Die öffentliche Diskussion über die Konzepte für Datenschutz und Privatsphäre haben viele Leute verunsichert. Aber letztlich haben sich die Datenschützer gegen alle Ansprüche von Politik und Gesundheitsbehörden durchgesetzt.
Die Corona-Warn-App ist seit gestern verfügbar. Bis hierher war es ein recht steiniger Weg, der voller Kontroversen und auch zahlreicher Befürchtungen war. Wir werfen einen Blick auf das, war bisher geschah.
Warum überhaupt eine App?
Oberste Priorität hat während einer Pandemie der Schutz vor einer Ansteckung. So weit, so offensichtlich. In der Corona-Warn-App geht es darum, wie Infektionsketten sich schnell und wirkungsvoll unterbrechen lassen. Technik zur Nachverfolgung von Infektionsketten einzusetzen, ist eine naheliegende Idee. In anderen Ländern war dies schnell umgesetzt. China war eines der ersten Länder, das unter anderem mit einer Kombination aus rigorosen Isolationsmaßnahmen und dem Einsatz entsprechender Apps die Krankheit in den Griff bekam. (Anmerkung: Zum Zeitpunkt der Veröffentlichung dieses Artikels hat es einige Neuinfektionen in China gegeben).
Ein anderes Problem ist, während einer Pandemie an verlässliche und vor allem aktuelle Zahlen zu kommen. Das gestaltet sich jedoch schwierig – auch und gerade bei einem derart hochdynamischen Szenario wie der aktuellen COVID-19-Pandemie. Die Zahlen, die das Robert-Koch-Institut öffentlich bekannt gegeben hat, gaben Werte nur mit Verzögerung an und waren strenggenommen bei Veröffentlichung bereits wieder veraltet. Das ist eine Tatsache, die sich nicht ganz vermeiden lässt.
Skepsis und Angst
In Deutschland gestaltete sich das der Einsatz einer App zum Nachverfolgen von Infektionsketten wesentlich schwieriger. Da es strenge Datenschutzvorschriften in Deutschland gibt, hat die bloße Erwähnung einer solchen App Datenschützer auf die Barrikaden gerufen. Denn in China sind große Teile der Infrastruktur de facto verstaatlicht. Dass der Staat Bewegungsprofile und Kontakte zwischen Menschen lückenlos würde nachverfolgen können, ist hierzulande eine aus historischen Gründen undenkbare Vorstellung.
Der Einsatz einer App ist hier aber eigentlich nicht das Problem – es sind die Daten, die diese Apps generieren. Hier gibt es Befürchtungen, dass diese Informationen Begehrlichkeiten bei Unternehmen und vor allem auch staatlichen Stellen wecken könnten. Absolute Transparenz wurde gefordert. Der Chaos Computer Club (CCC) stellte eine Liste von Kriterien auf, die eine etwaige App erfüllen muss. Darunter ist vor allem, dass das gesamte System für jeden einsehbar sein muss. Eine quelloffene Lösung einzusetzen ist also der einzig richtige Weg. Diese Forderung haben die Entwickler umgesetzt – Telekom und SAP haben den gesamten Quellcode öffentlich gemacht. So kann sich jeder davon überzeugen, dass alles mit rechten Dingen zugeht. Eine weitere wesentliche Forderung war die nach einer dezentralen Datenhaltung. So sollten von vorneherein gar keine Begehrlichkeiten, etwa seitens verschiedener Behörden aufkommen, wie sie sonst bei einer zentralisierten Datenhaltung schnell entstehen.
Expertenrat
Anonymität war ein weiteres wichtiges Kriterium in Forderungskatalog des CCC. Auch diese wurde umgesetzt. So wird jedes Gerät mit einer einmaligen ID versehen, die allerdings weder Rückschlüsse auf das verwendete Gerät noch dessen Nutzer zulässt. Die ID wird regelmäßig gewechselt, was eine eindeutige Zuordnung einer ID zu einem Gerät und damit einer Person noch weiter erschwert. Zudem werden die Daten nach jeweils 14 Tagen gelöscht. Im Falle einer Infektion kann ein Nutzer/eine Nutzerin in der App angeben, dass es eine positive und bestätigte Diagnose der Erkrankung gibt. Dazu erhält die erkrankte Person einen speziellen Code, den sie in die App eingibt. Die App übermittelt diese Information zusammen mit der ID der infizierten Person an einen Server, der die betroffene ID dann an diejenigen Geräte weitergibt, auf denen die App installiert ist. Auf dem Gerät gleicht die App dann diese ID mit der Liste aller IDs ab, die in der lokalen Kontakt-Datenbank des Geräts gespeichert sind. Kommt es zu einer Übereinstimmung, erhält der Nutzer eine Warnung. Diese Warnung besagt, dass an einem bestimmten Datum Kontakt zu einer infizierten Person bestanden hat. Daraufhin lassen sich weitere Maßnahmen einleiten, wie etwa eine Quarantäne.
