Offenes Projekt: So soll die Corona App funktionieren
Viele Staaten setzen auf unterschiedliche Corona-Warn-Apps. Die indische Variante wurde binnen kurzer Zeit 50 Millionen mal geladen.
Foto: Picture Alliance / dpa
Alle reden über Corona und die geplante App. Viele haben Angst oder Bedenken, befürchten, durch diese App ausgespäht und beobachtet zu werden. "Warum waren Sie gestern Abend in der Diskothek 'zum goldenen Virus'?"
Keine Spionage-App
Viele Staaten setzen auf unterschiedliche Corona-Warn-Apps. Die indische Variante wurde binnen kurzer Zeit 50 Millionen mal geladen.
Foto: Picture Alliance / dpa
Doch so wird es nicht ablaufen. Die geplante Corona-App funktioniert anders und die Abläufe sind ziemlich komplex. Konkretere Infos gibts auf einer speziellen Webseite. Wir haben einen kurzen Blick darauf geworfen.
Versuch, die Wege zu erkennen und zu unterbrechen
Die Corona-Warn-App soll helfen, die Infektionsketten des Virus "SARS-CoV-2", welcher bekanntlich die Krankheit COVID-19 auslöst, in Deutschland nachzuverfolgen und zu unterbrechen. Die App basiert auf einem dezentralisierten Ansatz und informiert Personen, wenn sie mit einer infizierten Person in Kontakt standen. Damit diese App auch akzeptiert wird, ist "Transparenz" von entscheidender Bedeutung. Nur wenn möglichst viele Menschen verstehen, was da genau passiert, werden sie mitmachen.
Die Idee
Es geht darum, Menschen zu finden, die sich angesteckt (infiziert) haben und die in einen sicheren Bereich (Quarantäne) zu bringen, damit sie nicht weiter andere Menschen anstecken können, die ihrerseits wieder andere Menschen anstecken könnten. Ein Computervirus funktioniert auf ähnliche Weise. Nur kann man Computer-Viren löschen, bevor sie Unheil anrichten können. Man muss den Virus nur rechtzeitig erkennen und die Kette unterbrechen. Bei biologischen Viren ist das im Prinzip ähnlich, nur viel komplizierter.
1. Schritt: IDs in der Nähe einsammeln
Apple und Google haben ein "Exposure Notification Framework" gebaut und ausgeliefert. Das Framework ist für die offizielle Corona-App gedacht, die es im Moment noch nicht zum allgemeinen Download gibt. Das Framework alleine kann noch nichts tun.
Wenn es diese App geben wird und ein Nutzer sie installieren will, braucht er ein Handy (mit Android oder iOS/Apple) welches Bluetooth-Low-Energy beherrschen muss. Die App erzeugt dann eine Kennung (ID), die über Bluetooth-Low-Energy ausgestrahlt wird. "Low Energy" bedeutet, möglichst geringe Reichweite, damit nur die Leute, die unmittelbar dem Träger der App begegnen und auch diese App installiert haben, ihre Kennungen austauschen können. Diese IDs werden nur zwischen zwei Handys ausgetauscht. Dritte kennen sie nicht und wissen auch nicht, wer wem begegnet ist.
ID ändert sich andauernd
Wie gesagt: Diese ID ändert sich andauernd. Das eigene Handy tut nun zwei Dinge: Es sendet die eigene ID, die nur 10-20 Minuten gültig ist, danach sendet es eine neue andere ID. Die eigene ID wird über komplizierte mathematische Verfahren (Kryptografie) von einem temporären Schlüssel abgeleitet, der sich auch wieder alle 24 Stunden ändert.
Die zweite Aufgabe der App ist: Das eigene Handy "merkt" sich alle IDs, die es empfangen hat.
Insgesamt merkt sich das eigene Handy nicht nur die "fremden" IDs denen es "begegnet" ist, sondern auch die eigenen verschiedenen (weil geänderten) IDs, die es selbst verschickt hat.
