Corona-Warn-App: Letzte Bedenken auf hohem Niveau

Die deutsche Corona-App ist so gut wie fertig, und wird nächste Woche präsentiert. [VALDRIN XHEMAJ/EPA]

Nächste Woche soll die deutsche Corona-Warn-App vorgestellt werden. Diese Ankündigung von Gesundheitsminister Jens Spahn (CDU) bestätigte das Gesundheitsministerium gegenüber EURACTIV Deutschland. Der öffentliche Source Code scheint sauber zu sein, doch Datenschützer fordern weiterhin eine Rechtsgrundlage. 

Die App funktioniert wie eine Art Kontakt-Tagebuch. Per Bluetooth registriert sie alle Gelegenheiten, bei der sich NutzerInnen nah genug waren, um das Virus zu übertragen – allerdings werden nur anonyme Handy-IDs gespeichert, die ständig wechseln. Wird jemand krank, werden alle Risikokontakte gewarnt.

Der Source Code der App ist seit einigen Wochen öffentlich. PrüferInnen geben gute Noten, doch im Gespräch mit EURACTIV Deutschland betont ein Datenschützer: Trotz starker IT-Sicherheit könnte die Privatsphäre noch besser verteidigt werden. Er fordert ein Corona-App-Gesetz.

Frankreichs Regierung stellt Corona-Warn-App vor

„StopCovid“ soll ab der kommenden Woche auf Handys nutzbar sein. Die App warnt Nutzer, wenn sie sich in der Nähe von Corona-Infizierten aufgehalten haben. Dafür wird die drahtlose Bluetooth-Technologie genutzt.

„Auf technischer Ebene weitgehend sauber“

Von der technischen Seite gab es Lob für diese erste Version der App. Es gebe „nichts, was dagegen spricht“, die App zu installieren, schreibt etwa Fabian Scherschel in seiner Code-Analyse auf heise.de. Er fand in seiner ersten Analyse „keine offensichtlichen Sicherheitslücken und Hintertüren“ und lobt den Umgang der EntwicklerInnen mit dem Feedback aus der Zivilgesellschaft. Die Analyse und Conclusio teilt auch Henning Tillmann, Co-Vorsitzender des Vereins „D64 – Zentrum für digitalen Fortschritt“ (und SPD-Mitglied).

 

Ein paar Schwachstellen wurden dennoch gefunden: Scherschel selbst bemängelt, dass die App nicht ausreichend von automatischen Tests durchlaufen wird. Das sei vermutlich der kurzen Entwicklungszeit geschuldet, müsse aber vor Veröffentlichung noch behoben werden, um etwaige Fehler oder übersehene Hintertüren schnell auszumerzen.

Auch bei den Datenbanken fand IT-Sicherheitsexperte Alvar Freude einen Schnitzer. Sollte ein Hacker in die Anwendung vordringen, hat er volle Zugriffsrechte auf die IDs und kann sie veröffentlichen, löschen oder manipulieren. Doch Freude ist optimistisch, dass die EntwicklerInnen hier nachbessern werden, sagt er im Gespräch mit EURACTIV Deutschland: Seine Verbesserungsvorschläge wurden bereits zur Kenntnis genommen. Insgesamt sei die App „auf technischer Ebene weitgehend sauber“, so Freude.

Bundesregierung holt SAP und Telekom bei Corona-App ins Boot

Im Ringen um eine Corona-App zur Eindämmung der Pandemie setzt die Bundesregierung nun auf die Hilfe der beiden deutschen Großkonzerne SAP und Telekom.

Daten in „Code-Hoheit“ von Apple und Google

Das sieht auch Datenschützer Rainer Rehak so, die App sei „so gut, wie man es halt machen kann“. Doch der stellvertretende Vorsitzende der „InformatikerInnen für Frieden und gesellschaftliche Verantwortung“ betont im Gespräch im EURACTIV Deutschland: „Datensicherheit ist nicht gleich Datenschutz“. Denn Erstere helfe ja nur gegen Angriffe von Außen.

Rehak sorgt sich aber um Akteure, die im Inneren der App-Infrastruktur agieren, nämlich Apple und Google. Damit die Corona-App auf ihren Smartphones funktioniert, bauten sie Schnittstellen zwischen Betriebssystem und Anwendung. Der Source Code für diese Schnittstellen ist, im Gegensatz zum Rest der App, nicht veröffentlicht worden. Damit kann ein Teil der App nicht geprüft werden, was für Rehak die Aussagekraft der Code-Prüfungen schmälert.

„Es ist nicht so, dass die Daten bei Google und Apple hochgeladen werden“, sagt Rehak, denn die IDs Infizierter liegen nicht auf deren Servern – wohl aber in der „Code-Hoheit“ der Firmen. Sie können bestimmen, wo die Daten hingehen, sie beispielsweise an Dritte schicken.

Niederlage "für Mensch und Planet": Apple gewinnt Gerichtsverfahren gegen Handyshop

Der Oberste Gerichtshof Norwegens hat dem US-amerikanischen Technologieriesen Apple und seiner Behauptung Recht gegeben, dass eine unabhängige Smartphone-Reparaturwerkstatt durch die Verwendung billigerer Reparaturteile gegen die Markenregeln verstoßen habe.

Vertrauen ist gut, Gesetz ist besser?

Sicherheitsexperte Freude ist da weniger besorgt. Er sehe zwar das Risiko, dass Apple und Google die Daten unsachgemäß verarbeiten könnten, glaubt aber nicht, dass die Firmen daran Interesse hätten. Denn es wäre ein massiver Vertrauensbruch, und besonders Google habe schon jetzt wesentlich bessere Datenquellen. „Die haben das gar nicht notwendig“, so Freude.

Dennoch fordert er, genau wie Rehak, rechtlichen Schutz für die Daten der NutzerInnen durch ein Corona-App-Gesetz. Es sollte klar festlegen, was mit diesen Daten (nicht) geschehen darf, und wie alle AkteurInnen das garantieren müssen.

Die Grünen und die Linke fordern ein solches Gesetz. SPD-Justizministerin Christine Lambrecht hatte in der Vergangenheit gesagt, dass sie sich dagegen nicht verschließen würde. Doch SPD-Digitalexperte Jens Zimmermann sagte gegenüber der Frankfurter Allgemeinen Zeitung, es sei laut Datenschutz-Grundverordnung „für die freiwillige Nutzung keine eigene Rechtsgrundlage notwendig, sofern es sich um eine informierte freiwillige Einwilligung handelt.“

Melden Sie sich für "The Capitals" an

Vielen Dank für das Abonnieren des The Capitals Newsletters!
  • Mit EURACTIV immer auf dem Laufenden!

Subscribe to our newsletters

Subscribe
UNTERSTÜTZEN