Mobilfunk einfach erklärt: Die Corona-Warn-App
Seit dem 16. Juni steht die kostenlose Warn-App der Bundesregierung zur Eindämmung des Coronavirus zum Download bereit. Schon am zweiten Tag nach der Veröffentlichung wurde die App millionenfach installiert.
Die neue Corona-Warn-App soll helfen, das Infektionsgeschehen in Deutschland besser kontrollieren und Infektionsketten einfacher zurückzuverfolgen. Per Bluetooth scannt die App ihre Umgebung, um sich mit anderen Smartphones in der Nähe auszutauschen. Anonym werden Kontaktdaten gespeichert. Hinterlegt ein Nutzer in seiner App, dass er oder sie positiv auf COVID-19 getestet wurde, schlägt die App auf den Smartphones seiner Kontakte Alarm. „Die App ist nicht die Erste, aber die Beste“, erklärte Kanzleramtsminister Helge Braun bei deren Vorstellung. Im Gegensatz zu anderen Ländern regelt Deutschland die Nutzung der App nicht per Gesetz, sondern setzt auf Freiwilligkeit.
Tracing ist nicht Tracking
Die App nutzt die Bluetooth-Low-Energy-Technik, um den Abstand und die Begegnungsdauer zwischen Personen, die ebenfalls die App installiert haben, zu messen. Im Falle einer Identifikation tauschen die Telefone anonymisierte Kontakt-IDs aus, die dezentral auf dem jeweiligen Handy gespeichert werden. Um das Erstellen von Bewegungsprofilen auszuschließen, werden die zufällig generierten, pseudonymen Identifikationsnummern regelmäßig geändert. Nach zwei Wochen wird das Kontakttagebuch automatisch aus dem Speicher des Smartphones gelöscht. Das entspricht der angenommenen maximalen Inkubationszeit des Coronavirus.
Wer sich länger als 15 Minuten in der Nähe eines später positiv auf COVID-19 getesteten App-Nutzers aufgehalten hat, bekommt per Push-Nachricht eine Warnung – vorausgesetzt beide Parteien haben die App aktiviert. Ist die App erst einmal runtergeladen, informiert ein Startdialog über die Funktionsweise. Im nächsten Schritt wird es entscheidend: Um die Risiko-Ermittlung zu aktivieren, müssen die Nutzer*innen dem sogenannten „Tracing“ zustimmen. Anders als bei Tracking-Technologien, erfasst das Tracing keine persönlichen Daten oder überwacht den Aufenthaltsort – etwa über GPS. Anschließend fragt das Smartphone nach der Erlaubnis für das COVID-19-Kontaktprotokoll sowie die Aktivierung der Bluetooth-Funktion. Beides muss ab dann dauerhaft eingeschaltet bleiben.
Risiko-Ermittlung, -Status und Testregistrierung
Insgesamt verfügt die App über drei wesentliche Funktionen: die Risiko-Ermittlung, den Risiko-Status und die Testregistrierung. Ermittelt wird das Risiko durch vier Faktoren: wie lange der Kontakt zurückliegt, wie lange die Begegnung dauerte, wie stark das Bluetooth-Signal war und wie die Krankheit des Infizierten verläuft. Zeigt die App ein „Erhöhtes Risiko“ an, hatte der Nutzer innerhalb der vergangenen 14 Tage eine Begegnung mit mindestens einer positiv getesteten Person. Die App gibt jetzt Handlungsempfehlungen. Der Risiko-Status leitet sich aus der Risiko-Ermittlung ab und wird alle 24 Stunden aktualisiert. Eine Farbskala symbolisiert die etwaige Gefahrenlage: Grau bedeutet, dass noch nicht genug Daten zur Verfügung stehen, Grün zeigt ein niedriges und Rot ein erhöhtes Infektionsrisiko an.
Die komplexeste Funktion ist die Testregistrierung. Wer positiv auf COVID-19 getestet wurde, trägt das Testergebnis selbstständig in die App ein. Um einen Missbrauch zu verhindern, muss dieser Status durch einen QR-Code, den man vom Testlabor erhält, offiziell bestätigt werden. Alternativ kann eine TAN von einer Telefon-Hotline angefordert werden. Anschließend sendet die App eine Liste mit den eigenen Kontakt-IDs inklusive der Zeitangabe sowie einen Bestätigungscode an einen zentralen Server. Dieser ermittelt durch die Kurzidentifikationsnummer alle Smartphones, die in den vergangen 14 Tagen Kontakt mit der Corona-positiv getesteten Person hatten und sendet eine entsprechende Warnung.
Offener Quellcode soll vor Missbrauch schützen
Der gesamte Quellcode der App ist offen und steht unter einer anerkannten Open-Source-Lizenz. Datenschützer*innen und Sicherheitsforscher*innen können damit unabhängig überprüfen, wie und ob die App funktioniert, welche Daten übermittelt werden und wo es etwaige Schwachstellen gibt. Insgesamt seien vor der Veröffentlichung der App rund 7.000 Verbesserungsvorschläge aus der IT-Community eingegangen, berichteten die an der Entwicklung beteiligten Unternehmen. Der Programmcode für die Android- und die iOS-Version steht auf der Plattform Github bereit.