Der lange Weg zur Corona-App
Seit Ausbruch der Corona-Pandemie diskutiert Deutschland über eine Corona-App. Seit gestern ist sie am Start. Wir erklären, wie sie funktioniert und zeichnen dafür auch nach, was auf dem Weg dorthin alles überlegt und wieder verworfen wurde.
Dieser Artikel ist Teil unseres Buches Corona – Geschichte eines angekündigten Sterbens, das am 19.06. erschienen ist.
Angekündigt war sie für Mitte April. Nun, gute zwei Monate später, kommt sie tatsächlich: die deutsche Corona-App. Seit Dienstag kann man sie downloaden und installieren. Die App soll helfen, Kontaktpersonen von infizierten Menschen ausfindig zu machen und sie zu warnen. Diesen Job hatten bisher die Mitarbeiter der Gesundheitsämter – das war mühsam, dauerte lange und band Personal. Wenn alles funktioniert, soll es jetzt viel schneller gehen.
Dass die Corona-App so viel später als angekündigt kommt, muss kein Nachteil sein: Die ersten Entwürfe waren noch umstritten, der Datenschutz hätte ausgehebelt werden können. Die finale Version aber wird fast einhellig gelobt. Sie speichert keinen Namen und keine Orte, sie legt kein Bewegungsprofil an, sensible Berechnungen finden auf dem Handy der Benutzer statt – und nicht auf einem zentralen Server. So wirbt die Corona-App um das wichtigste Gut der Nutzer: ihr Vertrauen.
Damit die Kontaktverfolgung etwas bringt, müsste die App auf etwa etwa 60 Prozent der Handys laufen. Mehr als jeder zweite Handynutzer muss also den Beteuerungen der Regierung glauben, dass sie keine sensiblen Daten sammelt. Die App-Entwickler, maßgeblich die Technik-Firmen Telekom und SAP, haben deshalb etwas gemacht, was sie mit ihrer Software normalerweise nicht tun: Der Code für die App ist offen, Datenschützerinnen und andere Experten können also gewissermaßen die Motorhaube hochklappen und ins Getriebe gucken. Das soll Vertrauen schaffen.
Ob die Deutschen bereit sind, die Corona-App zu installieren, ist aber nicht allein eine Frage des Vertrauens. Im April, als sie hätte kommen sollen, gab es pro Tag in Deutschland etwa 2.000 neue Coronafälle. Zur Zeit sind es rund 250 – gut möglich also, dass viele die App zwar für vertrauenswürdig halten. Aber – fälschlicherweise – für nicht mehr so notwendig.
Die Idee ist, dass Bürgerinnen und Bürger per Handy gewarnt werden, wenn sie in der Nähe eines infizierten Menschen waren. So ließe sich eine Infektionskette schneller unterbrechen. Doch wie soll das funktionieren?
Schon im März lag im Gesundheitsministerium ein Gesetzentwurf, der eine erste Lösung vorschlug. Danach würden die Mobilfunkprovider, also unter anderem die Telekom, Vodafone und O2, mit ihren Standortdaten aushelfen. Im allerersten Moment klingt das gar nicht so blöd. Wenn jemand sein positives Testergebnis bekommt, will man ja wissen: Wen könnte er oder sie angesteckt haben? Kollegen oder Familienmitglieder lassen sich leicht kontaktieren. Aber wie findet man diejenigen, die nur zufällig und nur kurz in der Nähe waren – aber lang genug, um das Virus abzukriegen?
Hier kommen, so der Plan vom März, die Mobilfunkbetreiber ins Spiel. Sie wissen aus ihren Daten, in welchen Funkzellen das Handy des Infizierten eingebucht war. Und sie kennen die Namen aller anderen, die zur gleichen Zeit in der gleichen Funkzelle unterwegs waren. Jetzt müsste man nur noch prüfen, ob die beiden lange genug für eine Infektion in der gleichen Gegend waren und schon gäbe es eine Namensliste mit möglichen neuen Fällen. Weil es nur um den Aufenthalt am gleichen Ort geht, und nicht um den Inhalt eines Gesprächs, und weil hinterher alles schön wieder gelöscht wird, scheint auch der Datenschutz gewährleistet. Wie gesagt, im ersten Moment klingt es nach einem guten Plan.
Tatsächlich aber war die Idee erschütternd schlecht: Dass ein Gesundheitsamt einem privaten Telefonbetreiber mal eben die Namen von Infizierten rüberreicht – schon datenschutzrechtlich wäre das ein Unding.
