Ratgeber

Die deutsche Corona-Warn-App: Was Sie wissen müssen

Ein Artikel von , veröffentlicht am 08.06.2020, bearbeitet am25.06.2020

Die offizielle Contact-Tracing-App für Deutschland steht seit dem 16.06. in den App-Stores zum Download zur Verfügung. Wir haben uns die wichtigsten Punkte angesehen.

Status: im Einsatz

Die Software ist seit Dienstag, 16.06.2020, in den App-Stores verfügbar. Sie ist Open Source – das bedeutet, dass jede*r den Programmcode einsehen kann. Er ist auf GitHub zu finden.

Entwickler*innen

Die deutsche Bundesregierung hat Ende April 2020 die Firmen SAP und T-Systems (Deutsche Telekom) mit der Entwicklung der App beauftragt. Das Helmholtz-Zentrum CISPA und das Fraunhofer-Institut für Integrierte Schaltungen IIS sind in beratender Funktion mit dabei.

Finanzierung

Die App wird aus Steuergeldern finanziert. Laut Medienberichten liegen die Entwicklungskosten im Rahmen der veranschlagten 20 Millionen Euro. Für den Betrieb werden weitere 2,5 bis 3,5 Millionen Euro pro Monat anfallen.

Für die Machbarkeitsstudie zu der ursprünglich geplanten Corona-Tracing-App mit zentraler Datensammlung flossen rund 600.000 Euro an die Fraunhofer Gesellschaft. Der Entwurf wurde später aus Datenschutzgründen verworfen.

Funktionsweise: Bluetooth-basiert, dezentraler Informationsabgleich

Die App arbeitet mit den kürzlich von Google und Apple neu implementierten Bluetooth-Schnittstellen.

Jedes Gerät, auf dem die App läuft, scannt die Umgebung nach anderen Geräten in der Nähe. Geräte, die über eine bestimmte Zeit nah beieinander waren, tauschen eine ID aus. Stellt sich bei eine*r Nutzer*in eine Infektion heraus, kann er*sie seine eigenen IDs auf einen Server laden. Von dort können dann alle anderen Nutzer*innen die IDs herunterladen und auf ihrem eigenen Gerät abgleichen. Gibt es eine Übereinstimmung, erhalten sie eine Warnung.

Zusätzlich zu den Schlüsseln infizierter App-Nutzer*innen werden auch Fake-Schlüssel erzeugt. Diese werden zusammen mit den Schlüsseln positiv getesteter Nutzer*innen auf den zentralen Server geladen. So sollen gerade bei niedrigen Infektionszahlen Rückschlüsse auf einzelne Personen verhindert werden.

Wie die Schnittstelle arbeitet und wie es um den Datenschutz bestellt ist, erfahren Sie in unserem Artikel Contact-Tracing: Die Schnittstelle von Apple und Google

Bei Android-Geräten benötigt die App zur Unterstützung der Bluetooth-Funktion auch den Zugriff auf die Ortungsfunktion des Handys. Die App erhebt aber keine Standortdaten und auf dem zentralen Server werden keine Informationen darüber gespeichert, wer mit wem in Kontakt war. Somit erfüllt die App bei dieser Funktion hohe Ansprüche an Datenschutz und Privatsphäre.

Positive Fälle melden / Schutz vor Falschmeldungen

Der wirklich knifflige Teil bei jeder Corona-Tracing App ist dieser: Wie verhindert man, dass Nutzer*innen sich selbst als infiziert melden, obwohl sie es gar nicht sind - und bewahrt dabei trotzdem die Anonymität der Nutzer*innen? Hierzu haben die Entwickler*innen der App ein ziemlich gut durchdachtes System entworfen. Es basiert auf einem QR-Code-System, das teils schon vor Corona von vielen Testlabors etabliert wurde. Es funktioniert so:

1. Ein*e Patient*in geht in eine Praxis und lässt eine Speichelprobe für einen Corona-Labortest nehmen. In der Praxis erhält der*die Patient*in einen Code in Form eines QR-Codes.

