Vielen Fragen, viele Antworten: Die „Stopp Corona“-App
Vielen Fragen, viele Antworten: Die „Stopp Corona“-App

© ÖRK/ LV NÖ / Lukas Hürner

Österreich
04/28/2020

Was Sie über die Corona-App wissen müssen

Ingrid Brodnig erklärt die „Stopp Corona“-App des Roten Kreuz

von Ingrid Brodnig

1. Was tut die Rot-Kreuz-App?

Es handelt sich um eine „Contact-Tracing-App“. Ziel ist also, dass die Kontakte einer Person aufgezeichnet werden – und wenn jemand an COVID-19 erkrankt, kann er all seine Kontakte warnen. Technisch ist das gar nicht so leicht umsetzbar, weil heutige Smartphones nicht darauf ausgerichtet sind, Abstand zu anderen Handys zu messen. Das Rote Kreuz und die Informatiker des Unternehmen Accenture, die die Software entwickelten, mussten hier recht kreativ werden.

2. Wie kann mein Handy erkennen, wer in meiner Nähe ist?

Moderne Smartphones nutzen eine Technologie namens Bluetooth Low Energy, mittels dieser Funktechnik können Geräte kleine Datenmengen energiesparend weitergeben. Ein Nebeneffekt der Technik ist, dass man über die Signalstärke ungefähr abschätzen kann, wie nahe sich zwei Geräte sind. Und genau das wird jetzt genutzt, um den Abstand zwischen Menschen zu schätzen. Aus der Not heraus wird also Bluetooth Low Energy für eine Anwendung genutzt, für die diese Technologie bisher nicht gedacht war.

3. Und die App sammelt dann automatisch meine Kontakte?

Genau. Natürlich funktioniert das nur, wenn die andere Person ebenfalls die App installiert und die automatische Kontakterkennung aktiviert hat (das Rote Kreuz nennt diese Funktion den „automatischen Handshake“). Derzeit ist die Software so eingestellt, dass nur dann ein Kontakt erfasst wird, wenn die Signalstärke zwischen den Handys auf eine Distanz von etwa zwei Metern oder weniger hindeutet und wenn diese Handys 15 Minuten in dieser Nähe waren. Wer keine automatische Kontakterkennung möchte, kann die App auch manuell nutzen: Dafür ist notwendig, dass man selbst und die andere Person die App öffnet und auf „manuellen Handshake starten“ klickt. Diese Funktion ist derzeit bei iPhones sehr wichtig: Denn bei diesen Handys funktioniert die automatische Kontaktverfolgung aktuell nur eingeschränkt.

4. Wieso klappt das automatische Kontaktsammeln bei iPhones nicht?

iPhones sind so ausgerichtet, dass eine App, die im Hintergrund läuft, nicht Signale über Bluetooth Low Energy empfangen kann. Man kann dies als Zeichen des Sicherheitsbewusstseins von Apple deuten, dass Apps im Hintergrund nur eingeschränkt Zugriff haben – aber im konkreten Fall ist das ungünstig. Denn derzeit funktioniert die automatische Kontaktverfolgung bei Tracing-Apps nicht (von diesem Problem sind alle Entwickler betroffen, nicht nur das Rote Kreuz). Bei Android-Smartphones hingegen funktioniert die Funktion – ebenso können Android-Geräte iPhones in ihrer Umgebung orten. Es ist gut möglich, dass Apple diesen Umstand schon bald ändert – schließlich arbeiten Apple und Google auch gerade an einer technischen Lösung (siehe Frage 19).

5. Werden die Kontakte anonym gespeichert?

Ja – oder um genau zu sein, werden die Daten „pseudonym“ gespeichert. Das heißt, die User tauschen ihren öffentlichen Schlüssel aus (eine Zeichenfolge, die ihre App für sie erstellt). Die App speichert die öffentlichen Schlüssel jener Personen ab, die man getroffen hat. Das ist ein positiver Aspekt dieser Software, weil die Kontakte dezentral auf den Handys der User gespeichert werden – und das Rote Kreuz gar keine Information hat, wer wen traf.

