IT-Sicherheit Das sagen Experten aus Sachsen-Anhalt zur Corona-Warn-App

Ein großer Mann mit Locken und Brille steht vor einer Betonwand.
Bildrechte: MDR/Viktoria Schackow

Die deutsche Corona-Warn-App beschäftigt auch IT-Sicherheitsexperten aus Sachsen-Anhalt. Sie schätzen die Anwendung ebenfalls als gut gemacht ein. MDR SACHSEN-ANHALT erklärt, wie die App funktioniert und warum sie vertrauenswürdig ist.

Auf dem Bildschirm eines Smartphones ist der Startschirm einer Corona Warn-App abgebildet
Die neue App soll helfen, das Infektionsgeschehen einzudämmen (Symbolbild). Bildrechte: dpa

"Maximale Transparenz", so hat Regierungssprecher Steffen Seibert das Ansinnen der Bundesregierung bei der Corona-Warn-App genannt. Und tatsächlich: Selten ist ein so großes Software-Projekt einer Behörde so offengelegt worden. Nach und nach ist seit dem 18. Mai der Quellcode der Software auf der Plattform GitHub veröffentlicht worden. Ende Mai wurden erste Screenshots der App gezeigt. "Es gab mehr als 400.000 Views auf GitHub, 65.000 einzelne Besucher haben sich den Code angesehen, 285 Verbesserungsvorschläge wurden eingereicht", sagte Seibert in der Bundespressekonferenz am 8. Juni.

"Offensichtlich gut gemacht"

Auch Matthias Niedung aus Magdeburg ist beeindruckt: "Mir sind keine gravierenden Fehler bekannt, offensichtlich ist es gut gemacht." Niedung ist IT-Sicherheitsexperte, hatte in Magdeburg die Firma "Hackerwerkstatt" und arbeitet jetzt bei der Firma "Althammer & Kill" in Hannover. "Maximale Transparenz sollte bei dieser App wirklich gegeben sein", sagt Niedung. Denn es gäbe enorme Risiken für die personenbezogenen Daten, deshalb sei es gut, bestimmte Risiken von Anfang an auszuschließen. Durch die Offenlegung des Codes könne jeder sehen, der dazu in der Lage sei, was die App mache. "Ich glaube, dass sie relativ sicher programmiert ist und vor allem auch nur die Funktionalität hat, die man wirklich benötigt, um das Corona-Problem anzugehen. Und das ist vorbildlich", sagt Niedung.

Wie funktioniert die Kontaktmessung?

Die App bemerkt, ob sich ein zweites Smartphone in der Nähe aufhält. Das macht sie mithilfe der Bluetooth-Technologie. Genauer gesagt mit der Bluetooth Low Energie Technologie (Bluetooth LE). Sie kommt zum Beispiel auch bei Fitnessarmbändern zum Einsatz und verbraucht weniger Strom als Lautsprecher oder Kopfhörer, die per Bluetooth verbunden werden und die auch weiterhin genutzt werden können.

Bluetooth LE war zwar nie dazu gedacht, den Abstand zu anderen Smartphones zu messen. Aber die Entwickler der App sagen, sie hätten einen Weg gefunden, dass ihre Technologie viele Fälle erkennt. Zum Beispiel auch, wenn Nutzer zwar nah beieinander sitzen, aber durch Wände getrennt sind wie in einem Zugabteil. Dazu wurde die App aufwändig kalibriert – auch mithilfe von Bundeswehr-Soldaten.

Ziel der App ist es, Menschen zu informieren, wenn sie Kontakt zu einem positiv Getesteten hatten. Das geht mit der App schneller, als es Gesundheitsämter können. Denn bislang fragen die Ämter jeden positiv getesteten Menschen nach seinen Begegnungen der letzten 14 Tage.