2. Die Praxis sendet den selben QR-Code im sogenannten "Probenbegleitschein" mit zum Labor. Das Labor selbst hat also keinerlei Informationen über den*die Patient*in. Nur die Praxis kann Test und Patient*in zuordnen.

3. Das Labor lädt den Test zusammen mit dem QR-Code auf den Test-Server der Corona-Warn-App. Der Test selber lässt sich keiner Person zuordnen. Ist der Test positiv, fügt das Labor auch diese Information hinzu.

4. Nur die Praxis, in der die Probe genommen wurde und die Patient*innen, die ihren QR-Code bekommen haben, können den Test einer Person zuordnen.

5. In der Corona-Warn-App können Nutzer*innen den QR-Code einscannen. Die App fragt dann (vereinfacht gesagt) auf dem Test-Server nach, welcher Test zu diesem QR-Code gehört und gibt das Ergebnis an die App weiter. Mit dabei ist die Information, ob das Ergebnis positiv ist.

6. Ist das Ergebnis positiv, kann sich die Person entscheiden, ihre eigenen IDs auf den Warn-Server zu laden. Die App stellt dann eine Anfrage an den "Verifikations-Server". Dazu schickt sie den QR-Code. Der Server prüft selber nochmal, ob zu diesem QR-Code ein positiver Test auf dem Test-Server vorliegt. Wenn dies der Fall ist, generiert er eine TAN und schickt sie an die App weiter. Nur mit dieser TAN lassen sich dann IDs auf den Server laden.

Dieses System ist so durchdacht, dass sich auf keinem Server der App Informationen über Nutzer*innen ansammeln, die verknüpft und zugeordnet werden können. Aus unserer Sicht spricht absolut nichts dagegen, dieses System zu nutzen.

Etwas improvisierter wird es, wenn Nutzer*innen ihren QR-Code nicht einscannen möchten oder verloren haben, oder wenn das Labor das Verfahren nicht unterstützt. Dann können sie sich über eine Hotline verifizieren.

Für die Hotline ist die Telekom zuständig, das Callcenter selber wird aber von einem nicht weiter benannten externen Dienstleister betrieben. Die Verifizierung findet durch einige Fragen der Hotline-Mitarbeiter*innen statt. Diese erzeugen dann eine TAN und senden diese an den*die Anrufer*in. Mit der TAN lassen sich die IDs einmalig hochladen.

Risikoabschätzung: Wie sicher ist Bluetooth?

In unseren Ratgebern rund um Bluetooth empfehlen wir bei mobilsicher.de, die Bluetooth-Funktion am Smartphone nur einzuschalten, wenn man sie benötigt. Aus gutem Grund: In der Vergangenheit sind regelmäßig Fehler in der Software bekannt geworden, dank derer Smartphones über die Bluetooth-Funktion angegriffen werden konnten.

Gerade erst im Februar 2020 hatte Google ein Sicherheitsupdate für Android veröffentlicht, das eine kritische Bluetooth-Schwachstelle (BlueFrag, CVE 2020-0022) behebt. Im Mai 2020 wurde eine weitere Angriffsmöglichkeit bekannt, diesmal liegt die Ursache im Bluetooth-Protokoll selber und ist noch nicht behoben.

Wie verträgt sich das mit der Empfehlung, eine App zu nutzen, die nur funktioniert, wenn Bluetooth stets angeschaltet ist? Es handelt sich um das Ergebnis einer Abwägung der Risiken und des erwarteten Nutzens.

Tatsächlich ist das Risiko, Opfer eines Angriffs zu werden, sehr klein. Denn der Angreifer muss sich dafür in räumlicher Nähe zum angegriffenen Gerät befinden. Für die meisten Geschäftsmodelle von Cyberkriminellen ist das uninteressant - sie agieren vorzugsweise von einer für sie günstigen Jurisdiktion aus und greifen möglichst automatisiert möglichst viele Geräte gleichzeitig an.

