Experte über Corona-App: "Es gibt keinen Grund, App nicht zu installieren"

In wenigen Tagen soll die deutsche Corona-Warn-App zum Download bereitstehen. Etwa die Hälfte der Deutschen will sie installieren. Die andere Hälfte zögert. Viele haben Angst vor permanenter Überwachung. Ein Experte erklärt, warum die meisten Sorgen unbegründet sind.

Henning Tillmann ist Softwareentwickler und Co-Vorsitzender des Digitalvereins D64. Die Debatte um die Corona-Warn-App hat er von Anfang an verfolgt. Im Interview erklärt er, was die App so besonders macht, warum selbst Datenschützer ausnahmsweise keine Einwände haben – und womit Nutzer der App in Zukunft rechnen müssen.

Demnächst will Gesundheitsminister Jens Spahn die deutsche Corona-Warn-App vorstellen. Umfragen haben ergeben, dass viele Deutsche die Installation aus Angst vor Überwachung ablehnen. Können Sie das nachvollziehen?

Grundsätzlich ist es sicher kein Fehler, bei neuer Software skeptisch zu sein. In diesem Fall sind die Sorgen aber nicht gerechtfertigt. Der dezentrale Ansatz der App arbeitet mit anonymisierten Identifikationsnummern. Datenschutzrechtlich gibt es da überhaupt keine Probleme

Außerdem ist der Quellcode für jeden einsehbar. Viele Experten, mich eingeschlossen, haben sich den Programmcode bereits angesehen und genau geprüft. Dadurch können wir mit ziemlicher Sicherheit sagen, dass keine unerwünschten Tracker oder Hintertüren eingebaut wurden. In der App werden weder die Namen noch andere persönliche Informationen wie zum Beispiel Standortdaten erfasst.

Es geht aber doch um Contact-Tracing, also um das Nachverfolgen von Kontakten. Wie ist das möglich, wenn dabei keine persönlichen Daten erfasst werden sollen?

Die Smartphones, auf denen die App installiert ist, senden sogenannte Kurzzeitschlüssel per Bluetooth aus. Das sind zufällige Zeichenfolgen, die sich auch noch alle 15 Minuten ändern. Alle diese Nummern gehören zwar zum gleichen Gerät, lassen sich aber nicht zurückverfolgen.

Andere Geräte in der Nähe sammeln diese anonymisierten Kurzzeit-IDs ein und speichern sie für 14 Tage ab. Die Daten bleiben auf den Geräten. Außer den Smartphones weiß also niemand, dass der Kontakt stattgefunden hat.

Wie werden die Daten dann im Fall einer Infektion abgerufen?

Es wird ein sehr kluger Mechanismus verwendet: Parallel zu den öffentlichen IDs werden nämlich private Tagesschlüssel generiert, die zunächst geheim bleiben. Erst im Fall einer Infektion lädt der Nutzer seine privaten Schlüssel auf einen zentralen Server des Robert Koch-Instituts hoch. Von dort aus wird eine Liste aller als "infiziert" gemeldeten Schlüssel an die App-Nutzer verschickt. Die können dann auf ihrem Gerät prüfen ob einer der Schlüssel zu den temporären IDs passt, die sie in den letzten Tagen gesammelt haben.

Was passiert, wenn Hacker den Server angreifen und die Daten ausspähen?

Das wäre eine magere Beute. Auf dem Server liegt ja nichts weiter als eine Liste mit anonymen Nummern. Mit diesen Schlüsseln kann man nur etwas anfangen, wenn man auch die dazugehörigen Kurzzeitschlüssel hat, die bei der Begegnung ausgetauscht und auf den Geräten selbst verwahrt werden, nicht auf dem Server.

Das ist eine der großen Stärke des dezentralen Ansatzes: Ein zentraler Server mit vielen sensiblen Informationen wäre ein attraktives Angriffsziel für Hacker. Der Verzicht darauf trägt zur Datensicherheit bei.

