Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke
Corona-Warn-App

Die App soll Infektionsketten frühzeitig unterbrechen.

(Foto: dpa)

Corona-Warn-Programm Das große App-Experiment – IT-Experten sind skeptisch

Die Corona-Warn-App steht zum Download bereit. Wie sicher ist das Programm? Auf welchen Smartphones läuft es? Und welche Wirkung hat es? Die Fakten im Überblick.
15.06.2020 - 18:49 Uhr 2 Kommentare

Düsseldorf Eigentlich sollte sie schon im April kommen, nun wurde es doch Juni: Die Corona-Warn-App der Bundesregierung ist fertig. Zusammen mit Vertretern von SAP, Telekom und dem Robert Koch-Institut will die Bundesregierung das in nur sieben Wochen entwickelte neue Programm am Dienstag präsentieren. Im App-Store von Google konnte sie bereits um kurz nach 2 Uhr morgens heruntergeladen werden, bei Apple kam es zunächst noch zu Verzögerungen. Nutzer klagten in sozialen Medien über Probleme bei der Verfügbarkeit und beim Herunterladen der App. Die volle Funktionalität der Anwendung soll erst nach der Präsentation freigeschaltet werden.

Die App soll dabei helfen, Menschen nach Kontakten mit infizierten Personen zu warnen, noch bevor sie selbst Symptome zeigen. Je mehr Menschen die Anwendung herunterladen, desto besser funktioniert das System.

Diskutiert wird deshalb ein begleitendes Gesetz, das die Freiwilligkeit der Nutzung festschreibt, um etwa zu verhindern, dass Unternehmen ihren Mitarbeitern das Nutzen der App vorschreiben. Ein solches Gesetz „würde sich positiv auf die Legitimation auswirken“, sagte der Vorsitzende des Sachverständigenrats für Verbraucherfragen, Peter Kenning, dem Handelsblatt. Bundesjustizministerin Christine Lambrecht (SPD) wendet ein, mit der Datenschutz-Grundverordnung sei all das geregelt.

Wie gut das Warnsystem letztlich funktioniert, ist unklar. Es handle sich um eine „Weltneuheit“, heißt es in Regierungskreisen, man werde jede Woche dazulernen. Offen ist etwa, ob die Bluetooth-Technologie für die Distanzbestimmung wirklich geeignet ist. IT-Experten haben daran zuletzt gezweifelt.

Top-Jobs des Tages

Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.

Standort erkennen

    Und es gibt viele weitere Fragen, wie etwa: Auf welchen Geräten läuft das System? Und müssen Nutzer um ihre Daten fürchten? Das Handelsblatt beantwortet die wichtigsten Fragen.

    Warum gibt es die App überhaupt?

    Die Warn-App soll dazu beitragen, die Ausbreitung des Coronavirus in Deutschland zu bremsen. Das Prinzip ist einfach: Wenn sich ein Nutzer mit dem Erreger infiziert, erhalten alle Kontaktpersonen der vergangenen 14 Tage, die die Software auch nutzen, einen Hinweis. Sie können sich vorsorglich in Quarantäne begeben, auch wenn sie noch keine Symptome haben.

    Wenn das so funktioniert, ist es ein effektives Mittel zur Bekämpfung von Sars-CoV-2: Schon bevor sich Symptome bemerkbar machen, besteht eine Ansteckungsgefahr, weshalb Patienten die Krankheit unbemerkt weitertragen.

    Welchen Vorteil hat dieses Prinzip?

    Ob bei Restaurantbesuchen, Busfahrten oder Demonstrationen: Auch im Alltag mit einer Pandemie kommt es immer wieder zu zufälligen Begegnungen – womit eine manuelle Nachverfolgung kaum möglich ist. Die App registriert hingegen alle Kontakte: Sobald sich zwei Smartphones lange genug nahe genug kommen, registriert sie das. Zudem ist das digitale Verfahren im Vergleich zur analogen Datenaufnahme bei den Gesundheitsämtern sehr schnell. Die App kann also frühzeitig vor Risiken warnen.

