Die Corona App erklärt, im Interview mit dem Freiburger Wochenbericht.

Der Freiburger Wochenbericht hat den Chaos Computer Club zur neuen Corona Warn App der Bundesregierung gefragt, ich habe auch mit viel Input von anderen Menschen im Club versucht die Fragen zu beantworten.

Für einen Laien kurz erklärt, wie funktioniert die neue Corona-App, die eine bessere Nachverfolgung der Infektionsketten möglich machen soll? Was verbirgt sich hinter dem vieldiskutierten „dezentralen Ansatz“?

Mein Smartphone strahlt in Abständen von 2,5 bis fünf Minuten via Bluetooth Low Energy zufällig erzeugte Krypto-Schlüssel aus. Quasi ein sich ständig änderndes verschlüsseltes Autokennzeichen. Andere Handys speichern dieses Kennzeichen und schätzen aufgrund der Signalstärke die ungefähre Entfernung. Werde  ich nun positiv auf eine COVID-19 Erkrankung getestet kann ich diese Information über die App an die anderen Nutzenden weitergeben. Das Handy lädt einmal am Tag die Liste der Corona positiven Kennzeichen herunter und vergleicht selbst ob es in letzter Zeit ein solches Kennzeichen gesehen hat.  Findet es eine solche Übereinstimmung, warnt es mich. Es gibt eben keine zentrale Liste, wer wen gesehen hat. Das Smartphone kann aber nicht wissen ob ich wirklich in Gefahr war oder nicht weil ich z.b. eine Maske trug, durch eine Glasscheibe oder Wand getrennt war, so genau geht es einfach technisch nicht. (Eine gute Visualisierung gibt es bei: https://corona-tracing.cryptool.org/

? Corona Warn App für iPhones ?

? Corona Warn App für Android Geräte ?

Das ist deutlich schneller als eine Nachverfolgung meiner Kontakte durch das Gesundheitsamt und mich selber, abgesehen davon hatte ich ja möglicherweise auch Kontakt zu Menschen deren Kontaktdaten ich gar nicht kenne oder die sich nicht ermitteln lassen. Im zentralen Ansatz würden alle Kontakte aller auf einer zentralen Instanz gespeichert und ausgewertet werden. Die Alarmierung würde durch die zentrale Instanz erfolgen. Ein zentralisierter Ansatzt birgt besonders Gefahren durch Ausfall, Datenverlust, Datenweitergabe und Datenmissbrauch, z.b. durch Auswerten und Erstellen von Bewegungs- und Gruppenprofilen.

Die Bundesregierung hat den Quelltext (Code) der App offengelegt, sorgt das nicht für größtmögliche Transparenz oder habt ihr Bedenken aus datenschutzrechtlicher Sicht?

Grundsätzlich sollte alle Software die für den Staat entwickelt wird, als Open Source, daher mit offenen Quellcode verfügbar sein. Zudem  können so auch alle interessierten daran mitarbeiten, Fehler melden und Verbesserungsvorschläge einreichen. Der offene Quelltext sorgt auf jeden Fall für mehr Qualität und stärkt das Vertrauen der Nutzenden. Die Entwickler scheinen auch auf Anregungen und Hinweise einzugehen. Hier scheint die App, soweit wir und andere das in kurzer Zeit überprüfen können, sauber und ordentlich programmiert worden zu sein. (siehe: http://winkenschuerfel.de/die-corona-warn-app-ein-code-review/ und https://www.heise.de/hintergrund/Corona-Warn-App-Quellcode-Analyse-eines-beispiellosen-Open-Source-Projektes-4774655.html?seite=all) Dennoch ein IT Projekt von der Größe und Tragweite in so kurzer Zeit durchzuführen, ist schon eine Leistung vor der ich persönlich Hochachtung habe, so eine App muß auch zuverlässig funktionieren, darf den Akku nicht leersaugen und muß an Labore und Gesundheitsämter angebunden sein.

Welche persönlichen Daten muss ich preisgeben?

Im Grunde keine, nur die anonymisierte Liste der Corona positiv getesteten wird zentral gespeichert und verteilt. Darüber hinaus gibt es keine Geo-Daten und keinen Versand und keine Speicherung von personenbezogenen Daten. Die bisher diskutierten Angriffszenarien erscheinen eher theoretischer Natur. Auch im Vergleich mit der Kontaktverfolgung durch das Gesundheitsamt, dem ich ja Namen und Kontaktdaten offenbaren muß oder dem Ausfüllen von Zetteln im Restaurant, muß ich weniger Daten preisgeben. Da die Auslösung der Warnung zunächst wohl teilweise über den Anruf bei einer Hotline erfolgen soll, gibt es hier eine kritische Stelle, weil die z.b. meine Telefonnummer sehen kann, aber auch das soll geschlossen werden. (siehe: https://www.zeit.de/digital/datenschutz/2020-06/tracing-app-corona-warn-app-smartphone-virus-ausbreitung-deutschland) Beim Preisgeben von persönlichen Daten, sehe ich eher Probleme durch die Verwendung von Messengern wie WhatsApp, da würde ich immer zu Signal oder Threma raten und generell von vielen anderen Apps die Anlysedaten an Google und Facebook senden.

https://twitter.com/sixtus/status/1272567997706784770?s=20

Wie bewertet ihr den eigentlichen Nutzen der App generell und unter dem Aspekt der Freiwilligkeit (also eventuell zu geringer Nutzerzahlen)?