Das spiegelt auch die Berichterstattung wider: Schwachstellen in der Bluetooth-Funktion gibt es relativ oft. Berichte über tatsächliche Angriffe außerhalb des Labors gibt es aber so gut wie keine. Sollte die App tatsächlich einen Beitrag dazu leisten, die Corona-Epidemie in Schach zu halten, wäre das hingegen ein handfester Nutzen.

Dennoch bleibt die angeschaltete Bluetooth-Funktion ein Risiko. Daher empfehlen wir für diese App ganz besonders, ein Gerät zu nutzen, das mit aktuellen Sicherheitsupdates versorgt wird. Zudem muss die Corona-Warn-App eine zeitlich begrenzte Maßnahme mit strenger Nutzenkontrolle sein. Sollte sich herausstellen, dass die App in der Praxis nichts zur Eindämmung der Pandemie beiträgt, sollte der Betrieb eingestellt werden.

Usability

Die Hauptfunktion der Corona-Warn-App besteht darin, im Hintergrund mitzulaufen. Am Ende des Einrichtungsdialogs wäre es daher sinnvoll, Nutzer*innen mitzuteilen, dass die Hintergrundaktivität der App jetzt aktiviert ist und sie die App nun schließen können. Das Fehlen dieser Mitteilung verunsichert viele Nutzer*innen. Hier sollte dringend nachgebessert werden.

Fazit

Die Kernfunktion der App entspricht den höchsten Ansprüchen an Datenschutz und Privatsphäre und sollte durch die neue Schnittstelle von Google und Apple auch technisch funktionieren. Auch das System, mit dem positive Meldungen per QR-Code verifiziert werden, ist exzellent durchdacht.

Fragwürdig ist die Verifikation über einen externen Callcenter-Betreiber. Dies ist allerdings auch nur als Übergangslösung gedacht, bis alle Labore an das QR-Code-System angeschlossen sind.

Die Dokumentation der App ist ausgezeichnet und auf Kritik und Anmerkungen unabhängiger Entwickler*innen wurde schnell reagiert.

Unsere Einschätzung ist: Wer ein Smartphone besitzt und dieses mit einem Google- oder Apple-Konto verknüpft hat, für den*die gibt es aus Datenschutzsicht keinerlei Grund, dieses App nicht zu benutzen.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

AdVersary: Werbefreie Zone (Android)

Werbung in Apps ist nicht nur lästig, sie kann auch in die Privatsphäre eines Nutzers eingreifen. Zudem können Werbebanner Links zu schädlichen Seiten enthalten. Eine neue Android-App namens AdVersary entfernt Werbung aus anderen Apps.

Mehr
Kinder und Jugendliche 

Was ist Handysucht?

Ab wann beginnt Handysucht und wann handelt es sich nur um Stress? Gerade bei Jugendlichen ist das oft schwer einzuschätzen. Wichtig ist: Es kommt nicht auf die Nutzungsdauer an, sondern vor allem darauf, ob man die Kontrolle über das eigene Verhalten hat.

Mehr
App-Test 

Navi-Apps im Check: Magic Earth – vorbildlich

Die Navigations-App Magic Earth ist kostenlos und werbefrei. Nach dem mobilsicher-Test entfernten die Anbieter*innen die Analysedienste von Facebook und Google aus der App. Jetzt ist sie rundum sauber - und läuft reibungslos.

Mehr
Firewalls und VPNs 

Samsungs VPN-Dienst kurz vorgestellt

„Sicheres WLAN“ ist ein VPN-Dienst, den Samsung in Kooperation mit dem Software-Anbieter McAfee auf seinen Geräten bereitstellt. Glaubt man den Angaben von Samsung, bietet der Dienst viel Schutz für die Privatsphäre zu einem vergleichsweise niedrigen Preis.

Mehr