    Die Bundesregierung sieht darin eine Ergänzung für die Arbeit der Gesundheitsbehörden, die weiterhin manuell Infektionsketten nachvollziehen – ein „Allheilmittel“ sei sie aber nicht, heißt es.

    Welche Unternehmen sind verantwortlich?

    Die App haben SAP und die Deutsche Telekom entwickelt und werden sie auch noch weiter verbessern: Nach einigen Diskussionen über das richtige Konzept hatte die Bundesregierung die beiden Dax-Konzerne Ende April beauftragt. Der Softwarekonzern übernahm die Programmierung, der Telekommunikationsspezialist ist für Netzwerk- und Mobilfunktechnik verantwortlich. Das Projekt hat große Bedeutung: Telekom-Chef Tim Höttges sieht das Thema als Chefsache, bei SAP meldet sich Technikvorstand Jürgen Müller häufig zu Wort.

    Den beiden Unternehmen steht die Fraunhofer-Gesellschaft beratend zur Seite, die in den vergangenen Wochen erforscht hat, wie sich mit der Funktechnologie Bluetooth die Annäherung von Personen messen lässt. Zudem leistet die Initiative „Gesund zusammen“, in der mehrere Start-ups organisiert sind, Unterstützung bei der Bedienung, im Fachjargon User Experience.

    Wie genau funktioniert das?

    Die App nutzt den Funkstandard Bluetooth Low Energy (BLE), um den Abstand zwischen verschiedenen Personen zu schätzen. Dafür funkt sie regelmäßig ihre eigene Kennung und registriert gleichzeitig die Signale anderer. Wenn sich Menschen über eine gewisse Zeit nahe kommen, tauschen die Smartphones verschlüsselt ihre IDs aus. Falls nun ein Nutzer positiv auf das Coronavirus getestet wird, kann er das freiwillig in die App eingeben – und damit die gefährdeten Kontakte warnen.

    Wie wird das Risiko genau berechnet?

    Wer mit einem Corona-Infizierten spricht, erkrankt nicht automatisch selbst. Die Corona-Warn-App bildet daher verschiedene Risikofaktoren ab, wie die Entwickler von SAP und Deutscher Telekom in einem Dokument zum Quellcode erläutern:

    • Wie lange ist es her, dass der Nutzer einen Corona-Infizierten getroffen hat? Je kürzer das Treffen zurückliegt, desto größer ist das Risiko.
    • Wie lang hat der Kontakt bestanden? Das höchste Risiko gilt ab einer Dauer von 30 Minuten. Und wie nah sind sich die Personen gekommen? Das wird anhand des Bluetooth-Signals geschätzt.
    • Welches Übertragungsrisiko bestand beim Erkrankten? Das Robert Koch-Institut (RKI) verweist darauf, dass die Infektiosität schwankt und beispielsweise am Tag vor Symptombeginn am höchsten ist. Auch das wird berücksichtigt.
    Nutzer können in der App nachsehen, wie ihr Infektionsrisiko ist.
    Risikobewertung

    Nutzer können in der App nachsehen, wie ihr Infektionsrisiko ist.

    Die App multipliziert diese Werte – erreicht das Resultat einen bestimmten Schwellenwert, den das RKI vorgibt, soll der Nutzer eine einfach verständlich Warnung angezeigt bekommen.

    Wie zuverlässig ist das?

    Das lässt sich noch nicht sagen. So kann die App den Abstand zwischen Menschen und deren Smartphones nur schätzen: Der Standard Bluetooth Low Energy ist für eine genaue Messung von Distanzen nicht ausgelegt – wobei die Entwickler darauf verweisen, dass es lediglich darum gehe, eine Annäherung auf weniger als zwei Meter zu identifizieren.

    Zudem kann die Technik wichtige Umweltfaktoren nicht messen, etwa ob sich Nutzer drinnen oder draußen aufhalten oder ob sie Masken tragen. Nicht zuletzt kommt es darauf an, dass die Bürger mitmachen. Kurz: Wie gut dieses mathematische Modell die komplexe Realität abbildet, werden erst die nächsten Wochen und Monate zeigen können. Insofern handelt es sich um ein großes Experiment.