Die App schützt nicht vor Infektionen. Sie kann aber helfen Infektionsketten, insbesondere bei sogennanten Super-Spreader Events, also wenn sich viele Leute auf einmal anstecken, zu unterbrechen. Damit hilft sie die Ausbreitung einer, auch für junge Menschen ohne Vorerkrankungen möglicherweise schweren oder gar tödlichen Krankheit, zu unterbinden.Die Menschen werden sie nutzen, wenn sie ihr vertrauen. Dafür darf die App nicht mit anderen Funktionen überfrachtet oder für andere Zwecke mißbraucht werden. Hier wäre eine gesetzliche Regelung sinnvoll. Vorschläge, dass der Staat vorschreibt welche Programme auf meinen Computern installiert werden müßen, stehen im Wiederspruch zu den Werten einer freien Gesellschaft, sind kaum umsetz- oder kontrolierbar, aber vorallem kontraproduktiv. Denn ich kann eine solche Vorschrift in vielfältiger Weise umgehen. In der Krise hat sich gezeigt, dass die meisten Menschen verantwortungsvoll und hilfsbereit handeln. Gerade junge, mobile und aktive Menschen sind es, die einen Virus weitertragen, die wissen in der Regel aber auch wie man eine App installiert. Vielleicht ist es auch ein guter Zeitpunkt Großeltern und Nachbarn nochmal die Appstores zu zeigen und beim installieren zu helfen. Daneben sind die Bildungsträger wie VHS, Quartiersarbeit und andere gefordert, entsprechende kurze Beratungen anzubieten.Es ist davon auszugehen, dass die App auch schon nützlich ist, wenn weit weniger als 60% der Bevölkerung diese nutzen. (Siehe: https://www.technologyreview.com/2020/06/05/1002775/covid-apps-effective-at-less-than-60-percent-download/)

Wo seht ihr Gefahren für einen Missbrauch?

Die Frage ist durch wen? Als Nutzender könnte ich möglicherweise durch Tricksen die Hotline dazu bringen zu glauben ich habe Corona und Warnungen auslösen. (https://www.spiegel.de/netzwelt/apps/corona-warn-app-startet-mit-heikler-telefon-hotline-a-0a221401-163b-4c57-af00-000849c95ffb) Denkbar wäre auch, dass Arbeitgeber, Schulen, Kneipen, Veranstalter oder ähnliche Menschen in Abhängigkeitsverhältnissen zwingen die App zu installieren. Um dem vorzubeugen bräuchte es eine klare gesetzliche Regelung. Mißbrach wäre auch, sich beim Schutz vor Infektionen alleine auf die App zu verlassen, dazu braucht es die üblichen Maßnahmen, wie Mundschutz und Abstand. Die App schützt nicht die benutzende Person sondern deren Umfeld. Sicherlich bereitet jetzt schon ein Mitarbeiter von Axel Voss oder einem anderen CDU Politiker mit geringer Internetkompetenz aber großem Profilierungsdrang im Homeoffice eine Pressemitteilung vor, um sie nach dem nächsten spekatulären Mord- oder Vergewaltingsfall zu verschicken, in der gefordert wird die App irgendwie zur Aufklärung zu nutzen – durch den gewählten dezentralen Ansatzt wird dieses Szenario deutlich erschwert.

Am Ende hat mich der Wochenbericht noch gefragt, welche Telephone es nutzen können, dafür war im Print kein Platz mehr, immerhin haben sie aber einen QR Code auf die Anwendung platziert. Darum hier quasi als Bonus Content!

Für welche Smartphones eignet sich die App und was muss ich als App-Nutzer beachten?

Zunächst, es gibt vom Chaos Computer Club keine Siegel für „geprüfte Apps“ und wir bieten auch keine Sicherheitstests gegen Geld an. Jeder Smartphone Nutzende sollte sein Betriebsystem auf dem aktuellen Stand halten, prüfen welchen Apps er Zugriff auf was erlaubt, etwa ob Zugriff auf die Position, das Adressbuch oder Mikrophon wirklich notwendig ist usw. Das Bundesamt für Sicherheit in der Informationstechnik bietet da umfassende leicht lesbare Hinweise. (siehe: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/basisschutz_fuer_das_smartphone.html) 

Laut Medienberichten sollte muss beim iPhone das Betriebssystem iOS 13.5 installiert sein, daher man braucht mindestens ein iPhone 6s oder iPhone SE. Bei Android Geräten, sollte es ab dem Betriebssystem Android 6 funktionieren, das wurde meist ab 2015 verwendet. Allerdings müßen auch die  Google Play Services laufen, für Huawei Geräte, die wegen eines Handelsstreits mit den USA diese nicht nutzen dürfen, soll es eine anderweitige Lösung geben. (siehe: https://www.tagesschau.de/inland/faq-corona-tracing-app-103.html)

https://twitter.com/fdroidorg/status/1272881845428817920

Github: https://github.com/corona-warn-app/cwa-documentation

Wer bis hier durchgehalten hat dem empfehle ich noch folgende Apps:

Was mache ich wenn ich in einen Amoklauf gerate, in der Nähe eine Bombe explodiert oder ich Herz-Lungen-Wiederbelebung machen muß? Citizen Aid hat die Antwort!

Screen Shot 2018-09-13 at 21.16.05.png

Und wer in Deutschland immer wissen will ob es gerade ne Katastrophe in der Nähe gibt, dem empfehle ich KatWarn:

Katwarn Logo