App oder nicht App?

Lang erwartet, heiß diskutiert und seit Dienstag erhältlich: die deutsche Corona-Warn-App. Da ich als Datenschutzaktivist in den vergangenen Wochen zu erklären versucht habe, wie die App funktioniert, was sie kann und was sie nicht kann, gibt es einige Fragen und Anmerkungen, die mir besonders häufig begegnet sind und auf die ich hier eingehen möchte. Eins vorweg: Ich werde weder die App empfehlen, noch von ihr abraten. Wenn Sie die App nutzen, sollten Sie deren Schwächen kennen. Wenn Sie die App nicht nutzen, sollten Sie wissen, welche Ihrer Sorgen wenig begründet sind.

“Die App wurde heimlich bei mir installiert und sammelt Daten.”

Sofern Sie ein ganz normales, privates Smartphone und kein von Ihrer Firmen-IT kontrolliertes Gerät besitzen, lautet die Antwort schlicht: nein.

Wahr ist, dass Apple mit einem Betriebssystemupdate und Google über die Play Services ein Modul ausgerollt haben, das den Austausch von Identifikationsnummern per Bluetooth Low Energy ermöglicht. Dieses Modul muss allerdings ausdrücklich von Ihnen aktiviert werden. So lange das nicht geschehen ist, passiert nichts.

“Die TU Darmstadt hat schwere Sicherheitslücken gefunden. Die App ist unsicher.”

Die TU Darmstadt beschreibt in ihrem Papier zwei Angriffe, die im Wesentlichen schon seit Monaten bekannt sind. Das Papier zeigt jetzt die praktische Umsetzbarkeit. Bevor Sie jetzt in Panik die App von Ihrem Gerät löschen, lesen Sie bitte weiter, wie die Angriffe aussehen.

Beim Wurmlochangriff fange ich eine in meiner Nähe gesendete Bluetooth-ID auf, versende sie übers Netz und lasse sie an einem anderen Ort über einen Bluetooth-Sender wieder ausstrahlen. Auf diese Weise wäre es möglich, eine in Flensburg empfangene ID als Kopie in Freiburg zu senden. Die hierzu nötige Hardware zu bauen, stellt keine besondere technische Herausforderung dar, die Frage ist nur, was ich damit erreiche. Die Privatsphäre der Nutzerinnen wird durch diesen Angriff nicht gefährdet, eher im Gegenteil: Ihre temporären Kennungen tauchen an mehreren Orten gleichzeitig auf, auch an Orten, an denen sie nie waren. Gefährdet ist allenfalls die Zuverlässigkeit der App, wenn genau die von mir quer durch die Republik verteilten IDs sich als die einer infizierten Person herausstellen und damit eine Person in Freiburg warnen, obwohl der Infektionsherd sich eigentlich in Flensburg befand.

Ebenfalls auf einem die Kennungen aufzeichnenden Sensorennetz basiert der zweite Angriff, der versucht, die Identität einer infizierten Person festzustellen. Er funktioniert in der beschriebenen Form nur beim dezentralen Ansatz, der im Infektionsfall vorsieht, die von der betroffenen Person in den letzten 14 Tagen genutzten Erzeugerschlüssel zu veröffentlichen. Die Angreiferin baut hierzu ein möglichst großes Netz an Bluetooth-Empfängern auf und zeichnet alle IDs auf. Bei einer erfolgten Infektionsmeldung berechnet die Angreiferin alle zugehörigen temporären IDs, sieht nach, ob ihre Sensoren einige davon empfangen haben und versucht auf diese Weise, ein Bewegungsprofil zu erzeugen. Im Idealfall hat sie noch die Möglichkeit, die Daten mindestens eines Sensors mit denen einer Überwachungskamera oder eines Ausweisscanners am Eingang eines Firmengebäudes zu verknüpfen und hat damit die Identität einer infizierten Person. Bei Pendlerinnen geht es oft auch ohne Kameras, weil der tägliche Weg zur Arbeit charakteristisch genug ist.

Beide Angriffe haben zwei Dinge gemein: Sie funktionieren nur im Infektionsfall, und sie entfalten ihre volle Wirkung nur bei einem relativ umfassenden Sensorennetz. Wenn ich die Flensburger Innenstadt mit Bluetooth-Empfängern versehe, bleibt Schleswig davon völlig unbeeindruckt. Nun könnte eine Angreiferin auf die Hilfe der Crowd beim Aufbau des Sensorennetzes setzen. Wenn ich mir aber die Schwierigkeiten ansehe, die der Freifunk als eine weithin als sinnvoll angesehene Initiative beim Versuch hat, ein nur halbwegs dichtes WLAN-Netz in den Städten aufzubauen, habe ich Zweifel, dass für ein deutlich hardwareintensiveres Netz genug Leute zusammenkämen, die einen Sinn darin sähen, sich zu beteiligen.

Die Sinnhaftigkeit ist nämlich die nächste Frage. Wer profitiert von einem solchen Netz? Google und Apple? Das sind die, denen wir mit Programmen wie Google Maps ohnehin schon freiwillig unsere Bewegungsdaten liefern. Die Ermittlungsbehörden? Deren Interesse liegt in flächendeckender Massenüberwachung und nicht darin, Infektionsketten zu verfälschen oder die Wege einiger weniger Personen rekonstruieren zu können, die sich als infiziert gemeldet haben. Wenn eine Ermittlungsbehörde Bewegungsprofile erstellen will, greift sie auf Funkzellendaten zurück, die zwar weit weniger präzise, für die meisten Anwendungen aber völlig ausreichend sind und vor allem nicht voraussetzen, das die überwachten Personen mindestens ein Android 6.0 (oder ein entsprechend aktuelles iPhone) mit sich herumtragen, auf dem zusätzlich noch die Corona-Warn-App installiert ist.