    Wie viele Menschen müssen die App installieren?

    In der öffentlichen Diskussion kursiert eine ambitionierte Zahl: 60 Prozent der Bevölkerung, so heißt es in einer Studie der Universität Oxford, müssten die App installieren, damit sie die Coronavirus-Epidemie – im Zusammenspiel mit anderen Maßnahmen – stoppen könnte.

    Der Nachsatz ist jedoch weitgehend in Vergessenheit geraten: Selbst bei einer geringeren Verbreitung sei immer noch mit einer Reduktion der Infektionen und Todesfälle zu rechnen. Wenn tatsächlich mehrere Millionen Menschen in Deutschland mitmachen, wie Gesundheitsminister Jens Spahn (CDU) hofft, könnte das also zur Eindämmung der Epidemie beitragen.

    So funktioniert die deutsche Corona-Warn-App

    Läuft die App auf meinem Smartphone?

    Wenn das Gerät höchstens vier Jahre alt ist, stehen die Chancen gut. Bei iPhones ist das aktuelle Betriebssystem iOS 13.5 Voraussetzung, das auf Modellen ab dem iPhone 6s und dem iPhone SE läuft. Android-Smartphones benötigen mindestens eine Version des Betriebssystems, das Bluetooth Low Energy (BLE) unterstützt, und Zugang zum Play Store. Huawei muss einen Sonderweg gehen: Da neue Modelle wie das P40 Pro wegen der Sanktionen der amerikanischen Regierung die Google-Dienste nicht verwenden dürfen, passt der chinesische Konzern die Systeme selbst an.

    Wo kann man die Corona-Warn-App downloaden?

    Nutzer können die Corona-Warn-App fürs iPhone im App Store von Apple und für Android-Smartphones in Google Play herunterladen. Der iPhone-Hersteller weist im App Store unter der Überschrift „Covid-19 gemeinsam aufhalten“ prominent darauf hin und listet das Programm auch unter den „Lieblings-Apps“ auf.

    Geschieht die Installation automatisch?

    Was der Bundesregierung genauso wichtig ist wie Apple und Google: Die Kontaktverfolgung läuft nur dann, wenn Nutzer die App selbst installieren und den Datenaustausch im Betriebssystem selbst aktivieren. Freiwilligkeit ist das oberste Gebot. Das schafft Vertrauen, könnte aber für einen Teil der Nutzer ein Problem sein – zumindest einige sind nicht in der Lage, Apps zu installieren.

    Auf dem Startbildschirm können Nutzer die Risikoermittlung aktivieren.
    Startbildschirm

    Auf dem Startbildschirm können Nutzer die Risikoermittlung aktivieren.

    Woran hakt es noch?

    Das System ist innerhalb kurzer Zeit entwickelt worden, daher gibt es noch einige Probleme. So verfügen viele Labore bislang über keine sichere digitale Anbindung - daher müssen infizierte Nutzer nach einem Bericht des „Spiegel“ zunächst über eine Hotline die Warnmöglichkeit der App freischalten. Das eröffnet Missbrauchsmöglichkeiten.

    Muss ich um meine Privatsphäre fürchten?

    Danach sieht es nicht aus. Das Konzept sieht vor, dass Teilnehmer anonym bleiben. So kommen bei der Kontaktverfolgung nur anonymisierte Schlüssel zum Einsatz, die sich regelmäßig ändern. Informationen über das Zusammentreffen von Nutzern –also über „digitale Handschläge“– werden nicht zentral gespeichert, sondern dezentral auf den Smartphones. Auf dem Server der Betreiber liegt nur eine Liste mit den anonymen Schlüsseln von Infizierten.