Corona-Warn-App auf einen Blick
Bildrechte: Telekom/coronawarn.app

All diese Kontakte müssen dann von Mitarbeitern einzeln angesprochen werden – ein zeitaufwändiger Prozess, den die App deutlich verkürzt. Weil alles schneller geht, sollen auch Infektionsketten besser durchbrochen werden. Denn wird jemand von der App informiert, kann er einen Test machen lassen, obwohl er vielleicht noch keine Symptome zeigt. Denn das wissen Forscher über COVID-19: Ein Infizierter ist tagelang ansteckend, ohne selbst krank zu sein.

Sachsen-Anhalts IT-Verband hält die App daher ebenfalls für sinnvoll. Der Verbands-Vorsitzende Marco Langhof äußerte sich auch zu Bedenken des Bundesverbands der Verbraucherzentralen. Dieser pocht darauf, dass die App tatsächlich für jeden freiwillig bleibt. Langhof sagte dazu, die Kritik an der App dürfe nicht dazu führen, dass sie im Kampf gegen das Corona-Virus bereits vor der Einführung ihren Nutzen verliere. Die Befürchtung, dass Arbeitgeber die App zum Zwang machen könnten, gehe an der Realität vorbei. "Hier schwingt leider wieder das negative Bild vom Unternehmer mit und auch die Unterstellung, dass Unternehmer ihren Beschäftigten misstrauen. Das ist schade", so Langhof.

Datenschutz durch zufällige IDs

Die Nutzung der App ist also freiwillig. Und damit durch die App wirklich nur die nötigsten Daten entstehen, gibt es ein ausgefeiltes Konzept: Mit Bluetooth-Technologie wird ermittelt, wie lange ein Smartphone in der Nähe eines anderen Smartphones war und wie wahrscheinlich eine Ansteckung ist. Dazu erzeugt jedes Telefon alle paar Minuten eine zufällige ID und tauscht sie mit Smartphones in der Nähe aus. Diese IDs bleiben 14 Tage auf den Smartphones gespeichert. Regelmäßig vergleicht jedes Smartphone, ob seine ID mit einer übereinstimmt, die auf einem Server liegt. Denn wenn ein Mensch positiv getestet ist, kann sein Smartphone alle IDs an den Server senden, die sein Smartphone in den vergangenen 14 Tagen gespeichert hat.

Ein Mensch, der positiv getestet ist, hat es also in der Hand, all die Menschen zu informieren, denen er in den 14 Tagen zuvor begegnet ist, ohne dabei seinen Namen, den Zeitpunkt oder den Ort der Begegnung preiszugeben. Und: Der Infizierte und auch der Server wissen nicht, welche Smartphones informiert werden und wer die Besitzer sind. Verbraucher- und Datenschützer sind mit diesem Konzept zufrieden.

Jeder kann den Code sehen

Matthias Niedung
Matthias Niedung hält die App für gelungen. Bildrechte: Althammer & Kill

Vor allem die Offenlegung des Software-Codes begrüßen viele. Es sei ein oft praktiziertes Verfahren, sagt IT-Sicherheitsexperte Matthias Niedung. "Auch Software-Hersteller hoffen, dass dadurch Schwachstellen entdeckt werden." Und gerade eine App, die bei einer großen gesellschaftlichen Herausforderung helfen soll, gehöre ernsthaft geprüft, sagt er. Das erhöhe die Sicherheit. Obwohl es zunächst widersinnig klingt, wenn jeder einen Softwarecode sehen kann, auch kriminelle Hacker.

Auch böswillige Menschen könnten ja im Code Schwachstellen suchen und ausnutzen, aber das sei weniger schwerwiegend, sagt Niedung: "Denn wäre es ein geschlossener Code und jemand würde eine Lücke finden, dann würde es nie irgendjemand anders auch noch entdecken und die Lücke könnte ausgenutzt werden."

Open Source als Sicherheitsaspekt

Diese Art des Umgangs mit Software und Programmcode nennt man Open Source. Davon ist auch die IT-Sicherheitsforscherin Prof. Jana Dittmann von der Uni Magdeburg ein Fan. Zur Corona-Warn-App sagt sie: "Insgesamt hat man sich Mühe gegeben. Man muss im Detail schauen, wie die Umsetzung erfolgt ist und inwieweit man Nutzerprofile bilden könnte." Mit ihren Kollegen Robert Altschaffel von der Uni Magdeburg und Sandro Wefel von der Uni Halle will sie demnächst genauer hinschauen – aus einer klaren Forschungsperspektive: "Wir wollen die Metadaten und das Sende- und Empfangsverhalten der App betrachten und fragen, ob sich daraus Rückschlüsse auf die Identität der Nutzer ergeben könnten."