Datenschutz setzt sich durch
Aller Offenheit zum Trotz gibt es noch immer Stimmen, die bei der Corona-Warn-App laute Bedenken äußern. Einige davon sind sicherlich berechtigt. Andere wiederum lassen sich schnell widerlegen – manchmal sehr zum Leidwesen derer, die diese Bedenken mit dem Zweck äußern, einfach nur „dagegen“ zu sein. Ein Diskurs zu dem Thema ist zwar richtig und wichtig, doch wie so oft verlassen manche Mitbürger recht früh in der Diskussion die Sachebene, was einem sinnvollen Austausch nicht zuträglich ist.
Was ist nun ein „Kontakt“?
Dazu müssen wir einen Blick darauf werfen, wie die App funktioniert. In Regelmäßigen Abständen scannt die App mittels Bluetooth Low Engergy (BLE) die nähere Umgebung nach Geräten ab, auf denen die App ebenfalls installiert und bei denen das Tracing aktiviert ist. Die Reichweite liegt hier unter realistischen Bedingungen bei einigen Metern. Flüchtige Kontakte (zum Beispiel beim Vorbeigehen), werden also nicht unbedingt erfasst. Was jedoch erfasst wird, sind alle umstehenden, die sich für einen gewissen Zeitraum im näheren Umkreis befunden haben – etwa im Bus, in der Bahn, in der Warteschlange im Supermarkt oder beim Besuch im Restaurant.
Diese teils sehr lauten Stimmen haben für eine Menge Verunsicherung gesorgt und das gesamte Projekt zu Unrecht in ein wenig schmeichelhaftes Licht gerückt. Dabei wurde bei der Entwicklung und Konzeption schon eine ganze Menge richtig gemacht. Anders als ursprünglich von Minister Spahn gewünscht, ist der grundsätzliche Ansatz dezentral. Das heißt, es gibt keine „allwissende“ Entität, die alle Daten besitzt. Sämtliche erhobenen Daten verbleiben auf den jeweiligen Geräten und werden dort verschlüsselt. Unter Datenschutzgesichtspunkten ist das die beste denkbare Lösung.
Eines muss deutlich gesagt werden: Natürlich wird es Versuche geben, die App und deren Backends anzugreifen. Auch Versuche, an die auf dem Gerät gespeicherten Daten zu gelangen, sind nicht auszuschließen. Wesentlich wahrscheinlicher sind allerdings andere, ebenfalls bewährte Angriffe, die die Corona-Warn-App nur als Vorwand benutzen: etwa Mails, in denen Links zu Fake-Versionen der App hinterlegt sind, oder auch Phishing-Kampagnen, die die App zum Thema haben. Auch neue Sicherheitslücken in der verwendeten Bluetooth-Technologie selbst geben hier potenziell genug Anlass zur Besorgnis - diese lassen sich aber wohl kaum der Corona-Warn-App anlasten.
Vertrauensfrage
Je größer die Verbreitung ist, desto wahrscheinlicher sind Angriffe. Und das lässt sich auch nicht vermeiden. Das ist aber kein Grund, die App rundheraus abzulehnen. Dass es Angriffe auf eine Anwendung gibt, ist normal. Wer die betroffene Anwendung aber aus diesem Grunde ablehnt, der sollte sich Gedanken darüber machen, ob es eine gute Idee ist, normale alltägliche Anwendungen weiter zu verwenden, denn auch diese werden regelmäßig angegriffen. Um es ganz deutlich zu sagen:
Jeder vertraut darauf, dass bei all den Diensten, die wir alle nutzen, „nichts passiert“. Egal, ob es nun soziale Netzwerke sind, oder Onlineshops oder auch die Hardware, die wir nutzen – denn diese stammt (nebenbei und vollkommen wertfrei bemerkt) beispielsweise oft aus China oder Taiwan.
Dass nun plötzlich die große Skepsis gegenüber dieser App herrscht, ist für mich zumindest befremdlich und mutet inkonsequent an – und dass viele der ausgesprochenen Skeptiker sich ausgerechnet auf Plattformen wie Facebook lauthals über den Datenschutz bei der Corona-Warn-App beschweren, entbehrt nicht einer gewissen Ironie.