Viel zu ungenau
Vor allem aber ist die Idee technisch dumm: Funkzellenortung ist viel zu ungenau. In einer Funkzelle auf dem platten Land befinden sich zum gleichen Zeitpunkt möglicherweise ein Dutzend Menschen – aber die können locker ein paar Kilometer voneinander entfernt über die Äcker spazieren. Eine Ansteckungsgefahr hätte es hier nie gegeben.
In einer Innenstadt wiederum sind die Funkzellen zwar viel kleiner. Aber dafür stecken in einer Funkzelle vielleicht tausend Menschen oder mehr – sollten die jetzt alle getestet werden? Oder für 14 Tage in die Selbst-Isolation? Es gäbe mehr Fehlalarme als tatsächliche Treffer. Gesundheitsminister Spahn verteidigt den Vorschlag nur kurz, dann verschwindet die Passage aus dem Gesetzentwurf.
Im April deutete sich eine schlauere Lösung an. Und vor allem: Sie könnte europaweit funktionieren. Ein Konsortium von Wissenschaftlern, Tech-Firmen und Start-Ups will eine gemeinsame App entwickeln. Besser gesagt: eine Grundlage schaffen, auf der einzelne Anbieter ihre Apps aufbauen. Institute der Fraunhofer-Gesellschaft gehören dazu, Vodafone und die TU Dresden.
Gefährlich nahe?
Wieder geht es darum, herauszufinden, ob ein Mensch einem Infizierten über längere Zeit gefährlich nahegekommen ist. Auch bei dieser Lösung benötigt man eine App auf dem Handy. Das aber – erster Pluspunkt – passiert freiwillig. Niemand wird gegen seinen Willen getrackt. Zweites großes Plus: Es werden keine Ortsdaten gespeichert. Wo man sich begegnet, spielt ja keine Rolle. Entscheidend für die Infektionsgefahr ist: Wie nah war man beieinander? Und wie lange dauerte der Kontakt? Zehn Minuten im gleichen Raum wäre so ein Schwellenwert.
Dritter Vorteil: Alle Beteiligten könnten anonym bleiben. Oder zumindest pseudonym, was nicht ganz das Gleiche ist. Aber datenschutzrechtlich immer noch besser als ein Klarname in einer Funkzelle.
Das „Pan-European Privacy-Preserving Proximity Tracing“ (europaweite und Privatsphäre bewahrende Kontaktverfolgung) funktioniert mit Bluetooth. Das ist ein Funkstandard, den alle halbwegs modernen Handys beherrschen. Bluetooth ist für kurze Strecken gedacht: vom Computer zur Musikanlage, vom Handy zur Freisprechanlage im Auto, vom Laptop zum Beamer zum Beispiel. Faustregel: Nach acht bis zehn Metern oder ein bis zwei Wänden ist bei Bluetooth Schluss mit der Verbindung.
Eine Corona-App auf Bluetooth-Basis läuft seit Ende März schon in Singapur, ähnliche Konzepte entstehen gerade überall.
Mehrstufige Verschlüsselung
Das Prinzip funktioniert so: Person 1, nennen wir sie „Herr Müller“ und Person 2, „Frau Schmidt“, haben beide die Corona-App auf ihren Handys. Sie wollen alarmiert werden, wenn sie Kontakt mit einem Infizierten hatten, aber sie wollen bitte schön nicht ausspioniert werden. Damit sie Vertrauen fassen, arbeitet die App mit einer mehrstufigen Verschlüsselung.
Beim Installieren hat jede App eine Kennzahl bekommen, ein zufälliges Wirrwarr von Zeichen. Wer nur diese Zeichenfolge kennt, kann daraus nicht erkennen, welcher Besitzer damit verbunden ist. Damit ist die Verschlüsselung noch nicht am Ende, es wird später noch ein bisschen verwirrender. Herr Müller und Frau Schmidt verlassen also ihre Wohnungen und schalten das Bluetooth am Handy ein.
Mal angenommen, Herrn Müllers geheime Kennzahl wäre 11111, Frau Schmidts Zahl die 22222 (in Wirklichkeit ist die Zeichenfolge natürlich komplizierter). Müllers App macht nun folgendes: Aus der 11111 errechnet die App mit einer Verschlüsselungsmethode alle paar Minuten einen neuen Code. Nur als Beispiel: Erst ein „aaaaa“, dann ein „BBBBB“ und so weiter.