6. Was bringt „Contact Tracing”?

„Geschwindigkeit ist wichtig gegen das Virus“, sagt Gerry Foitik, Rettungskommandant des Roten Kreuz und verantwortlich für die App. Er erzählt, dass das behördliche Tracing der Kontakte von Infizierten auch noch im März manchmal mehrere Tage dauerte. Das heißt: Menschen, die Infizierte getroffen hatten, wurden in manchen Fällen erst spät gewarnt. Gerade in der Phase der jetzigen Lockerungen ist es wichtig, nach Neuinfektionen jene Personen rasch zu warnen, die mit einem Infizierten in Kontakt kamen. Diese Personen sollen sich dann möglichst in Selbstquarantäne begeben und abwarten, ob sie Symptome entwickeln. Die App kann auch in jenen Fällen helfen, wo eine positiv getestete Person nicht weiß, mit wem sie aller Kontakt hatte. Zum Beispiel kann es sein, dass man in der U-Bahn 15 Minuten nahe einem Mitfahrenden sitzt, dessen Namen aber nicht kennt. Hier besteht also die Hoffnung, dass die App dazu führt, dass Menschen rascher und lückenloser informiert werden, um die Verbreitung des Virus einzudämmen.

7. Ist es wichtig, dass viele diese App installieren?

Ja – mit dem Anteil der Bevölkerung, die diese Software nutzen, wächst auch die Wirkung. Bisher wurde die Applikation 400.000 Mal heruntergeladen, was ein guter Schnitt für eine Anwendung in Österreich ist. Wirklich wirkungsvoll ist das Programm aber dann, wenn es Millionen nutzen. Dazu gibt es eine Studie der Universität Oxford: Die Wissenschaftler kamen zum Ergebnis, dass die Epidemie sogar gestoppt werden kann, wenn 60 Prozent der Bevölkerung eine Contact-Tracing-App verwenden und ihren Empfehlungen folgen. Auch bei einer niedrigeren Nutzungsrate gehen die Forscher von einer positiven Auswirkungen einer derartigen Anwendung aus (siehe: https://www.research.ox.ac.uk/Article/2020-04-16-digital-contact-tracing-can-slow-or-even-stop-coronavirus-transmission-and-ease-us-out-of-lockdown). Und Gerry Foitik sagt: „Die App ist auch gerade bei Personen sinnvoll, die häufig zu Menschen Kontakt haben, deren Namen sie nicht kennen – zum Beispiel Taxifahrer. Hier kann die Software helfen, Menschen zu warnen, auch wenn der Taxifahrer nicht den Namen jedes einzelnen Fahrgasts kennt.“

8. Habe ich ein Recht, nach einer Warnung in Quarantäne zu gehen

Darüber diskutiert gerade die Politik: „Wir sehen das als arbeitsrechtliche Lücke: Die App zielt ja darauf ab, dass die Leute nach einer Warnung zuhause bleiben – aber derzeit haben Sie als Arbeitnehmer keinen rechtlichen Anspruch, in Quarantäne zu gehen, weil die App sie warnte“, sagt SPÖ-Klubdirektor Joachim Preiß. Eine Nachfrage von profil ergab, dass es diese Woche einen Austausch zwischen Gesundheitsministerium und Arbeitsministerium geben wird, um diesen Aspekt zu erörtern.

9. Können solche Apps die Coronakrise lösen?

Nein, die App ist kein Wundermittel – aber man könnte sie als eine Art Pflaster im Rahmen der gesellschaftlichen Gesamtbehandlung der Pandemie bezeichnen. Es geht eben darum, ein erneutes exponentielles Wachstum der Infizierten zu verhindern. Übrigens ist die App dann besonders wirkungsvoll, wenn der Rest des Gesundheitssystems funktioniert – zum Beispiel, wenn es wirklich zu raschen Tests bei Verdachtsfällen kommt. Wobei die App hierzu eine interessante Zusatzfunktion beinhaltet.

