Android, Corona, Datenschutz, German, IT-Security

Einschätzungen zur Corona-Warn-App

Letzes Update: 25.06.2020 um 21:57 Uhr
(Änderungen sind farblich gekennzeichnet)

Inzwischen nutzen stand Heute (24.06.2020) etwa bereits 13 Millionen Menschen die Corona-Warn-App. 15 Prozent der Bevölkerung werden erreicht, es gibt erste Infektionswarnungen. Es sollten sich nun erste positive Effekte zeigen. (Quelle)

Ich möchte hier meine Einschätzungen zur Corona-Warn-App hinsichtlich Datenschutz, IT-Sicherheit und Nützlichkeit kund tun. Dabei bemühe ich mich, alle Blickwinkel der verschiedenen involvierten Parteien und Berichterstatter Gehör zu schenken und abschließend eine rationale Empfehlung zu geben. Nach meiner Ansicht muss bei jeder digitalen Entscheidung der Trade-Off zwischen Risiko und Nutzen gezogen werden. Das berührt die Themen Datenschutz, IT-Security sowie Offenheit und Vertrauenswürdigkeit des Dienstanbieters gleichermaßen.

Funktion und Datenschutz

Konkret funktioniert die App so: Ein Handy sendet stets IDs per Bluethooth aus, die von anderen Handys empfangen werden können. Diese IDs ändern sich zudem über die Zeit. Rückschlüsse auf personenbezogene Daten (Name, Handynummer, usw.) der Nutzer sind nicht möglich. So kann man den Kontakt zwischen Nutzern über pseudonomysierte IDs nachzuweisen. Gespeicherte Daten sind neben der ID auch das Datum des Kontakts und die Distanz der Personen. Dies scheint sinnvoll, um das Gefahrenpotenzial zu bemessen. Die IDs der Nutzer werden generell erst mal nicht übertragen. Ist nun ein Mensch positiv, kann und sollte dieser dies in die App hinterlegen (per QR-Code Scan auf dem Bescheid oder per TAN-Verfahren). Nun werden die (pseudonymen) IDs dieses Benutzers auf den zentralen Servern abgelegt und für Warnmeldungen an die Nutzer verbreitet. Die Smartphones der Anwender entscheiden nun selbst gemäß ihres Protokolls, ob sie mit einer infizierten Person in Kontakt getreten sind. Das Infektionsrisiko wird in “niedriges Risiko” oder “hohes Risiko” oder “Risiko unbekannt” eingeteilt. Ein niedriges Risiko wird angegeben, wenn “keine Begegnung mit nachweislich Corona-positiv getesteten Personen aufgezeichnet wurde oder sich Ihre Begegnung auf kurze Zeit und einen größeren Abstand beschränkt hat” (Zitat aus der App). Der Server erfährt davon nichts. Zudem werden IDs nach 14 Tagen gelöscht, da hier die übliche Inkubationszeit erreicht ist. Damit ist dem Datenschutz nochmals besser genüge Getan. Auf die Übertragung einer GPS-Position wird bewusst verzichtet, sodass sich die Erstellung von Bewegungsprofilen der Nutzer ausschließt.

Hinsichtlich Datenschutz ist ein eindeutig positives Fazit zu ziehen: Das Konzept Privacy-by-Design wurde hier berücksichtigt. Tatsächlich funktioniert die App nicht, wie zuerst von einigen Datenschützern befürchtet, zentral, sondern die Datenhoheit bleibt so weit wie eben möglich in den Händen der Nutzer.

Die Datenschutzbestimmungen der App zeigen sich sehr offen und gut erklärt. Die zu verarbeitenden und zu speichernden Daten scheinen im gegebenen Kontext sinnvoll, d.h. so streng wie möglich, um den Einsatzzweck der App noch zu erfüllen.

Digitalcourage führt als Problem an “Detaillierte Bewegungsprofile der User können erstellt werden.” Das sehe ich Anhand der oben beschriebenen Funktionsweise als sehr unwahrscheinlich an. Die App ist gerade so konzipiert, dass das kaum möglich erscheint.

Digitalcourage führt als Problem an “Beteiligte Personen können unter Umständen de-anonymisiert werden.” Wie das konkret passieren soll, bleibt unklar. Die App ist Open Source und es wäre nachzuvollziehen, wenn das passieren würde. Es scheint nicht sehr wahrscheinlich.