Wer sich wegen eines flächendeckenden Sensorennetzes sorgt, sollte sich auch um einen Angriff sorgen, der bereits jetzt möglich ist, kein bestimmtes Android, keine App, sondern einfach nur eingeschalteten WLAN-Empfang auf dem Telefon voraussetzt. Zumindest unter Android versucht das Telefon dann nämlich ständig, sich in ein WLAN einzubuchen, das es bereits kennt und sendet zu diesem Zweck die ihm bekannten SSIDs (zum Beispiel “Gabi zuhause”, “Allianz 2 OG”, “Mangolds Biergarten”). Die Kombination dieser Kennungen ist für jedes Gerät so charakteristisch, dass sie fast immer für eine Identifikation ausreicht. Wer also über eine Stadt ausreichend viele WLAN-Router verteilt, die einfach nur auf Smartphones lauschen, die sich in WLANs einzuloggen versuchen, kann auch damit Bewegungsprofile erstellen.

Kurz: Die von der TU Darmstadt beschriebenen Angriffe sind technisch möglich, aber in meinen Augen wenig praxisrelevant.

“Die App liest das Adressbuch aus!”

Gerade kursiert auf Facebook ein Posting, das behauptet, die Corona-Warn-App läse das Adressbuch des Telefons aus. Ich weiß, in einer Zeit, in der die Regierungsgeschäfte der USA zum Großteil über Twitter abgewickelt werden, gelten die Buddies auf Facebook mehr als Leute, die ihr journalistisches Handwerk im Rahmen eines Hochschulstudiums erlernen mussten, aber wenn Ihre Buddies sich so wahnsinnig gut mit der App auskennen, fragen Sie doch bitte nach der Stelle im Code, wo die Adresssammlung stattfindet. Der Code liegt auf Github, da können alle reinschauen, die sich dafür interessieren. Wo also wird doch gleich das Adressbuch ausgelesen?

Na?

Hörn’s nix?

Blöd.

“Auf meinem Telefon läuft die App nicht. Unverschämtheit!”

Man merkt schon, dass den Leuten der Fußball fehlt. Waren wir zuvor ein einig Volk von Fußballtrainern, kennen sich auf einmal alle mit Softwareentwicklung aus. Was soll denn bitte so schwer daran sein, ein paar IDs zu versenden, zu empfangen und später zu vergleichen? Gib her, das schreibe ich dir an einem Nachmittag runter.

Sowas haben sich schon viele gedacht, und gerade die Wege der IT-Sicherheit sind gepflastert mit Programmen, deren Autorinnen die Fallstricke sicherer Programmierung unterschätzt hatten. Einige werden sich vielleicht noch an Cryptocat erinnen, ein Chatprogramm, das im Jahr 2013 durch gute Benutzbarkeit viele Nutzerinnen gewann – bis sich herausstellte, dass der Autor auf unterstem Anfängerniveau Sicherheitsfehler begangen und damit die Leben derer gefährdet hat, die dem Programm vertraut hatten. Entsprechende Warnungen hatte er viel zu lang ignoriert. Schließlich reagierte er, reparierte die Fehler und sorgte dafür, dass derartige Fehler künftig nicht mehr passieren, aber es war schon zu spät. Das Vertrauen in Cryptocat war vollkommen ruiniert, seine Verbreitung in die Bedeutungslosigkeit zurückgegangen.

Ähnlich war die Aufregung um Zoom, einer Videokonferenzsoftware, die während des Lockdowns von einer Nischenanwendung zur unbestrittenen Nummer 1 der Branche emporschnellte. Hier zeigte sich allerdings, dass es dem Entwicklungsteam vor allem um gute Videoqualität, ordentlichen Ton und Stabilität unter Last ging und weniger um Datenschutz und Datensicherheit. Im Ergebnis kochten die sozialen Medien vor aufgeregten Meldungen über, und weil Klicks mehr zählen als Fakten, wurde hier vieles verzerrt dargestellt. Bis zum heutigen Tag hängt Zoom der Ruf an, leistungsfähig aber böse zu sein – ein Ruf, der teils auf belegbaren Tatsachen, teils auf längst überholten Meldungen basiert. Was wir sowohl von Cryptocat als auch von Zoom lernen können, ist: Wer auf weite Verbreitung und Vertrauen setzt, muss von Anfang an auf Qualität achten. Wer den Start vermasselt, beschäftigt sich danach Ewigkeiten mit dem Scherbenauffegen – falls er überhaupt noch eine Chance erhält.

Als im April die architektonischen Entscheidungen zur Corona-App getroffen und Firmen mit der Programmierung beauftragt wurden, war vielen Entwicklerinnen klar: Mai als Zieltermin ist sportlich. Selbst Juni war knapp. Gleichzeitig gab es in der Öffentlichkeit extremen Druck, die App endlich fertigzustellen – aber dann bitte auch für Android 4. Und für das iPhone 6. Und für Lineage, wenigstens aber für den F-Droid-Store.