10. Welche Zusatzfunktion bietet die App?

Wer erste Symptome von COVID-19 zeigt, kann in der App einen Symptomcheck durchführen: Deuten die Symptome auf eine Erkrankung hin, kann man die eigenen Kontakte bereits warnen, dass dieser Verdacht besteht. Das Ziel ist also, noch schneller weitere Ansteckungen zu verhindern. Sollte danach aber ein Test zeigen, dass man nicht am Virus erkrankt ist, kann man eine Entwarnung aussenden.

11. Besteht die Gefahr, dass einzelne lügen und aus Spaß in der App angeben, sie seien krank?

Ja, Missbrauch ist möglich. Um diesen etwas einzuschränken, wird die Handynummer gefordert, wenn man einen positiven Test oder einen Verdachtsfall meldet (COVID-19 ist auch eine meldepflichtige Krankheit). Beim Symptomtest ist überdies denkbar, dass manche Menschen ohne böse Absicht falsche Warnungen aussenden: Weil sie zwar Symptome zeigen, diese aber von einer anderen Krankheit ausgelöst werden. Das Rote Kreuz vertritt hier eine interessante Sichtweise: Im Zweifelsfall ist der Rettungsorganisation lieber, dass eine Spur zu viele als eine Spur zu wenig Meldungen gemacht werden. „Es ist besser, wir gehen vorsichtig vor und haben 10.000 Menschen in Quarantäne, als wir gehen unvorsichtig vor und haben dann wieder acht Millionen Menschen in Quarantäne“, sagt Foitik.

12. Nochmal zur Technik: Wie merkt mein Handy, dass ich mit einer infizierten Person Kontakt hatte?

Wie schon erwähnt, sind auf jedem Handy lokal die Kontakte abgespeichert. Regelmäßig fragt die App auf einem Server nach, welche neuen Infektionsmeldungen vorliegen. Diese Meldungen sind verschlüsselt – und nur jene Handys können eine Infektionsmeldung entschlüsseln, die mit dem jeweils infizierten User Kontakt hatten. Das Rote Kreuz kann nicht erkennen, welche Menschen in Kontakt mit dieser Person standen oder wer generell Kontakt zueinander hatte.

13. Was sagen Datenschützer zur App des Roten Kreuz?

Es gibt mittlerweile eine unabhängige Untersuchung der Software. Datenschützer, Juristen und Informatiker von den Organisationen Epicenter.Works, Noyb und SBA Research haben den Quellcode des Programms analysiert (Link: https://epicenter.works/content/analyse-der-stopp-corona-app-unmittelbare-verbesserungen-durch-experten-bericht). Das Konzept ist aus ihrer Sicht datenschutzkonform, wobei sie Verbesserungsvorschläge formulieren. Etliche Anregungen haben das Rote Kreuz und Accenture bereits umgesetzt – so ist zum Beispiel der Quellcode der Software mittlerweile Open Source, also öffentlich einsehbar (siehe https://github.com/austrianredcross/). Einer der Techniker, der diese App überprüfte, ist Christian Kudera, IT-Sicherheitsexperte von SBA Research. „Man hat viel richtig gemacht – wichtig ist aber, dass in naher Zukunft unsere weiteren Empfehlungen umgesetzt werden“, meint er. Auch das Rote Kreuz hat signalisiert, dass noch Änderungen folgen sollen.