2. Was ist, wenn...?
Wenn sich nun ein Nutzer der App offiziell testen lässt, bekommt er vom Labor irgendwann die Ergebnisse.
War das Test-Ergebnis positiv, wird die Person gebeten, alle gesammelten temporären Schlüssel der letzten 14 Tage auf einen speziellen Server hochzuladen. Dazu muss das Testergebnis in die App eingelesen werden (einige Labors liefern dazu einen passenden QR-Code). Damit mit dieser Information kein Unsinn getrieben wird, verifiziert der Server der Corona-Warn-App zuerst noch einmal das positive Testergebnis. Ist der Nutzer wirklich positiv? Hat er sich vielleicht nur verklickt oder wollte er sich einen Spaß erlauben?
Alle Handys erhalten regelmäßig eine Positiv-Liste
Ist das Ergebnis bestätigt, sendet das Handy die gesammelten IDs an den zentralen "Backend"-Server. Der Server fügt die neu gesammelten Schlüssel dieser Person in die Liste der als infiziert gemeldeten Personen ein, die regelmäßig an alle Apps gesendet wird.
Diese Liste empfängt nun jedes Handy und vergleicht mit den gesammelten Daten. War "mein" Schlüssel mit dabei? Falls ja und falls bestimmte Regeln erfüllt sind (das eigene Handy hat das "infizierte" Handy so und so lange getroffen), gibts auf meinem Handy einen Alarm. Nun sollte der alarmierte Handynutzer sich selbst auch testen lassen. Denn das kann die App nicht.
Im Detail wirds kompliziert
Liest man die Originaltexte auf Github durch, kann es einem schnell schwindlig werden, weil der Text mit allerlei denglischen Fachbegriffen wie "Expositure Framework" gewürzt ist.
Ganz wichtig: Das eigene Handy meldet sich also nicht automatisch mit "ich bin betroffen, mein Name ist Martinus Mustermann und meine Adresse ist...", sondern das muss der Handynutzer selbst tun.
Datenschutz und Grundrechte vs. optimale Sicherheit
Im Sinne von Datenschutz und Grundrechten muss das System natürlich prinzipielle Mängel haben. Alles andere ist nicht gewollt.
Was ist, wenn der positiv getestete Nutzer (oder Nutzerin) sich einfach nicht rührt und seinem Handy einfach nicht verrät, dass er/sie positiv getestet wurde?
Was ist, wenn das eigene Handy eine Meldung ausspuckt, die der Träger einfach ignoriert?
Und wird jeder Handynutzer, der einen Alarm empfängt sofort einen (kostenlosen?) Test bekommen oder wird er/sie nur nach Hause geschickt und weiß dann 14 Tage lang nicht, ob da was war oder ob nicht? Muss er/sie dazu noch zum Hausarzt oder spuckt die App auch gleich eine vom Arbeitgeber akzeptierte AU (Arbeitsunfähigkeitsbescheinigung, also Krankmeldung) aus?
Das sind alles Fragen, die sich wohl erst im Laufe der Zeit klären lassen.
Denkbar ist durchaus, das Menschen, die (getestet) von Covid 19 genesen sind, oder die eines Tages sich impfen lassen konnten, eine Art "Positiv-Pass" erhalten, und sich damit in Zukunft "freier" bewegen können, als Personen, die gar nicht wissen, ob sie sich jemals infiziert haben oder die zu einer Risikogruppe gehören oder die bislang schlicht "Glück gehabt" haben und verschont geblieben sind. Das sind aber dann eher ethische Fragen, wofür die Technik helfen, aber nicht alle Probleme lösen kann.
Wer sich genauer über die App informieren oder an der Entwicklung mitarbeiten möchte, kann dies in der Community der Coronawarn-App, die über Github organisiert wird. Man sollte etwas Zeit mitbringen, da die Diskussionen nach gewissen Regeln organisiert werden, um möglichst effizient (ergebnisorientiert) diskutieren und entwickeln zu können.