Ein berechtigter Kritikpunkt ist hingegen, dass die App wohl nicht ohne die Google Play Services läuft (Quelle). Diese stehen unter Verdacht, den Benutzer auf die ein- oder andere Weise auszuspionieren und die Ergebnisse an Google zu senden. Jedes übliche Android-Smartphone von der Stange hat diese Services. Es gibt jedoch Möglichkeiten durch Installation eines eigenen Betriebssystems (z.B. LinageOS) trotz der Android-Basis sein Handy komplett entgooglet laufen zu lassen. Das machen zwar nur die wenigsten, besonders datenschutzaffine Menschen, aber es gibt gute Gründe dafür. Es sollte keiner auf Grund der Corona-Warn-App dazu gezwungen werden, sich die Google Play Services installieren zu müssen. Klare Forderung: Corona Warn-App bitte auch ohne Google Play Services! Es gibt bereits ein Projekt namens CoraLibre-android-sdk, welches eine freie, aber kompatible, Alternative zu Googles Privacy-Preserving Contact Tracing entwickeln möchte. Wir wünschen dem Projekt viel Erfolg und dass es auch in der offiziellen Corona-Warn-App Einzug hält.

IT-Security

Die App ist in sehr kurzer Zeit entstanden und konnte dementsprechend wenig getestet werden. Das liegt hier aber in der Natur der Sache, denn noch X Monate warten erhöht auch die Corona-Gefahren weiter. Sehr schön ist, dass die Corona-App von Anfang an von einem deutsches Team (SAP, Deutsche Telekom) entwickelt und Open Source publiziert wurde. Damit hat jeder die Möglichkeit in den Source Code zu gucken, Fehler zu finden und diese zu melden. Das können natürlich insbesondere auch unabhängige IT-Security-Spezialisten und Penetration-Tester.

Von Seiten des TÜV Nord wurden Fehler dann tatsächlich auch gefunden und mitgeteilt. Die Verantwortlichen von Telekom und SAP hätten darauf aber schnell reagiert und die kritischen Punkte noch vor Veröffentlichung der App beseitigt. So wünscht man es sich eigentlich. Fehler in Software werden wir nie verhindern, aber der Umgang damit ist entscheidend. Und der scheint hier gut zu sein. Während der TÜV sich zuerst über den kurzen Testzeitraum von 14 Tagen und die frühe Veröffentlichung beschwerte, lautete das Fazit zwei Tage später dann doch, die App werde “stabil und sicher laufen, ohne die Anwender auszuspionieren.” (Quelle).

Ein letzter, ernst zu nehmender Kritikpunkt: Warum gibt es die App nicht bei F-Droid? Wenn die App doch Open Source ist und unter einer entsprechenden Lizenz steht, sollte das möglich sein. Grund sind hier die nötigen Google Play Services, die proprietär sind, sodass das F-Droid jegliches Projekt auf dessen Basis ablehnt. Hier haben wir auch den Punkt, dass wir jederzeit sicherstellen können, dass die binäre *.apk-Datei dem frei verfügbaren Source Code entspricht und nichts untergejubelt wird (Reproducible Builds). Hier bleibt also noch ein Kritikpunkt, trotz Open Source. Wir werden sehen, ob das Projekt CoraLibre-android-sdk es schaffen kann, die App auch in den F-Droid Store zu bringen!

Ältere Geräte

Ein Problem scheint tatsächlich zu sein, dass die App für ältere Geräte nicht zur Verfügung steht. Es wird mindestens ein iPhone 6 / iPhone SE oder Android 6 benötigt. Nach aktuellen Zahlen wären damit tatsächlich etwa 12% der Android-Nutzer ausgeschlossen, da diese eine ältere Version nutzen (Quelle). Das ist nicht wenig und betrifft tatsächlich wohl vor allem sozial schlechter gestellte wie Geringverdiener, Arbeitslose und arme Familien.

Tatsächlich muss man sich in der heutigen Zeit als Nutzer jedoch die kritische Frage stellen, ob man es denn für sich selbst verantworten kann, mit einem so alten Android durch die Gegend zu laufen. Schließlich gibt es hier auch gehörig Sicherheitslücken, die schon lange nicht mehr geschlossen werden. Schutz würde hier nur liefern, was ich schon länger fordere: Eine gesetzlich vorgeschriebene Updatepflicht über mehrere Jahre für noch auf dem Markt befindliche Geräte. Ich denke, 5 Jahre sollten es schon mindestens sein, wenn man ein neues Smartphone erwirbt. Also: Gesetze schaffen!

An dieser Stelle müssten übrigens Google (für Android) und Apple (für das iPhone) etwas machen. Es liegt an ihren Schnittstellen, dass es diese Versionsbeschränkungen gibt. Ganz vermeiden lässt sich das Problem jedoch auch bei bestem Willen nicht, da es alte Smartphones mit unzureichender Hardwareausstattung (insbesondere Bluetooth-Version) gibt, die nicht überwunden werden können.