14. Muss man Angst haben, dass die App Bewegungsprofile erstellt oder heimlich mithört?

Nein. Zumindest gibt es bei der Software keinen Verdacht, dass diese Standortdaten erfassen oder gar Gespräche aufzeichnen würde. Es stimmt, dass man zur Nutzung der App erlauben muss, das Mikrofon zu verwenden. Dies wird für die Ortung anderer Handys beim „manuellen Handshake“ verwendet. „Wir haben uns natürlich den Quellcode auf genau solche Fragen hin angeschaut – der Quellcode ist auch seit Tagen mittlerweile online und kann von technisch Interessierten überprüft werden. Es gibt bisher kein Anzeichen, dass die App insgeheim etwas Unbehagliches tun würde. Genau deshalb war es so wichtig, dass die Software Open Source wird: Weil jetzt kann jeder solche Fragen überprüfen“, sagt Forscher Christian Kudera von SBA Research. Das Geld für die Entwicklung der Software erhielt das Rote Kreuz von der Uniqa Privatstiftung – das Rote Kreuz betont, dass die Uniqa-Versicherung inhaltlich nicht eingebunden ist und auch keine Daten erhält. Wichtig ist auch, zu verstehen: Es gibt bei der technischen Lösung des Roten Kreuz keinen zentralen Akteur, der weiß, welche User miteinander Kontakt hatten. Diese Information ist lokal auf den Handys gespeichert. Die Software wurde gezielt sehr datenschutzfreundlich entwickelt.

15. Die App wird aber noch weiter überarbeitet?

Genau: Das liegt auch daran, dass sich technisch in den letzten Wochen viel getan hat. „Als wir begonnen haben, die App zu entwickeln, gab es noch gar keinen europäischen Standard dafür – den gibt es bis heute nicht“, sagt Michael Zettel, Geschäftsführer von Accenture Österreich, die die Software entwickelten. Österreich ist genau genommen ein Vorreiter, andere Länder diskutieren bisher erst über eine ähnliche App. In einem nächsten Schritt geht es auch darum, Interoperabilität zu ermöglichen: Derzeit arbeiten unterschiedliche Länder an nationalen Contact-Tracing-Apps. Aber natürlich soll die Software auch dann funktionieren, wenn man die Grenze überschreitet und Menschen trifft, die eine andere App verwenden – und dafür braucht es einen europäischen bzw. globalen Standard.

16. Welche anderen technischen Ansätze gibt es?

Im Wesentlichen kann man alle technischen Ansätze in zwei Gruppen unterscheiden – zentrale und dezentrale Lösungen. Die Grundsatzfrage lautet: Soll die Information möglichst lokal auf den Handys der User gespeichert werden und keine zentrale Stelle Einblick in den Datenfluss haben? Das ist ein dezentraler Zugang. Oder soll es eine zentrale Stelle geben, also einen Server, wo die Information zusammenläuft? Das wäre ein zentraler Zugang. Sowohl zentrale als auch dezentrale Systeme haben Vor- und Nachteile: Etwas vereinfacht gesagt, ist ein zentrales System simpler umsetzbar – weil es nicht zu so vielen Datenabfragen vieler unterschiedlicher Handys kommt, sondern weil ein zentraler Server die Information verwaltet. Gleichzeitig warnen einige Datenschützer vehement vor einer solchen Lösung: Denn wenn ein zentraler Server alle Kontakte registriert, läuft dort (auch wenn das mit Pseudonymen passiert) extrem viel Information über die Bevölkerung zusammen. In autokratischen Ländern stellt sich die Frage, ob eine solche technische Infrastruktur zur Überwachung eingesetzt würde. Und auch in Ländern mit starken Grundrechten und funktionierendem Rechtsapparat besteht die Sorge, dass ein zentraler Server Angriffsziel von Hackern würde. „Die Schattenseite einer zentralen Stelle ist, dass man dieser Stelle komplett vertrauen muss“, sagt Sicherheitsexperte Christian Kudera. Ein dezentrales System ist technisch komplexer – aber es gibt bereits vielversprechende Ansätze hierfür. Das bekannteste Projekt hierzu heißt DP-3T ist.