Dabei spielen möglicherweise auch die Betriebssysteme der Smartphones eine Rolle: Denn die App funktioniert nicht ohne Schnittstellen zur Hardware – und diese werden für iPhones von Apple (ab Version 13.5.), für Android-Geräte von Google (ab Android 6) oder von Huawei bereitgestellt. Auch Google und Apple hatten bereits einen Testcode für die Schnittstelle bereitgestellt.

Gesundheitsämter in Sachsen-Anhalt versprechen sich Vorteile

Viele Gesundheitsämter in Sachsen-Anhalt versprechen sich von der neuen Corona-Warn-App Vorteile für ihre Arbeit. Uwe Baumgart, Sprecher des Landkreises Börde, sagte MDR SACHSEN-ANHALT, jede zusätzliche Möglichkeit der Kontaktverfolgung sei hilfreich für die Arbeit. Allerdings brauche man für das Handling Personal, dass im Umgang und der Auswertung der App versiert arbeiten könne.

Jede zusätzliche Kommunikationslinie bringe aber auch zusätzliche Aufwände mit sich. Am Ende bleibe abzuwarten oder besser zu hoffen, wieviel Nutzer die App laden werden. Baumgart erwartet nicht, dass die App die Arbeit der Gesundheitsämter in der Phase der Einführung erleichtert. "Wir gehen davon aus, dass die telefonische, persönlichen Kontaktverfolgung in den nächsten Wochen auch weiterhin das verlässlichste Werkzeug bleibt." Baumgart zufolge werden Risikogrupppen, insbesondere ältere und alte Mitmenschen, eher Abstand von der App nehmen, Jüngere hingegen eher Verständnis zeigen.

Aus dem Gesundheitsamt des Landkreises Harz heißt es, durch die Corona-App ließen sich auch Kontakte erkennen, die den Beteiligten sonst nicht bewusst gewesen wären oder die man mangels Kenntnis der Personen nicht nachverfolgen könne, beispielsweise im öffentlichen Nahverkehr. Außerdem sei eine vollständigere Erfassung der Kontaktpersonen zu erwarten. Nachteil der App sei, dass die Daten nicht direkt zum Gesundheitsamt gelangten. Außerdem werde keine genaue Zeit des die Warnung auslösenden Kontaktes erfasst, so dass man nur spekulieren könne, um welche Situation es sich genau gehandelt habe.

Auch der Amtsarzt des Landkreises Wittenberg, Michael Hable, erhofft sich von der Corona-Warn-App eine schnellere und umfassendere Identifikation von Kontaktpersonen. Außerdem rechnet er mit einer "Reduktion des Zeitraums zwischen Positivtest einer Person und Information ihrer Kontakte." Das verringere die Zeit, in der zum Beispiel asymptomatische Personen andere anstecken könnten. Außerdem gebe die App ein vollständigeres Bild: Mit ihr würden auch relevante Kontakte mit Unbekannten im öffentlichen Raum abgebildet, die man über die klassische Nachverfolgung nicht bekomme.

Der Salzlandkreis wollte sich noch nicht zu der App äußern. Sprecherin Marianne Bothe verwies am Montagnachmittag bei MDR SACHSEN-ANHALT auf die noch laufende Videokonferenz mit Bundesgesundheitsminister Jens Spahn, bei der über die Einführung informiert werde.

Es spricht nichts gegen die App

Deshalb sagen die meisten Experten, es spreche nichts dagegen, die App zu installieren. Ohnehin kann sie nur ein Teil bei der Bekämpfung der Pandemie sein. Sie ersetzt weder Mund-Nasen-Schutz, Händewaschen und Abstand halten.