Noch einmal: Es geht hier nicht um irgendeinen Tetris-Klon für ein paar Dutzend Leute im Bekanntenkreis. Es geht um eine App, die bereits jetzt millionenfach heruntergeladen wurde und von der sich die Verantwortlichen eine Verbreitung in mittlerer zweistelliger Millionenzahl erhoffen. Wenn hier eine Sicherheitslücke auftritt, kann sie desaströse Auswirkungen haben. Die Leute drehen schon wegen der beiden in meinen Augen eher harmlosen Schwächen durch, welche die TU Darmstadt besprochen hat, wie mag dann erst das Theater aussehen, wenn eine wirkliche Lücke auftritt?

Ich finde es vollkommen in Ordnung, sich im ersten Schritt zu beschränken, erst einmal die Masse ordentlich zu versorgen und sich dann um die Randfälle zu kümmern. Es mag uns nicht passen, aber so funktioniert nun einmal der Umgang mit beschränkten Ressourcen. Wenn irgendwo eine Hungersnot ausbricht, werden die Rettungskräfte auch nicht zuerst die Halligen und Almen versorgen, um sich dann um die Ballungszentren zu kümmern, sondern sie gehen zuerst dorthin, wo sie relativ leicht möglichst viele Menschen erreichen.

Die Empörung über die Entscheidung, allzu alte Smartphones nicht mit der App zu versorgen, richtet sich in meinen Augen vor allem bei Android gegen den falschen Gegner. Das Problem ist weniger, dass erst ab Android 6 die App unterstützt wird. Das Problem ist, dass Android 6 überhaupt noch existiert. Ein seit 5 Jahren nicht mehr mit Patches und Updates versorgtes Telefon ist ein strombetriebenes Sicherheitsrisiko mit Internetanschluss. Die Leute merken nur nichts davon, weil es ja noch irgendwie funktioniert, ähnlich wie Windows XP und 7 noch laufen, obwohl das keine gute Idee ist. Eigentlich sollte jedes Smartphone mit dem jeweils aktuellen Betriebssystem versorgt sein. Dass dies bei Android nicht passiert, ist eine Gefahr, auf die IT-Sicherheitsbewusste seit Jahren hinweisen. Bei iOS sieht die Welt etwas besser aus, weil Apple seine Gerätefamilie überschauen und entsprechend mit Updates versehen kann. Technisch könnte das Unternehmen auch Backports der API auf ältere Versionen bieten, aber warum sollte Apple einen solchen Schritt gehen? Die jeweils aktuelle Version befindet sich auch sicherheitstechnisch auf dem neuesten Stand, und wer aus welchem Grund auch immer nicht bereit ist, sein Gerät bestmöglich gegen Angriffe zu sichern, soll sich nicht beschweren, wenn er außen vor bleibt. Apple patcht iOS nicht aus Langeweile.

“Bluetooth – das Protokoll mit den vielen Sicherheitslücken.”

Java, Flash, Bluetooth – drei Technologien mit eher zweifelhaftem Ruf in puncto Sicherheit, bei denen immer wieder geraten wird, sie wenn möglich zu deinstallieren oder nur dann zu verwenden, wenn es gar nicht anders geht. Bei Bluetooth hat sich die Aufregung zwischenzeitlich etwas gelegt. Zumindest sehe ich viele Menschen unbesorgt Bluetooth-Headsets, Tastaturen oder Lautsprecher verwenden. Mit der Diskussion um die Corona-Warn-App ist aber dennoch die Frage wieder hochgekocht, ob es eine kluge Idee ist, rund um die Uhr Bluetooth angeschaltet zu haben und es ständig mit anderen Geräten reden zu lassen.

Generell kommt der schlechte Ruf von Bluetooth nicht von ungefähr. Auf der anderen Seite werden die Lücken aber auch geschlossen. Das wiederum bringt uns wieder zur Frage, wie aktuell das eigene Smartphone ist, insbesondere dann, wenn Android darauf läuft.

In diesem speziellen Fall ist die Lage aber selbst dann noch relativ entspannt, wenn das Telefon Bluetooth-Lücken aufweist. Der Grund liegt darin, dass die Corona-Warn-App nicht Bluetooth, sondern genauer Bluetooth Low Energy verwendet, was etwas anders funktioniert. Während Bluetooth dafür ausgelegt ist, mit anderen Geräten eine Sitzung aufzubauen, über die Daten ausgetauscht werden, kommuniziert die Coronoa-Warn-App über Bluetooth Low Energy jeweils nur in eine Richtung. Zur Verdeutlichung: Bluetooth ist ein Dialog, bei dem beide Seiten sich ständig gegenseitig versichern, dass sie auch alles verstanden haben. Im Gegensatz dazu ist die Kommunikation der Corona-Warn-App vergleichbar mit einem durch die Straßen fahrenden Lautsprecherwagen, der ständig irgendwas verkündet, ohne feststellen zu können oder sich auch nur dafür zu interessieren, ob überhaupt jemand zuhört. Die Leute in den Wohnungen entlang der Straße hören zu oder lassen es bleiben. Auf keinen Fall aber eilen sie ans Fenster, um Antworten zum Lautsprecherwagen zurückzurufen. Ähnlich ist es mit der App. Sie sendet ihe Kennung aus, erwartet aber keine Antwort, und sie lauscht auf die Kennungen anderer, antwortet aber nicht auf sie. Diese Ein-Wege-Kommunikation spielt eine wichtige Rolle bei der Sicherheit. Wenn ich ein Gerät angreife, will ich in den meisten Fällen eine dialogische Verbindung, um weitere Kommandos absetzen und Daten absaugen zu können. Wenn ich nur schadhafte Pakete verschicke, bekomme ich damit das Gerät vielleicht zum Abstürzen, aber wahrscheinlich nur auf einer Ebene, an der die Bluetooth-Hardware oder der Treiber sich einige Sekunden lang neu startet und dann normal weiterarbeitet. Ein Angriff, der das Telefon löscht oder wenigstens zum kompletten Absturz bringt, ist theoretisch möglich, aber sehr unwahrscheinlich.