17. Was steckt hinter dem kryptischen Namen DP-3T?

Die Abkürzung steht für „Decentralised Privacy-Preserving Proximity Tracing“ – an diesem Protokoll arbeiten unter anderem Wissenschaftler der Eidgenössischen Technischen Hochschule Zürich und der École Polytechnique Fédérale de Lausanne. Auf sehr komplexe Weise soll verhindert werden, dass irgendjemand Einblick in die Kontakte der Nutzer bekommt. „Zum Beispiel werden für jeden User täglich eine Vielzahl von pseudonymen und schnell wechselnden Identifikationsnummern berechnet, die er seinen Kontakten mitteilt“, erzählt Kudera. Über solche kryptografischen Verfahren soll erschwert werden, dass ein Hacker oder zentraler Akteur fremde Kontakte nachvollziehen kann. Auch das Rote Kreuz ist an diesem dezentralen Konzept von DP-3T interessiert – und bei einem Umstieg auf dieses geplante Protokoll könnten auch die restlichen Kritikpunkte der österreichischen Datenschützer beseitigt werden.

18. Was kritisieren Datenschützer an der App derzeit?

Hierfür muss man ein bisschen näher auf die Technik eingehen: Kritisiert wird zum Beispiel, dass die „Stopp Corona“-App auch den Online-Dienst p2pkit nutzt. Der Hintergrund ist, dass über Bluetooth Low Energy nur geringe Datenmengen übertragen werden können – und die Kontaktinformation zu groß ist, um sie direkt zwischen zwei Handys auszutauschen. Deswegen wird die Information (konkret: der öffentliche Schlüssel des jeweiligen Users) über den Cloud-Dienst p2pkit weitergeleitet. Die Sorge besteht, dass bei dieser Zwischenspeicherung der Information eine Angriffsfläche für Hacker entsteht. Das mag nach einem technischen Detail klingen, aber dieser Aspekt widerspricht laut Datenschützern dem Prinzip des „privacy by design“. Dieses besagt, dass die Architektur von Apps Datenschutzrisiken schon bei der Konzeption möglichst ausschließen soll. Wenn das Rote Kreuz auf DP-3T umsteigt, fällt dieser Kritikpunkt voraussichtlich weg. Gleichzeitig stellt sich aber auch die Frage, ob Google und Apple mit einer eigenen Lösung vorpreschen, die jener von DP-3T ähnelt.

19. Warum mischen sich Google und Apple ein?

Sie sind die zentralen Hersteller bei dieser Thematik: Laut Accenture laufen in Österreich circa 70 Prozent der mobilen Geräte über Android, das Google gehört, und der Rest über iOS, das Betriebssystem von Apple. Gerade bei iPhones besteht Zugzwang: Wie schon erwähnt, funktioniert das automatische Kontakterfassen bei iPhones derzeit nicht. Das kann nur Apple selbst beheben. „Wir sind auf jeden Fall darauf angewiesen, dass Apple diese Funktion ermöglicht“, sagt auch Zettel von Accenture. Interessanterweise kommt von Datenschützer vorsichtiges Lob gegenüber den beiden Unternehmen: „Wir waren auch sehr skeptisch, was diesen Ansatz von Google und Apple betrifft. Aber die technische Beschreibung, die diese Unternehmen bisher veröffentlicht haben, gehen in die richtige Richtung“, sagt Thomas Lohninger von Epicenter.Works. Laut den bisherigen Unterlagen soll der Ansatz von Google und Apple ebenfalls dezentral sein – bei einem wahrhaft dezentralen Ansatz haben auch Google und Apple keinen Einblick auf die Kontakte der User. Die Unternehmen geben an, von DP-3T inspiriert zu sein. So scheint zumindest zum jetzigen Zeitpunkt der Zugang von Apple und Google datenschutzsensibel zu sein – wobei es natürlich wichtig ist, die weitere Entwicklung zu beobachten.

20. Kurz gesagt: Man weiß noch nicht, welcher Ansatz sich international durchsetzt?

Genau. „Das Rote Kreuz spricht sich ¬– wie wir ¬– für einen dezentralen Zugang aus. Auf welches System wir umsteigen, das hängt von den technischen Details ab, die in den nächsten Tagen und Wochen klar werden“, sagt Zettel von Accenture. Auch gibt es weiterhin Verfechter zentraler Ansätze – dazu zählt Frankreich und bis vor kurzem auch Deutschland. Nach heftiger Kritik schwenkte die deutsche Regierung um und will jetzt auch ein dezentrales Modell.