Gibt es weitere Gründe, die für den dezentralen Ansatz sprechen?

Die Corona-Warn-Apps wollen die Bluetooth-Funktion des Smartphones nutzen, um permanent Signale auszusenden und zu empfangen. Das geht eigentlich nur, wenn sie dafür die von den Betriebssystemen bereitgestellten Schnittstellen nutzen.

Google und Apple haben sich von Anfang an auf einen dezentralen Ansatz fokussiert. Wenn man eine funktionierende App für Android und iPhones programmieren will, macht es Sinn, daran anzuknüpfen. Sonst bekommt man eine ganze Reihe von technischen Problemen, vor allem auf iPhones.

Die Schnittstellen wurden schon vor Wochen durch ein Hintergrund-Update auf die Geräte gespielt. Das hat manche Nutzer misstrauisch gemacht. Ist das Contact-Tracing über Bluetooth ein neuer Trick, mit dem uns die großen Techkonzerne ausspionieren wollen?

Also zunächst einmal bildet die Schnittstelle oder API nur das Fundament für das Contact-Tracing. Über die Schnittstelle können die Apps auf die Bluetooth-Funktionalitäten zugreifen und sie nutzen. Man darf ja nicht vergessen: Diese Technologie war nie für solche Zwecke gedacht.

Im Grunde stellen Google und Apple mit ihrer Schnittstelle das Grundstück und das Fundament zur Verfügung. Dann muss aber immer noch jemand ein Haus darauf bauen. Erst im Zusammenspiel mit einer App erhält die API irgendeine Funktion.

Könnte der Staat die Corona-App nach der Pandemie in ein Überwachungsinstrument verwandeln?

Das halte ich für höchst unwahrscheinlich. Technisch ist das auch gar nicht möglich. Schließlich wird nirgendwo zentral erfasst, wer wen wo getroffen hat. Das ganze Konzept ist darauf ausgelegt, so wenige Daten wie möglich auszuwerten. Die API von Google und Apple verhindert beispielsweise, dass die Apps auf das GPS oder das Adressbuch der Nutzer zugreifen. Nach der Pandemie kann die Funktion außerdem ganz leicht wieder abgeschaltet werden.

Trotzdem hat auch Gesundheitsminister Jens Spahn mit dem Gedanken gespielt, eine App zur Durchsetzung von Quarantäneauflagen einzusetzen. Wäre so eine Funktion denkbar?

Für den Vorschlag hat Spahn zu Recht viel Gegenwind bekommen. Die Corona-Warn-App ist für solche Zwecke jedenfalls völlig ungeeignet.

Sind Covid-19-Patienten dazu verpflichtet, sich in der App als infiziert zu melden?

Nein, alle Funktionen der Corona-Warn-App sind freiwillig. Aber es macht natürlich Sinn, wenn sich die Infizierten tatsächlich auch melden. Innerhalb der App passiert das vollkommen anonym, da muss sich niemand Sorgen machen.

Die einzige Hürde ist die Eingabe eines Codes durch die Gesundheitsbehörde. Damit soll verhindert werden, dass sich jemand nur als infiziert meldet, um andere zu schocken.

Was spricht aus Ihrer Sicht gegen die Corona-Warn-App?

Es ist völlig unklar, wie viel sie bringt. Im April kursierten ganz viele Versprechen. Da hieß es: Wenn erst die Corona-App da ist, können wir alle wieder mehr Freiheit genießen. Ich halte das für übertrieben. Wir experimentieren hier mit einer zweckentfremdeten Technologie. Bluetooth war nie darauf ausgelegt, Abstände zu messen.

Aus Nutzersicht gibt es jedenfalls keine guten Gründe, die App nicht zu installieren. Das Risiko ist gering und ich bin optimistisch, dass die App tatsächlich helfen kann. Ich würde nur keine allzu großen Wunder erwarten