Grundlose Befürchtungen
Wir lassen einfach die plumpen Verballhornungen („Corona-Wahn-App“) einmal links liegen und schauen auf eine oft geäußerte Befürchtung: dass die Daten der App genutzt werden sollen, um die Bevölkerung flächendeckend zu überwachen und auszuspionieren. Diese Befürchtung lässt sich leicht entkräften: Wenn es das Ziel wäre, die Bevölkerung zu überwachen, würde eine gesetzliche Grundlage geschaffen, die jeden zur Installation der App verpflichtet. Die gibt es aber nicht. Die Installation ist freiwillig. Und wer die App installiert hat, der kann das Contact-Tracing auch selbst deaktivieren. Und zum krönenden Abschluss: Die Warnungen aus der App stellen Handlungsempfehlungen dar. Auch diese sind nicht verpflichtend – niemand ist verpflichtet, die vorgeschlagenen Maßnahmen – wie etwa eine Quarantäne – auch umzusetzen. Wirkliche Zwangsüberwachung sieht anders aus. Die App ist aufgrund ihres zugrunde liegenden Konzeptes der dezentralen Datenhaltung überhaupt nicht für eine solche Überwachung geeignet.
Manch einer fürchtet auch, dass die App „heimlich“ Dinge tut, die nicht öffentlich kommuniziert wurden und die auch nicht dokumentiert sind. Natürlich ist das theoretisch eine Möglichkeit. Aber eigentlich auch nicht. Denn wie eingangs erwähnt, sind eine Menge sehr datenschutz-affine Menschen mit der Analyse der App beschäftigt. Derartige „Heimlichkeiten“ würden in Rekordzeit auffallen – und die Community der Sicherheitsforscher ist nicht dafür bekannt, in solchen Dingen ein Blatt vor den Mund zu nehmen. Der öffentliche Shitstorm, der daraufhin losbräche, hätte biblische Ausmaße. Alle Beteiligten – allen voran die Bundesregierung und das Robert-Koch-Institut – hätten dann jegliches Vertrauen der Bevölkerung auf Jahre verspielt. Das kann sich unser Land im derzeitigen politischen Klima beim besten Willen nicht erlauben. Es dürfte auch den Verantwortlichen bewusst sein, dass sich unsere Gesellschaft solche Eskapaden nicht leisten kann.
Es wäre auch unter rein taktisch-praktischen Gesichtspunkten unklug, ein so prominentes Projekt für diesen Zweck einzusetzen. Es ist eine Tatsache, dass solche Dinge früher oder später ans Licht kommen und sich nicht langfristig verheimlichen lassen. Die Affäre Snowden ist vielleicht das prominenteste Beispiel. Und hier ging es um Projekte, die hinter verschlossenen Türen stattfanden und die nicht unbedingt im Licht der Öffentlichkeit standen. Wie man es auch dreht und wendet – die Corona-Warn-App für die Zwecke einzusetzen, die Skeptiker befürchten, ergibt auf mehreren Ebenen einfach keinen Sinn.
Eine Chance
Wer noch immer skeptisch ist, der kann vielleicht einfach noch ein paar Wochen mit der Installation warten, bis eventuelle Kinderkrankheiten auskuriert sind. Denn nicht zuletzt ist es auch eine beachtliche Leistung, was die Entwickler hier auf die Beine gestellt haben. Das Lastenheft, mit dem sie gearbeitet haben, hat es in sich. Es galt eine App zu entwickeln, die mit potenziell sensiblen Daten umgeht, und die nach aktuellem Stand der Technik sicher sein soll. Eine hohe Zuverlässigkeit, gepaart mit einer hohen Anforderung an die Kompatibilität mit zahlreichen Gerätetypen und unterschiedlichen Betriebssystemen – und akkuschonend muss die App auch noch arbeiten. Dieser Anforderungskatalog würde allein schon manchem Entwickler den Schweiß auf die Stirn treiben. Wenn es dann noch heißt „Deadline ist in zwei Monaten“, würden sehr viele bereits abwinken.
Es bleibt zu hoffen, dass die App den gewünschten Nutzen bringt. Die App hat aber auf jeden Fall eine Chance verdient. Selbst die skeptischsten meiner Kollegen mussten zumindest einräumen, dass der Ansatz sich schon mal gut anhört. Auf meinem eigenen Smartphone ist die Corona-Warn-App jedenfalls bereits installiert und aktiv.
Tim Berghoff
Security Evangelist