Jetzt ließe sich ein Angriff denken, bei dem ich auf dem Sendekanal ein Datenpaket einspiele, welches das Zielsystem so weit kompromittiert, dass es wiederum auf seinem Sendekanal mir Informationen zusendet. Ich will nicht ausschließen, dass ein solcher Angriff prinzipiell möglich ist, aber er liegt auf jeden Fall weit über dem Niveau der bislang aufgetretenen Bluetooth-Angriffe, erscheint mir sehr aufwendig und entsprechend wenig wahrscheinlich.

“SAP. Telekom. Ausgerechnet.”

Viel Stirnrunzeln rief auch die Entscheidung hervor, SAP und die Telekom mit der Entwickung zu beauftragen – zwei Firmen, deren Namen selten mit Begriffen wie “flexibel”, “dynamisch” oder “schnell” assoziiert werden. Auf der anderen Seite: Welche anderen Optionen gab es? Hätte sich die Regierung für ein fesches Berliner Hinterhof-Startup mit sieben Leuten entschieden, von dem niemand weiß, ob und wie es das nächste halbe Jahr überlebt, hätten alle getobt, eine Software dieser Tragweite gehöre in die Hände eines marktbekannten, zuverlässigen Unternehmens. Jetzt hat die Regierung genau das getan, und alle schimpfen, warum es denn ausgerechnet diese beiden seien. Ich bin kein Freund der Telekom oder von SAP, aber wenn ich die Entwicklung der Corona-App hätte vergeben müssen, hätte ich auch auf Nummer sicher gespielt.

“Was dauert das denn so lange?”

Der Vorwurf, die Entwicklung der App hätte viel zu lange gedauert, kommt oft in Kombination mit der Behauptung, wir hätten schon längst fertig sein können, wenn die Alumützen aus der Datenschutzszene nicht die ganze Zeit gegen den zentralen Ansatz zu Felde gezogen wären. Die Frage, was passiert wäre, hätten wir weiter die Speicherung der Kontaktinformationen auf einem zentralen Server und nicht dezentral auf den jeweiligen Telefonen verfolgt, können wir zum Glück einfach beantworten, indem wir nach Frankreich schauen. Dessen App funktioniert nämlich bis heute nicht richtig. Der Grund dafür ist einfach: Google und Apple spielen nicht mit. Deren API unterstützt nämlich nur die dezentrale Datenhaltung. Ohne die API wird es zumindest unter iOS schwierig, an die zur Abstandsmessung nötigen Informationen zu gelangen. Als Ergebnis muss die französische App ständig im Vordergrund laufen, was wiederum die Laufzeit des Akkus stark nach unten zieht. Wir können uns jetzt über die Marktmacht von Google und Apple und über die Frage streiten, warum diese ansonsten gegenüber Datensammlungen sehr aufgeschlossenen Unternehmen überraschenderweise eine Architekur bevorzugen, bei der sich sensible Informationen nur schwer abschöpfen lassen. Vielleicht ist es der Umstand, dass sie schon genug Arbeit darin sahen, eine sichere API für ihre Telefone zu bauen und sich nicht auch noch um die Absicherung eines zentralen Servers kümmern wollten. Vielleicht haben sie aber auch schlicht erkannt, dass der Erfolg einer Corona-App entscheidend vom Vertrauen abhängt, das die Leute in dieses Programm haben und dass ein zentraler Server, auf dem alle Kontaktinformationen verarbeitet werden, von den Menschen kaum akzeptiert wird, egal wie gut das System gegen Angriffe gesichert ist. Wir sehen ja jetzt schon die Vorbehalte gegen den aus Datenschutzsicht relativ harmlosen dezentralen Ansatz. Wie viel höher wären sie wohl, hätten wir uns entschlossen, die Konktaktprofile von millionen Menschen auf einem zentralen Server der Regierung abzulegen?

“Die App verleitet die Leute zum Leichtsinn.”