    „Was vorliegt, macht insgesamt einen soliden Eindruck“, sagte der Bundesdatenschutzbeauftragte Ulrich Kelber der „Saarbrücker Zeitung“. Er mahnte aber an, dass die „die relevanten Dokumente zum Datenschutz, insbesondere die Datenschutzfolgeabschätzung, zum Start der App fertig sind“. Zudem müssten die Unternehmen „offene Punkte“ schnellstmöglich angehen.

    Und wie ist es um die IT-Sicherheit bestellt?

    SAP und Telekom haben den Programmcode auf der Plattform Github veröffentlicht, damit ihn alle überprüfen können. Die ersten Urteile fallen positiv aus. Die App sei auf dem aktuellen technischen Standard, die Qualität wirke sehr gut, sagt Eric Bodden, Professor für Softwaretechnik an der Universität Paderborn. „Es ist schon erstaunlich, wie gut SAP und Telekom das in dieser kurzen Zeit hingekriegt haben“, lobt er gegenüber dem Handelsblatt.

    Die Software laufe stabil, zudem hätten die Entwickler schnell und in hoher Qualität auf die Meldung von Schwachstellen reagiert, sagt auch Dirk Kretzschmar, Geschäftsführer von Tüv Informationstechnik.

    Offenbar erfüllt die App auch die Kriterien des Chaos Computer Clubs (CCC). Der Hackerverein hat für die „Risikotechnologie“ einen Katalog mit „Prüfsteinen“ veröffentlicht – die Entwickler von SAP und Telekom legen auf der Plattform Github detailliert dar, dass sie diese aus ihrer Sicht erfüllen. Der CCC selbst will aus grundsätzlichen Gründen keine konkreten Anwendungen oder Konzepte empfehlen. Bei allem Lob: Eine komplexe Software, die innerhalb weniger Wochen entsteht, kann weiterhin Schwachstellen haben.

    Gibt es vergleichbare Corona-Apps auch in anderen Ländern?

    Ja, allein in Europa gibt es mehr als ein Dutzend App-Projekte. Das grundsätzliche Prinzip ist immer gleich: Die Smartphone-Anwendungen sollen helfen, Infektionsketten zu verfolgen. In Europa ist Island dabei Vorreiter. Rund jeder vierte Isländer soll bereits die landesweite App installiert haben.

    Im Detail unterscheiden sich die Ansätze jedoch. In vielen Ländern wird nicht Bluetooth, sondern die Standorterkennung mit GPS genutzt. Deutschland hatte sich bewusst gegen den Ansatz entschieden, da dadurch sonst Bewegungsprofile von den Bürgern hätten angefertigt werden können.

    Wird die Corona-Warn-App auch bei Reisen ins Ausland funktionieren?

    Das ist geplant. Die Entwickler von Telekom und SAP stimmen sich unter anderem mit Kollegen in Frankreich ab. Auch die EU-Kommission in Brüssel versucht zu vermitteln. Aber noch sind zahlreiche Hürden zu nehmen. Das langfristige Ziel ist, dass verschiedene Apps von EU-Staaten untereinander kompatibel sein sollen. Eine Warnung soll also auch etwa bei einer Reise im Sommerurlaub funktionieren. So weit sind die Systeme derzeit jedoch noch nicht.

    Mehr: Die Corona-App ist nützlich – aber bestimmt kein Wundermittel, kommentiert Handelsblatt-Experte Stephan Scheuer.

    Startseite
    Mehr zu: Corona-Warn-Programm - Das große App-Experiment – IT-Experten sind skeptisch
    2 Kommentare zu "Corona-Warn-Programm: Das große App-Experiment – IT-Experten sind skeptisch"

    Das Kommentieren dieses Artikels wurde deaktiviert.