Freiwilligkeit

Ein großer Punkt ist der der Freiwilligkeit. Diese sollte stets gewahrt bleiben. Auch wenn von der Bundesregierung die Freiwilligkeit betont wird, heißt das nicht, dass sich z.B. auch die Wirtschaft daran halten muss. Der Arbeitgeber könnte z.B. die Installation der App einfordern. Oder ein Supermarkt/Restaurant. Oder ein Veranstalter eine Großveranstaltung. Dass ein solcher Zwang nicht sein darf, klingt selbstverständlich. Daher sind die Forderungen eines entsprechenden Gesetzes nicht unberechtigt. Eine Formulierung wie “Die nicht-Installation der so genannten Corona-Warn-App darf zu keiner Benachteiligung führen” würde da schon reichen.

Die Sichtweisen

“Da kann man nicht meckern”, sagen sie dann. Übersetzt heißt das so viel wie: “Alle Achtung, das ist ja mal richtig gut geworden.”

So ähnlich darf man Linus Neumann interpretieren, wenn er sich zur deutschen Corona-App äußert. Niemals würde er als Sprecher des Chaos Computer Club (CCC) zum Download der App aufrufen. “Wir haben aus grundsätzlichen Erwägungen noch nie ein Produkt oder eine Dienstleistung empfohlen”, sagt er ZDFheute. Wohl aber würde er vor der App warnen, sollte er Bedenken haben. Eine solche Warnung aber spricht Neumann nicht aus. Was für ein Lob.

Linus Neumann, Hacker, Netzaktivist und einer der Sprecher des Chaos Computer Clubs (CCC).
Quelle: ZDF Heute

[Die App wird] stabil und sicher laufen, ohne die Anwender auszuspionieren

Dirk Kretzschmar, TÜV Informationstechnik (TÜVit)

Es sprechen gute Gründe dafür, die Corona-Warn-App zu installieren: Die App scheint, nach allem was wir bisher wissen, solide programmiert, der Quellcode ist offen und IT-Sicherheits- und Privatsphäre-Experten haben keine Bedenken angemeldet. Falls die App funktioniert, könnte sie helfen, die Verbreitung von COVID-19, jedenfalls in Deutschland, einzudämmen. Alle, die dabei mithelfen, ihre Mitmenschen auf diese Art zu schützen, erweisen der gesamten Gesellschaft einen Dienst.

Heise Online, Quelle

Unser Fazit: Die App ist ein Placebo mit Nebenwirkungen!

[…]

Darum können wir gegenwärtig nicht dazu raten, die App zu nutzen.

Digitalcourage BLOG, Quelle

Es fällt auf, dass hier Digitalcourage als einzige Instanz zu dem Ergebnis kommt, explizit vom Einsatz der App abzuraten. Ansonsten scheint ein Großteil der Experten, auch für Datenschutz, im Gesamtfazit zufrieden. Ich kann mich dem Fazit von Digitalcourage nicht so ganz anschließen. Einige Kritikpunkte von Digitalcourage sind zu entschärfen, andere sind berechtigt und sollten durchdacht werden. Das Gesamtfazit kann ich angesichts der ehrlichen Bemühungen der Bundesregierung und der Verantwortlichen jedoch nicht nachvollziehen. Mein persönliches Fazit folgt im Anschluss.

Fazit

Ja, ein paar Kritikpunkte sind stehen geblieben: Probleme mit alten Geräten, das Thema Freiwilligkeit, die Pflicht zu den proprietären Google Play Services bzw. iOS Schnittstellen, das Fehlen im freien F-Droid Store und die kurzen Testzeiten für die IT-Security.

Der konkrete Nutzen muss sich während der Verwendung beweisen. Pauschale Vorabkritik zu möglicherweise erhöhten False-Positive- oder False-Negative-Ergebnissen halte ich für falsch. Auch, dass die Menschen dank ihrer tollen App dann plötzlich unvorsichtig werden, halte ich für fragwürdig.

Insgesamt ist das Projekt “Corona-Warn-App” ein Musterbeispiel für gute Entscheidungen der Bundesregierung. Es wird konsequent auf Datenschutz und Privacy-By-Design gesetzt, die Entwicklung erfolgt in Deutschland, das Projekt ist Open Source und auf gemeldete Kritik/Sicherheitslücken wird schnell reagiert.

Im Allgemeinen würde ich eine Installation der Corona-Warn-App befürworten. Im Speziellen muss jeder für sich selbst die richtige Entscheidung treffen.