Den Vorwurf, eine Maßnahme vermittle ein falsches Gefühl von Sicherheit, gibt es seit Jahrzehnten. Ich habe ihn gehört, als in den Siebzigern Sicherheitsgurte auf allen Sitzen im Auto Pflicht wurden. Ich habe ihn gehört, als Airbags, ABS und Gurtstraffer eingeführt wurden. Tatsächlich ist an diesem Vorwurf etwas dran. Eine Sicherheitsmaßnahme kann zumindest am Anfang paradox wirken, weil die Leute nicht verstehen, wo die Grenzen dieser Technologie sind. Ein Sicherheitsgurt bringt mir nichts, wenn ich mit meinem Auto in einen See fahre. Ein Airbag schützt meinen Kopf nur so lange, wie die Fahrgastzelle halbwegs intakt bleibt. Auch von der Corona-Warn-App erwarten die Leute wahre Wunder. Insbesondere schützt sie mich nicht vor einer Infektion. Sie teilt mir allenfalls mit, dass ich einer infektiösen Person begegnet bin und mich testen lassen sollte. Im Optimalfall erfahre ich das so rechtzeitig, dass ich meine Kontakte einschränken kann, bevor ich weitere Menschen anstecke. Ansonsten kann ich mich nur als ebenfalls infiziert melden und die Leute warnen, denen ich begegnet bin, dass sie sich testen lassen sollten. Im Wesentlichen leistet die App nicht viel mehr als die Mitarbeiterinnen des Gesundheitsamts, die zusammen mit einer infizierten Person versuchen, deren Kontakte zu alarmieren. Sie hat nur den Vorteil, auch Zufallsbegegnungen mit zu erfassen, die bei der manuellen Erfassung des Gesundheitsamts übersehen werden, beispielsweise Menschen, denen ich eine halbe Stunde lang im Zug gegenübergesessen habe. Die App ersetzt also keine Abstandsregeln, kein Händewaschen, keine Gesichtsmasken. Sie ersetzt nicht einmal die Namenslisten in den Restaurants. Warum?

Nehmen wir an, eine Wirtin entschlösse sich, die Leute entweder die Namenslisten ausfüllen zu lassen oder die App vorzuzeigen. Nehmen wir weiterhin an, ich hätte bei der App nicht geschummelt und sie immer brav mit mir herumgetragen. Welchen Nutzen hat die App, wenn die Person, bei der ich mich in der Kneipe anstecke, nicht auch ihrerseits die App mitführt? Dann bekomme ich weder eine Meldung, noch hat die Kneipe eine Möglichkeit, mich später anzurufen. So wenig ich aus Datenschutzgründen die Papierlisten mag und so mehr ich die vergleichsweise anonyme App im Restaurant vorzöge – es funktioniert nicht.

Nun könnte die Wirtin auf die Idee kommen, nur noch Personen mit App in ihre Kneipe zu lassen. Die Frage ist nur: Wird sie diesen Schritt wagen? Ein Vierteljahr lang hat sie jeden Monat brav ihre Miete zahlen und alle Fixkosten ihres Betriebs tragen dürfen, ohne auch nur einen Cent durch Gäste einzunehmen. Im Zweifelsfall kann sie es sich nicht leisten, Gäste abzuweisen, nur weil sie keine App haben. Wenn sie nicht zufällig die angesagte Szenekneipe besitzt, bei der sich die Leute um Einlass prügeln, wird sie sich über jeden Gast freuen, so lange er Geld da lässt.

Das Misstrauen gegenüber den Regierungsbeteuerungen, nie und nimmer nicht keinen App-Zwang verhängen zu wollen, kommt nicht von ungefähr. Es wäre nicht das erste Mal, dass eine Überwachungsmaßnahme nach öffentlichen Protesten kategorisch ausgeschlossen wird, nur um sie nach Abklingen der Aufregung salamischeibenweise einzuführen – siehe automatische Kennzeichenerfassung. Selbst wenn wir die pessimistische Sicht einnähmen und die Corona-App für ein geeignetes Mittel zur Massenüberwachung halten: Wie soll der Zwang umgesetzt werden? Mein Arbeitgeber kann mich vielleicht zwingen, auf meinem Diensttelefon diese Software zu installieren, aber wie soll ein staatlicher App-Zwang aussehen, wenn doch nur 70 Prozent der Menschen überhaupt ein Smartphone haben, von denen nicht einmal alle kompatibel sind? Wie soll die Polizei das kontrollieren? Wenn mich eine Polizistin auf der Straße anspräche, ich möge ihr doch bitte die App auf meinem Smartphone zeigen, und ich behaupte, ich hätte keins, kann sie schlecht eine Durchsuchung anordnen oder eine Abfrage bei den Mobilfunkanbietern starten, ob ich dort ein Konto habe. Technisch gibt es zwar die Möglichkeit, kleine Bluetooth-Sender zu verteilen, die wenigstens Teile der App abbilden, aber wenn ich mir ansehe, wie dieses Land über Wochen an der Aufgabe gescheitert ist, Centartikel wie Gesichtsmasken in ausreichender Menge bereitzustellen, frage ich mich, wie es einfach so über 20 Millionen Bluetooth-Beacons heranschaffen will.

“Die App wirkt erst ab 60 Prozent Verbreitung.”

Der Gedanke ist so alt wie das Ausredenerfinden selbst: Es bringt nichts, wenn nur ich alleine mich daran halte, also lasse ich es gleich bleiben. Diesen Satz höre ich, wenn es um Umweltschutz (“Ist doch egal, ob ich auf die Bahn umsteige, wenn alle weiter Auto fahren”) oder die banale Frage geht, auf einen anderen Messenger als Whatsapp umzusteigen (“Was soll das denn bringen, alle nutzen Whatsapp”). Mit dieser Haltung hätte es niemals den Sturz der SED-Diktatur gegeben. Niemand hätte in Leipzig demonstriert, weil alle gesagt hätten, es sei völlig sinnlos, allein auf die Straße zu gehen.

