-Code, den man vom Testlabor erhält. Alternativ kann man auch eine TAN eingeben, die man von einer Telefon-Hotline bekommt, da nicht alle Labore in der Lage sind, QR-Codes zu generieren. Im Infektionsfall erhalten die betroffenen Kontakte einen Hinweis, dass sie sich testen lassen sollen.

Kann man zur Verwendung der App gezwungen werden?

Die Bundesregierung hat mehrfach betont, dass die Installation und Verwendung der App absolut freiwillig sind und dass es keinen App-Zwang geben darf. Auch positive Anreize wie Steuererleichterungen oder andere Vergünstigungen hat die Koalition ausgeschlossen. »Klar ist: Ein Zwang zur Nutzung der App würde dem Vertrauen maximal schaden«, sagt Linus Neumann, der Sprecher des Chaos Computer Clubs. »Nach unserer Kenntnis plant das zurzeit auch niemand.«

Die Grünen und Linken, Verbraucherschützer und Organisationen wie Amnesty International fordern aber, dass der Einsatz der App durch ein Gesetz geregelt wird. So müsse nicht nur die Installation der App freiwillig sein. Es dürfe auch keine Verpflichtung geben, ein Smartphone mit laufender App mit sich zu führen und bei Restaurantbesuchen, beim Einkaufen oder Veranstaltungen vorzuzeigen.

Müssen tatsächlich 40 Millionen User die App installieren, bevor sie ihre volle Wirkung entfalten kann?

Diese Zahl geht auf eine britische Studie zurück, wonach der volle Effekt erst dann erreicht wird, wenn sich 60 Prozent der Bevölkerung oder mehr beteiligen. Die Forscher aus Oxford sagen aber auch: »Selbst bei einem geringeren Anteil gehen wir davon aus, dass die Zahl der Infektionen und Todesfälle sinkt.« Regierungssprecher Steffen Seibert verwies am Montag auf inzwischen veränderte Rahmenbedingungen: »Das war eine vollkommen andere Zeit mit einem viel, viel höheren Reproduktionsfaktor.«

Die Berechnungen aus Oxford gingen auch von der Annahme aus, dass es gar keine anderen Mittel des Kampfes gegen die Pandemie gebe. Der Nutzen der App wird aber umso größer sein, je mehr Nutzer sie habe. »Deswegen hoffen wir, dass viele Menschen sich überzeugen lassen. Aber sie hat ihren Nutzen bereits weit unterhalb dieser Marke von 60 Prozent.«

Greifen Google und Apple bei der App sensible Daten ab?

Davon ist nicht auszugehen. Es gibt keinerlei Hinweise in diese Richtung, selbst wenn das theoretisch irgendwie möglich wäre. Dass die Programmschnittstellen (APIs) der beiden Konzerne im Gegensatz zur App selbst nicht quelloffen gemacht wurden, ist nach Einschätzung des Chaos Computer Clubs als »ein Schönheitsfehler für Transparenz und Überprüfbarkeit« zu bewerten.

»Als vertrauensbildende Maßnahme wäre es wünschenswert gewesen, wenn auch Apple und Google ihren Teil des Systems Open Source gestellt hätten«, sagte Clubsprecher Neumann. »Da Apple und Google die Mobiltelefone aber vollständig kontrollieren, könnten sie sich ohnehin immer Zugriff auf alle Daten verschaffen. Als Käuferinnen sind wir daher immer davon abhängig, den Herstellern unserer Systeme vertrauen zu müssen - das ist nicht schön, aber leider bittere Realität des Duopols.«

Auf welchen Smartphones kann die App installiert werden?

Die App kann im Google Play Store für Android-Smartphones und im App Store von Apple für iPhones heruntergeladen werden. Zuvor sollte man überprüfen, ob die Systemvoraussetzungen erfüllt sind. Beim iPhone muss das aktuelle Betriebssystem iOS 13.5 installiert sein. Das gibt es für Geräte ab dem iPhone 6s oder dem iPhone SE. Die älteren iPhones 5, 5s oder 6 reichen nicht aus.

Bei Android-Handys ist die Lage etwas unübersichtlicher. Hier ist Android 6 und die Unterstützung von Bluetooth LE Mindestvoraussetzung. Zum anderen müssen aber auch die Google Play Services laufen, weil der Konzern die Schnittstellen nicht über Android selbst zu Verfügung stellt, sondern über diese Google-Dienste.

Wie sicher kann die Warn-App gegen Fehlalarme sein?

Da die Bluetooth-Technik nicht für das Messen von Abständen entwickelt wurde, wird es sicherlich auch Fehlalarme geben. Es kann zum Beispiel sei, dass sich Infizierte hinter einer Glaswand befunden haben und einen Alarm auslösen, obwohl durch den »Kontakt« keine Infektionsgefahr ausging. Daher verweisen selbst die Entwickler darauf, dass die App nur einen begrenzten Beitrag zur Normalisierung liefern kann. Wer sich und andere vor einer Infektion schützen will, sollte auch mit der App Abstand wahren und eine Maske tragen.

Wie teuer ist die App?

Für die Anwender ist die Corona-Warn-App des Robert Koch-Instituts (RKI) kostenlos. Die Entwicklerfirmen SAP und Deutsche Telekom erhalten 20 Millionen Euro für die Programmierung der App und das Management des Open-Source-Beteiligungsprozesses. Dazu kommen 2,5 Millionen bis 3,5 Millionen Euro im Monat für die laufenden Betriebskosten der Server und für zwei Hotlines. Insbesondere die hohen Kosten für die Callcenter sind umstritten. Kritiker meinen, es sei nicht notwendig, diese Kapazitäten rund um die Uhr vorzuhalten. (dpa)