    • Weiss die Regierung nicht wie das eigene Bundesamt Bluetooth beurteilt?
      Das Bundesamt für Sicherheit in der IT-Technik warnt regelmäßig vor Problemen mit Bluetooth.
      Letze Warnung am 25.5.2020:
      "Technischer Sicherheitshinweis
      25.05.2020 - TW-T20-0086_Update_1
      Bluetooth Spezifikation: Mehrere Schwachstellen ermöglichen Umgehen von Sicherheitsvorkehrungen
      [...]
      Beschreibung:
      Bluetooth ist ein Industriestandard für die Datenübertragung zwischen Geräten über kurze Distanz per Funktechnik.
      Zusammenfassung:
      In der Spezifikation des Bluetooth Protokolls bestehen mehrere Schwachstellen, von denen die Produkte der meisten Hersteller betroffen sind. Ein Angreifer in Funkreichweite kann Sicherheitsvorkehrungen umgehen und dadurch die Bluetooth Kommunikation manipulieren. Alle standardkonformen Geräte, die von Sicherheitsforschern überprüft wurden, wiesen diese Sicherheitslücke auf. Die Ausnutzung dieser Schwachstellen ist jedoch mit hohem technischen Aufwand verbunden.

      Soweit das Bundesamt für Sicherheit in der IT-Technik! Sein Aufgabenbereich ist dem Innenminsterium zugeordnet:

      Organisationsübersicht des BSI
      Aufgaben
      Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde am 1. Januar 1991 gegründet und gehört zum Geschäftsbereich des Bundesministeriums des Innern. Das BSI ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft. Als Behörde ist sie damit im Vergleich zu sonstigen europäischen Einrichtungen einzigartig. Derzeit sind dort rund 1.100 Informatiker, Physiker, Mathematiker und andere Mitarbeiter beschäftigt. Seinen Hauptsitz hat das BSI in Bonn.

    • Die Corona-App mag (vielleicht) sicher sein -
      BLUETOOTH ist es SICHER NICHT!
      Bluetooth ist unsicher. Siehe Tech-Artikel hier (vom 27.1.2020)
      https://www.datenschutz-praxis.de/fachartikel/bluetooth-angreifer-aussperren/
      Schlussfolgerung aus dem Artikel: Richte ich mein Bluetooth gut geschützt ein,
      blockiert es die Corona-App - Ultimative Empfehlung: Ausschalten, wenn man es nicht braucht!

      Auszug aus heise.de - Sicherheitslücke bei Bloototh vom 7.2.2020:
      Möglichst auf Bluetooth verzichten - Hinweis der Firma ERNW
      [...] Aus ERNWs Beschreibung geht klar hervor, dass ein Angriff generell nur möglich ist, während Bluetooth aktiviert ist. Somit lässt sich die Wahrscheinlichkeit eines Angriffs durch Achtsamkeit bei der Bluetooth-Verwendung (vor allem an öffentlichen Orten) – beziehungsweise durch den Verzicht darauf – erheblich reduzieren. ERNW weist auch auf die Gefahr hin, die die Nutzung Bluetooth-basierter Kopfhörer in diesem Zusammenhang birgt
      Aus <https://www.heise.de/security/meldung/Android-Verzicht-auf-Bluetooth-kann-vor-Angriffen-auf-aktuelle-Luecke-schuetzen-4655581.html>
      1. Das Ziel Corona Kontakte zu ermitteln ist nur über Bluetooth realisierbar.
      Es kann also nur funktionieren, wenn bluetooth dauerhaft aktiv ist.
      Das ist ein elementarer Eingriff ins Betriebssystem bei Android/Apple.
      2. Bluetooth ist kein sicheres Protokoll. Kann gehackt werden. Insbesondere
      dann, wenn alle Hacker wissen, dass in Kürze Millionen Deutsche mit
      ständig aktiviertem Bluetooth auf der Strasse herumrennen.
      3. Praktisches Beispiel:
      Moderne Handys haben ein BT-Radius von ca. 30m. Das reicht aus um alle
      Handys z.B. in einem Supermarkt, in der Bahn, zu orten bzw. zu hacken. Dabei spielt es keine
      Rolle, wie die CoronaApp selbst programmiert ist was die Sicherheit oder die
      Anonymisierung der Daten angeht. Es ist völlig klar, dass die App
      kein Sicherheitspaket mitbringt, das alle grundsätzlichen Sicherheitslücken
      von Bluetooth schließt.

    Zur Startseite
    -0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%