Deswegen überrascht mich die Reaktion auf die – zudem noch unvollständig zitierte – Oxford-Studie nicht, die angeblich besagt, ein Stopp der Pandemie sei erst dann möglich, wenn 60 Prozent der in Deutschland lebenden Menschen die App nutzen: “Ja, herrlich, dann brauche ich sie mir gar nicht erst installieren. Diese Zahl ist so wahnsinnig hoch, die erreichen wir sowieso nicht.” Abgesehen davon, dass die Reaktion in meinen Augen Unsinn ist – das besagt die Studie auch nicht. Sie besagt, dass ohne weitere flankierende Maßnahmen, nur allein mit der App die Ausbreitung der Pandemie gestoppt werden kann, wenn 60 Prozent der Leute sie nutzen. Sie besagt aber auch, dass bereits bei geringeren Nutzungszahlen insbesondere dann ein positiver Effekt erwartet wird, wenn weitere Maßnahmen wie Abstandsregeln und Gesichtsmasken die App flankieren. Wo genau der Schwellenwert für die Wirksamkeit theoretisch liegt, ist in meinen Augen aber auch egal. Wir haben jetzt ein Vierteljahr Zahlenspielereien und Überlegungen angestellt. Ob sie stimmen, können wir nur herausfinden, indem wir es ausprobieren.

“Die App ist nicht anonym, sie ist nur pseudonym.”

Begründung: Wenn es möglich ist, einen Kontakt zu alarmieren, kann das Verfahren mit den ständig wechselnden IDs nicht anonym sein.

Die Frage ist nur: Wird die Person wirklich im eigentlichen Sinn alarmiert? Informieren sich nicht umgekehrt alle Nutzerinnen und beurteilen selbst, ob sie sich alarmiert fühlen?

Nehmen wir an, eine Marmeladenfirma verkauft über eine bundesweite Supermarktkette ihre Produkte. Sind wir uns bis zu diesem Zeitpunkt einig, dass die Gläser anonym verkauft werden, dass die Firma also nicht weiß, wer ihre Marmelade gekauft hat? Nehmen wir weiterhin an, bei der Qualitätskontrolle stellt die Firma fest, dass an einem bestimmten Tag aufgrund eines Fehlers Glasscherben in die Produktion gelangt sein könnten und beschließt daraufhin eine bundesweite Rückrufaktion. Weil sie eben nicht weiß, wer ihre Gläser gekauft haben könnte, schaltet sie Anzeigen in allen großen Tageszeitungen, dass alle Kirschmarmeladen mit einem bestimmten Verfallsdatum möglicherweise Scherben enthalten und kostenlos umgetauscht werden könnten. Ich bin kein Jurist, aber selbst meine laienhaften Kenntnisse von Datenschutzrecht lassen ich sehr sicher sein, dass keine Datenschutzaktivistin hier auf die Idee käme, aufgrund der Rückrufaktion davon zu reden, dass der Verkauf von Marmelade nicht anonym, sondern pseudonym abläuft. Vielleicht habe ich aber auch nur die Passage in der DSGVO überlesen, die ein Problem darin sieht, dass Leute ihren eigenen Namen kennen.

Genau das passiert nämlich bei der Corona-App. Eine Person meldet sich als infiziert, veröffentlicht ihre Erzeugerschlüssel der letzten 14 Tage, alle Nutzerinnen laden sich diese Schlüssel herunter, erzeugen aus ihnen die zugehörigen temporären IDs, vergleichen sie mit denen, die sie auf ihrem Gerät empfangen haben und leiten daraus ihr persönliches Infektionsrisiko ab. Anders gesagt: Der Alarm geht blind an alle, und jede entscheidet für sich, ob sie diesen Alarm ernst nimmt. Die einzige Person, die weiß, dass sie die Meldung betrifft, ist die Person selbst. Es mag sein, dass es rein technisch immer noch nur um Pseudonymität statt Anonymität geht, praktisch hingegen besteht in diesem speziellen Fall aus meiner Sicht kein Unterschied.

“Aber der Speicherplatz auf meinem Smartphone!”

Meines Wissens ist eine ID 32 Byte lang. Die App geht alle 5 Minuten auf Empfang. Nehmen wir an, sie empfängt dabei jedes Mal 10 IDs, rund um die Uhr, 14 Tage lang. Insgesamt sind das also

32 Byte * 60 / 5 Minuten * 24 Stunden * 14 Tage < 1,3 MiB.

Runden wir großzügig auf 10 MiB auf. Der Speicher eines handelsüblichen Smartphones liegt irgendwo im zweistelligen Gigabytebereich, also dem Faktor 1000 über dieser Datenmenge. Die über 14 Tage auf dem Telefon gespeicherten IDs nehmen ungefähr so viel Platz weg wie ein mehrsekündiges Whatsapp-Video.

Was sagt mein Datenvolumen dazu? Nichts, die Daten werden per Bluetooth übertragen. So lange die App keine Warnungen abruft oder selbst welche verschickt, belastet sie vor allem den Akku. Ich bin kein Experte, was den Stromverbrauch verschiedener Smartphonekomponenten angeht, aber im Vergleich zu Podcasthören, Videogucken und bei angeschaltetem Display Whatsapp-Nachrichten Verwalten sollten die Bluetooth-Low-Energy-Aktivitäten der Corona-App nicht besonders ins Gewicht fallen. Was das Datenvolumen beim Datenaustausch mit dem Benachrichtigungs-Backend angeht, hat die Telekom schon angekündigt, das nicht berechnen zu wollen. Ich bin ein strikter Gegner des Zero-Ratings, aber in diesem speziellen Fall ist es sogar einmal sinnvoll.