Das Trickreiche daran: Diese Verschlüsselung funktioniert nur in eine Richtung. Wer 11111 kennt, der weiß, dass man damit (und nur damit) „aaaaa“ herstellen kann. Umgekehrt geht das nicht: Wer das „aaaaa“ mitliest, kann daraus nicht auf 11111 schließen – und auf den konkreten Herrn Müller dahinter schon gar nicht. Zumal seine „11111“ jeden Tag durch eine andere Zeichenfolge abgelöst wird.
Müller steigt in den Bus, sein Handy strahlt zehn Minuten lang das „aaaaa“ ab, danach das „BBBBB“ und so weiter, jeweils mit einem Zeitstempel. Gleichzeitig sammelt Müllers App alle Kennungen ein, die in der Gegend herumschwirren. Zum Beispiel alle Zeitenfolgen, die Frau Schmidts App aus der 22222 (der Kennzahl von Frau Schmidt) generiert hat. Schmidts App wiederum merkt sich die Zeichen „aaaaa“ und „BBBBB“ – sie weiß aber nicht, ob dahinter zwei Personen stecken oder eine. Das sieht also alles sehr anonym und durchdacht aus.
Einmal am Tag laden die Apps ihre Sammel-Ergebnisse auf einen zentralen Server. Wenn alle Beteiligten gesund bleiben, passiert nichts und nach 14 Tagen werden die Daten gelöscht.
Aber wenn Müller Corona-positiv getestet ist, kann er seine Erkrankung in der App melden. Damit nicht irgendwelche Trolle pausenlos falsche Alarme generieren, geht das nur mit einer Freigabe durch das Gesundheitsamt.
Müller meldet sich also krank, und auf dem zentralen Server beginnt ein Rechenprogramm mit der Arbeit. Der Server kennt Müller nur als 11111. Er prüft also, welche Zufallszahlen sich aus der 11111 berechnen lassen – und ob irgendeine davon in den letzten Tagen von jemand anderem hochgeladen wurde.
Das Ergebnis: Jawohl, „aaaaa“ und „BBBBB“ wurden hochgeladen, und zwar von 22222. Das hinter der pseudonymen 22222 die konkrete Frau Schmidt steckt, weiß der Server nicht. Aber er kann an die App mit der Kennung 22222 eine Nachricht schicken: Sie hatten Kontakt mit jemand, der sich nun als infiziert herausgestellt hat. Frau Schmidt kann nun in die freiwillige Selbstisolation gehen oder sich testen lassen.
Verratene Kontaktmuster
Diese App hat einen Nachteil: Auf dem allwissenden Server in der Mitte fallen viele Daten an – theoretisch ließen sich Kontaktmuster der Nutzer herauslesen. Das dürfte vielen zu unheimlich klingen. Die Entwickler müssen umdenken.
Es gibt eine Alternative, die dezentrale Variante. Die funktioniert ähnlich. Auch hierbei werden die Identitäten mehrfach verwürfelt und per Bluetooth ausgetauscht. Aber die App schickt keine Kontaktliste an einen Server. Es gibt also keine zentrale Stelle mehr, die verknüpfen könnte, wer wann in der Nähe von wem war.
Man braucht zwar noch einen Server, aber der ist halt nicht mehr allwissend. Auch dieser Server würde die 11111 von Herrn Müller zugeschickt bekommen, wenn Müller infiziert gemeldet ist. Aber der Rechner kann damit nichts anfangen, weil er, zum Beispiel, die Daten von Frau Schmidt nie zu sehen kriegt. Er könnte nichts verknüpfen.
Dass diese datenschutzrechtlich bessere App sich am Ende durchgesetzt hat, ist zu einem guten Teil zwei Großkonzernen zu verdanken. Apple und Google hatten beschlossen, für eine App zusammen zu arbeiten – und damit setzten sie auch die Standards. Die beiden Konzerne gelten zwar als Datenkraken – der eine etwas mehr als der andere. Aber in diesem Fall halten sie sich zurück. Sie stellen nur eine Umgebung für die datensparsame App bereit. Dafür erhalten sie sogar Lob von Datenschützern – selten genug.
Update: Dieser Artikel wurde um den Satz „Zumal seine „11111“ jeden Tag durch eine andere Zeichenfolge abgelöst wird.“ ergänzt. Die Schritte der Verschlüsselung sind komplex. Wir hatten den Weg der Verschlüsselung etwas vereinfacht, um es verständlicher zu halten. Einen Hinweis eines Lesers haben wir dennoch gern aufgenommen.