Nach einer aktuellen Umfrage der Uni Erfurt im Auftrag des Robert-Koch-Instituts sind 53 Prozent der Deutschen bereit, sich die App herunterzuladen. 19 Prozent würden sie sich dagegen auf keinen Fall herunterladen. Aber Experten sind froh, dass es sie überhaupt gibt. Denn auch wenn es am optimalsten wäre, wenn etwa 60 Prozent der Deutschen sie nutzen, ist auch eine niedrigere Quote hilfreich. Wie bei allen Maßnahmen gegen die Pandemie.

Schnelligkeit vor Perfektion

Schon zu Beginn hatte zum Beispiel Michael Ryan, der Direktor des Programms für Gesundheitsnotstände der Weltgesundheitsorganisation gesagt: Alle Maßnahmen, die möglich sind, würden helfen, wenn sie zügig umgesetzt würden. "Wenn wir perfekt sein wollen, werden wir nie gewinnen. Perfektion ist der Feind bei Gesundheitsnotständen. Es ist der größte Fehler, nichts zu tun, aus Angst vor Fehlern." Bei einer zweiten Welle scheint es also gut zu sein, besser vorzubereitet sein.

Ein großer Mann mit Locken und Brille steht vor einer Betonwand.
Bildrechte: MDR/Viktoria Schackow

Über den Autor Marcel Roth arbeitet seit 2008 als Redakteur und Reporter bei MDR SACHSEN-ANHALT – Das Radio wie wir. Nach seinem Abitur hat der gebürtige Magdeburger Zivildienst im Behindertenwohnheim gemacht, in Bochum studiert, in England unterrichtet und in München die Deutsche Journalistenschule absolviert. Anschließend arbeitete er für den Westdeutschen Rundfunk in Köln. Bei MDR SACHSEN-ANHALT berichtet er über Sprachassistenten und Virtual Reality, über Künstliche Intelligenz, Breitbandausbau, Fake News und IT-Angriffe. Außerdem ist er Gastgeber des MDR SACHSEN-ANHALT-Podcasts "Digital leben".

Mehr zum Thema

 Bundesgesundheitsminister Jens Spahn (M, CDU) spricht bei der Präsentation der offiziellen Corona-Warn-App
Mehrere Bundesminister und Vertreter von Telekom und SAP warben für die Corona-Warn-App des Bundes. Bildrechte: dpa

Quelle: MDR/mar

Dieses Thema im Programm: MDR SACHSEN-ANHALT – Das Radio wie wir | 16. Juni 2020 | 08:10 Uhr

14 Kommentare

ossi1231 vor 8 Wochen

Überwacht: Sieben Milliarden im Visier | ARTE
da geht es hin, soll es hingehen und selbst wenn die aktuelle App das ofiziell noch nicht kann der Otto Normal soll somit schon mal schleichen an APPs gewöhnt werden von denen die nächste und übernächste dann immer ein paar mehr Features

MDR-Team vor 8 Wochen

Hallo. In unserem Newsletter hat sich Marcel Roth genau angeschaut, was die App kann und was nicht. Vielleicht hilft Ihnen das weiter. Den Artikel finden Sie hier: http://s3-eu-west-1.amazonaws.com/files.crsend.com/222000/222270/rss/media/12045442.htm

Gandalf vor 8 Wochen

Welchen praktischen Nutzen hat diese App eigentlich? Zunächst einmal dürfte es ein extremer Zufall sein, bei der geringen Zahl von Erkrankungen jemanden zu Treffen, der den bösen Virus in sich trägt und dann? Die Empfehlungen, sich selber in Quarantäne zu begeben, schafft vermutlich ein arbeitsrechtliches Problem. In Restaurants etc. gibt’s Listen, wozu dann die App ? Die Anwendung läuft unter modernen Bluetooth Standart. Alte Geräte machen da nicht mehr mit und wenn ich überhaupt nur ein Mobile zum telefonieren habe? Vielleicht kann ein kluger Journalist mir weiter helfen!

Mehr aus Sachsen-Anhalt