“Was ist mit der API von Google und Apple?”

Die App selbst wurde quelloffen geschrieben und erscheint unter der Apache2.0-Lizenz. Wir haben also eine sehr genaue Vorstellung, was die App anstellt und was nicht. Diese Offenheit hat schon am Erstveröffentlichungstag ihren Nutzen gezeigt, als Anwenderinnen sich irritiert über die bei der Installation auftauchende Meldung zeigten, zum Betrieb der Warnapp sei die Standortfreigabe nötig. War das nicht genau das, was die App nicht sollte, den Standort ermitteln? Stimmt, und die Meldung hätte kaum verwirrender sein können. Einfach gesagt braucht die App Zugriff auf die Standortfreigabe, um Bluetooth Low Energy nutzen zu können. Kann sie dann nicht auch noch heimlich auf mein GPS zugreifen?

Ein Blick in den Sourcecode zeigt: Nein, eine solche Funktion gibt es nicht in der App. Wir müssen also nicht wild vermuten, wir können es wissen.

Auf Seiten der App sieht es mit der Transparenz also gut aus. Weniger gut ist es um die Transparenz bei der von Google und Apple entwickelten Schnittstelle zum Austausch der Bluetooth-IDs bestellt. Da wissen wir in der Tat nicht genau, was passiert. Könnte da nicht?

Ja, es könnte, aber auch hier stellt sich die Frage, warum zwei Firmen, die ohnehin die Kontrolle über mein Smartphone haben, ausgerechnet hier heimlich etwas einbauen sollten. Der Bundesdatenschutzbeauftragte Kelber hat es schön ausgedrückt: Was die API genau treibt, können wir natürlich nicht mit Sicherheit sagen, aber wenn sich hier Google und Apple beim Schnüffeln erwischen lassen, wäre das mit hoher Wahrscheinlichkeit ein Vergehen, für das erstmals seit Wirksamwerden der DSGVO das maximale Bußgeld in Höhe von 4 % des weltweiten Jahresumsatzes fällig wäre. Bei diesen beiden Unternehmen betrüge es mehrere Milliarden Euro. Warum sollten sie sich diesem Risiko aussetzen, wenn sie an die Informationen doch viel leichter kommen?

“Die App ist so wahnsinnig teuer!”

Sagen wir es vorsichtig: Die deutsche Corona-Warn-App war nicht gerade ein Schnäppchen, und auch als Mitarbeiter einer Branche, die bei vierstelligen Tagessätzen und siebenstelligen Jahresetats nicht nervös wird, war mein erster Gedanke, als ich von den Entwicklungs- und Betriebkosten der App erfuhr: “Gratuliere, Kollegen, gut verhandelt.” Mich verstört es allerdings, wenn dies als Argument ins Feld geführt wird, die App nicht zu nutzen. Mit dem gleichen Argument könnte ich die Elbphilharmonie oder den Willy-Brandt-Flughafen boykottieren – beides Projekte, die ein itze-klitze-kleines Bisschen über dem geplanten Budget lagen. Die Frage ist nur: Was soll das bringen? Die Elbphilharmonie wird nicht dadurch billiger, dass ich nicht hingehe, und auch für die Abfertigungsqualität am Berliner Flughafen spielt das epische Managementversagen im Vorfeld keine Rolle. Das Bluetooth-Tracing weiß nichts davon, ob es überteuert eingekauft wurde oder nicht. Davon hängt seine Funktion nicht ab. Wir können uns gern mit den staatlicherseits Verantwortlichen darüber unterhalten, ob das Portemonnaie bei ihnen nicht ein wenig zu locker saß und ob sie in der Konsequenz ihren Posten nicht für jemanden räumen wollen, der etwas verantwortungsbewusster mit Steuergeldern umgeht, aber die App deswegen nicht zu nutzen, erscheint mir als nicht allzu rational gesteuerte Trotzreaktion.

“Es wird Fehlalarme geben!”

Wenn ich eins versprechen kann, dann ist es, dass wir am Dienstag nicht die für alle Zeiten gültige Version der Corona-App heruntergeladen haben. Wie jede Software wird sie sich wandeln, wird Fehler aufweisen und sehr wahrscheinlich werden wir noch an den Parametern arbeiten müssen, die wir zur Beurteilung heranziehen, ob zwei Menschen lang und nah genug beieinander waren, um sich anstecken zu können. Bluetooth Low Energy war ursprünglich dazu gedacht, in einer Ausstellung festzustellen, vor welchem Exponat eine Person gerade steht und ihr die dazu passenden Informationen auf dem Telefon anzuzeigen. Feinsinnige Messungen, ob der Abstand zu einem Gemälde nun drei, zwei oder einen Meter beträgt, waren uninteressant, im Zweifelsfall entschied das stärkste Signal. Was wir gerade mit BLE anstellen, ist ein typischer Hack, getestet unter Laborbedingungen. Natürlich werden die Messungen in der Fläche anders ausfallen. Menschen verhalten sich praktisch nie genau so, wie sie es theoretisch sollten.