21. Die Datenschützer setzen sich nun also durch?

Es handelt sich sicher um ein wichtiges Signal, dass auch Deutschland auf ein dezentrales System umschwenkt. In Österreich wiederum nehmen die Datenschutz-Organisationen Noyb und Epicenter.Works eine Aufpasser-Rolle ein: Sie haben gemeinsam mit den Forschern von SBA Research die App untersucht – dafür erhielten sie vom Roten Kreuz kein Geld. Ergebnis dieser unabhängigen Erstprüfung ist, wie schon erwähnt, dass die App ein „gutes Ausgangsniveau“ habe, es aber Veränderungsvorschläge gibt. Das Roten Kreuz und Accenture zeigen sich bisher auch sehr gesprächsbereit, was diese Anregungen der Datenschützer betrifft. Man kann es als enormen Kraftakt beschreiben, wie diese App in nur kurzer Zeit entstanden ist: „Üblicherweise kann man von einem Entwicklungszeitraum von sechs Monaten rechnen. Wir haben das hier in zwei bis drei Wochen entwickelt – und mittlerweile waren mehr als hundert Mitarbeiter und fünfzig externe Personen bei der Verbesserung einbezogen“, sagt Zettel von Accenture.

22. Muss man fürchten, dass diese App verpflichtend wird?

Derzeit erscheint das unrealistisch – aus zwei Gründen: Erstens haben sowohl Grüne als auch die ÖVP mittlerweile betont, dass die App freiwillig bleiben soll. Zweitens gibt es den Einwand, dass ein Zwang schwer umsetzbar wäre. „In der Praxis können Menschen das sehr leicht sabotieren, wenn sie eine solche App nicht nutzen wollen. Sie können die zwar installieren, aber dann einfach die Bluetooth-Verbindung auf ihrem Handy ausschalten. Es ist eher so: Je mehr Druck die Politik macht, dass man diese App installieren muss, desto mehr riskiert sie, dass niemand diese App nutzen will“, sagt Thomas Lohninger von Epicenter.Works. Tatsächlich hat es für einen Aufschrei gesorgt, als Nationalratspräsident Wolfgang Sobotka (ÖVP) in profil erklärt hatte, dass er eventuell für eine Verpflichtung sei. Konkret sagte er: „Wenn evident ist, dass wir die Menschen schützen können, indem die App verpflichtend ist und jeder Kontakt festgehalten wird, dann sage ich dazu: Ja.“ Kurz darauf ruderte Sobotka zurück und meinte, man bleibe beim Weg der Freiwilligkeit. Die SPÖ hat den Rechtsprofessor Nikolaus Forgó von der Universität Wien beauftragt, eine Stellungnahme zu derartigen Apps abzugeben. Dieser hält darin fest: „Nach hier vertretener Auffassung ist – mindestens beim jetzigen Kenntnisstand – der verpflichtende Einsatz von Tracing-Apps als unverhältnismäßig und damit als verboten zu qualifizieren.“

23. Die größte Hürde ist, dass genügend Menschen freiwillig mitmachen?

Genau: In technischer Sicht gibt es einzelne Hürden, etwa, ab wann die automatische Kontakterkennung auch auf iPhones funktioniert. Zum jetzigen Zeitpunkt kann man sagen, dass Contact-Tracing-Apps wohl durchaus so gestaltet sein können, dass sie datenschutzkonform sind – gerade dezentrale Modelle werden von den genannten österreichischen Datenschützern vorgeschlagen. Aber Technik scheint nicht der größte Knackpunkt zu sein: Damit die österreichische App wirklich wirkungsvoll ist, muss das Rote Kreuz in den nächsten Wochen einen signifikanten Teil der Bevölkerung überzeugen, die Software freiwillig zu nutzen. Auch die beste Technik ist eben darauf angewiesen, dass Menschen sie installieren.