„Bestenfalls indirekter Hinweis auf Corona-Kontakt“
Informatikprofessor Frank Kargl sieht die geplante Tracing-App für Covid-19-Infizierte grundsätzlich positiv, weist aber auch auf Schwächen hin
RAVENSBURG - Frankreich und Italien haben schon Corona-TracingApps in Betrieb genommen – Mitte des Monats soll auch die deutsche Variante an den Start gehen. Kontakte von Infizierten sollen so leichter nachverfolgt werden können. Informatikprofessor Frank Kargl vom Institut für Verteilte Systeme der Universität Ulm hat mit Kristina Staab darüber gesprochen, wie sicher und verlässlich die App ist.
Eine praktische Frage vorweg: Muss das Handy an und die App offen sein, damit Kontaktdaten erfasst werden?
Ausgeschaltet darf das Handy nicht sein, im Stand-by-Modus allerdings funktioniert die App weiterhin. Die Kooperation mit Google und Apple ermöglicht, dass die App energiesparend Bluetooth-Nachrichten verschicken kann, ohne vom Betriebssystem beendet zu werden.
Was halten Sie von der Zusammenarbeit mit Google und Apple bei der Entwicklung der deutschen App – speziell im Punkt Datenschutz?
Ich glaube schon, dass es der richtige Weg ist. Zumal Google oder Apple aus den Kontaktnachrichten von anderen Geräten keine weiteren Rückschlüsse oder Informationen über deren Nutzer gewinnen können. Die Betriebssysteme sind im Smartphone-Markt am verbreitetsten und die Smartphones haben meist Bluetooth eingebaut, um die notwendigen Nachrichten verschicken zu können. Darauf können die nationalen Apps aufgesetzt werden, die dann die weitere Datenverarbeitung übernehmen. Hier hat man sich für die dezentrale Lösung entschieden. Ich glaube, dass auch dies die richtige Entscheidung ist, weil sie die Privatsphäre besser schützen kann, als eine zentrale Lösung.
Inwiefern helfen die gerade veröffentlichten Quellcodes der AppSoftware von Telekom und SAP dabei, die Datensicherheit zu beurteilen und zu entwickeln?
Auf diese Art können mehr Fachkundige mögliche Sicherheitsschwachstellen entdecken, über welche Hacker angreifen könnten. Einige Experten
haben schon damit angefangen, den Quellcode zu betrachten. Sie geben ihre Verbesserungsvorschläge an Telekom und SAP weiter. Das macht es den Unternehmen möglich, das System vor dem Start zu verbessern. Nach den ersten Betrachtungen sieht der Quellcode allerdings relativ solide aus. Im Moment ist alles noch sehr frisch, das könnte sich daher möglicherweise in den nächsten Tagen noch ändern. Doch selbst wenn noch gravierende Fehler auftreten würden, könnten sie bis Mitte des Monats noch behoben werden. Die Vorgehensweise stärkt auch das Vertrauen in die App, da nun öffentlich geprüft werden kann, ob der dezentrale Ansatz wie versprochen umgesetzt wird. Das bedeutet, dass mit den erhobenen Daten nichts anderes gemacht wird, als Corona-Kontakte nachzuverfolgen.
Wie sinnvoll ist Bluetooth für die Datenübertragung der App? Die Firma selbst sagt, die Technik sei nicht geeignet, da der Übertragungsweg zu ungenau sei.
Das ist in der Tat das große Fragezeichen für mich hinter all diesen Corona-Tracing-Apps.
Letztlich möchte man aus der Tatsache, dass zwei Handys einen Funkkontakt herstellen können, auf etwas ganz anderes schließen. Nämlich, dass sich zwei Personen über einen längeren Zeitraum in unmittelbarer räumlicher Nähe befunden haben und dadurch ein erhöhtes Infektionsrisiko entsteht. Ob mein Handy diese Nachricht von einem anderen Handy empfängt oder nicht, das gibt bestenfalls einen indirekten Hinweis darauf, ob ich mich anstecken kann. Wenn ich beispielsweise an der Kasse stehe und da ist eine Plexiglasscheibe dazwischen, merkt das Handy das nicht. Umgekehrt kann es sein, dass ich einen relativ großen Abstand habe, aber weil die Funkbedingungen gerade sehr gut sind, werden diese Nachrichten auch über eine größere Entfernung übertragen.
Welche Ansätze gibt es, um die Verlässlichkeit der App zu verbessern? Man versucht aus indirekten Hinweisen die Situation zu erschließen: Wie ist die Signalstärke und wie lange dauert ein Kontakt? Apple und Google wollen weitere Logik einbauen, die versucht herauszufinden, ob ich in Bewegung bin oder mich gerade draußen befinde. All das soll in die Risikobeurteilung einfließen. Große Erfahrungen oder Messungen gibt es dazu einfach noch nicht, obgleich zum Beispiel in Deutschland oder der Schweiz schon Experimente mit dem Militär durchgeführt wurden. An der Stelle ist es ein Stück weit ein Notbehelf. Man widmet die Nutzung der Bluetooth-Technologie um und versucht dann darüber diese Kontaktverfolgung hinzubekommen.