Es gibt mehrere Situationen, in denen die Messungen gar nicht funktionieren können. Immer wieder werden die gleichen Fälle beschrieben: Zwei Personen schlafen in verschiedenen Wohnungen, allerdings an der gleichen Wand. Zwei Personen sitzen nah beieinander, getrennt von einer Plexiglasscheibe. Eine Fußgängerin wartet an der Ampel, während gleichzeitig direkt neben ihr ein Auto mit hochgekurbelten Scheiben steht. In allen drei Fällen misst die App eine Begegnung, obwohl keine Infektionsgefahr besteht. Die Schlussfolgerung: Guck mal, wenn die App diese konstruierten Sonderfälle nicht sauber behandelt, brauchen wir sie gar nicht erst einsetzen. Vor allem das Ampel-Szenario übersieht, dass in der momentanen Einstellung ein Infektionsrisiko erst ab einer Viertelstunde Begegnung angenommen wird. Ich habe noch nie an irgendeiner Ampel eine Viertelstunde gestanden. Auch bei den beiden anderen Szenarien frage ich mich, wie oft sie im Alltag vorkommen, und selbst wenn es auf diese Weise zum einen oder anderen Fehlalarm käme – was ist Ihnen lieber: eine Warnung, die sich nach einem Test als falsch herausstellt oder eine tatsächlich erfolgte Infektion, die nicht rechtzeitig erkannt wird und sich deswegen rasch ausbreitet?

Was mich eher besorgt ist die mangelnde Fähigkeit der App, zwischen geschlossenen Räumen und einem Aufenthalt im Freien zu unterscheiden. Ein schlecht gelüftetes Büro birgt ein deutlich höheres Infektionsrisiko als ein Straßencafé. Eine Begegnung, die draußen harmlos ausgeht, kann drinnen zur Ansteckung führen. Das kann eine Bluetooth-Messung natürlich nicht feststellen. Natürlich wäre es ein Leichtes, mit einer entsprechenden Schaltfläche zwischen “draußen” und “drinnen” zu unterscheiden oder die App bei geringem Infektionsrisiko schlicht ganz auszuschalten, aber das, behaupte ich, wird nicht funktionieren. Der Charme der App besteht ja gerade darin, automagisch im Hintergrund zu wirken. Kaum jemand wird die Disziplin aufbringen, die App unterwegs ständig der Situation anzupassen.

Übrigens führt auch die bisherige Methode der Gesundheitsämter zwangsläufig zu Fehlalarmen – schlicht, weil ein Kontakt nicht zwangsläufig zu einer Infektion führt. Trotzdem halten sich die Forderungen, die manuelle Kontaktverfolgung abzuschaffen, in Grenzen.

“Warum haben wir keine europäische Lösung?”

Europa – das ist der Staatenbund, der sich monatelang über Krümmungsradien von Bananen und Einfuhrbestimmungen von Gummibärchen streitet. Wenn wir gewartet hätten, bis sich dieses Konglomerat aus Partikularinteressen auf eine europaweite Warn-App einigt, hätten wir nicht über Juni als Veröffentlichungsdatum gesprochen, sondern vielleicht über August oder September – mit Glück. Der Fairness halber muss ich zugeben, dass natürlich auf europäischer Ebene schon einiges in Bewegung, aber noch nichts Vorzeigbares in Sicht ist. Natürlich sind die vielen gerade gegangenen nationalen Sonderwege Stückwerk, und gerade in der Reisesaison wäre eine europaweit funktionierende Lösung attraktiver als der zu erwartende Wust verschiedener Apps auf einem Telefon. Doch auch hier sehe ich allenfalls Ärgernisse, keine unüberwindbaren Schwierigkeiten. Ich habe mit 10 Messengern auf meinem Gerät leben gelernt, da bringen mich ein paar Corona-Apps nicht mehr aus der Ruhe.

“Und nun?”

Zum jetzigen Zeitpunkt spricht aus meiner Sicht wenig gegen den Einsatz der App. Die Architektur scheint sauber, die Umsetzung korrekt. Die mir bekannten technischen Angriffe halte ich für wenig praxisrelevant. Ob die App den gewünschten Erfolg hat, kann im Moment niemand sagen. Viel hängt vom Vertrauen der Menschen in dieses Programm und davon ab, dass sie es auch wie vorgesehen benutzen. Wenn das Smartphone nur ausgeschaltet in der Wohnung liegt, wird die App nicht funktionieren. Wenn sie eine Infektion nicht an die App melden, wird sie nicht funktionieren. Vertrauen ist also der zentrale Faktor. Aus diesem Grund sollten alle, die gerade davon Träumen, der Freiwilligkeit etwas nachzuhelfen, sich darüber im Klaren sein, auf welch schmalem Grat sie balancieren. Sobald aus Anreizen Zwang wird, kann sich die weitgehend positive Grundstimmung auch schnell ins Gegenteil verkehren.

Weiterführende Informationen

Die hier aufgeführten Links dienen dazu, die unterschiedlichen Sichten zu dokumentieren. Ich führe sie unabhängig ihrer inhaltlichen Qualität und von der Frage auf, ob ich die darin geäußterten Meinungen teile. Ich habe versucht, das schlimmste Verschwörungsgeschwurbel zu herauszufiltern, schließe aber nicht aus, dass einige Artikel handwerklich sauber beginnen und dann irgendwann hildmannen.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.