Heute ist es soweit. Die lange angekündigte Corona-Warn-App ist da. Mit einer Verspätung von 70 Tagen, vielen Diskussionen und noch mehr Unsicherheit, soll diese App nun die Wunderwaffe bei der Bekämpfung der Covid-19 Pandemie sein. Doch hält die App was sie verspricht und wie sieht es mit dem viel beschworenen Datenschutz aus?
Ziel der App ist es, die Ausbreitung des Virus unter Kontrolle zu halten, indem man Infektionsketten einfacher nachvollziehen kann. Durch eine automatische Benachrichtigung von Personen, die mit Infizierten in Kontakt gekommen sind, sollen Verbraucher frühzeitig gewarnt werden. Bisher haben die Gesundheitsämter mühsam per Telefon potenzielle Kontaktpersonen abtelefoniert, was erhebliche personelle Kapazitäten verschlungen hat.
Anders als Israel und China, setzt Deutschland auf eine Tracing-App. Hierdurch wird unter Verwendung der Bluetooth-Technologie nur erfaßt, ob eine Kontaktperson sich zwei Meter von einem Infizierten befunden hat. Anders als bei anderen Methoden, sollen keine Bewegungsdaten mittels GPS oder Mobilfunknetz erfaßt werden. Dieses Verfahren gilt als besonders datenschutzfreundlich, weil die Daten der Nutzer nur auf dem eigenen Handy gespeichert werden.
Ein abschließender Prüfbericht fehlt bislang
Der Quellcode der App ist offen einsehbar und soll den Eindruck von Transparenz vermitteln. Das macht es möglich, daß auch unabhängige Stellen sich von der Sicherheit der Corona-Warn-App überzeugen können. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) stufen die App als sicher ein. Der vom BSI mit der Prüfung der App beauftragte TÜViT untersuchte die von SAP und der Deutschen Telekom-Tochter T-System entwickelte App auf Sicherheits- und Datenschutzaspekte. Ein abschließender Prüfbericht liegt jedoch nicht vor. Tatsächliche Transparenz beim Umgang mit unseren Daten sieht anders aus und erklärt, wieso viele Bürger noch skeptisch sind.
Laut Angaben der Bundesregierung ist die Nutzung der App freiwillig. Arbeitgeber, die darauf bestehen, daß eine Rückkehr an den Arbeitsplatz nur möglich sei, wenn man die App nutzt, könnten sich strafbar machen. Gleiches gilt für Restaurants, die den Zugang nur für App-Nutzer ermöglichen wollen. Doch der Eindruck der Freiwilligkeit schwindet vor dem Hintergrund der massiven Werbekampagne der Bundesregierung und könnte zu einer Stigmatisierung von App-Verweigerern führen.
Bluetooth als Einfallstor für Hacker
Hinzu kommt, daß die App nicht von allen genutzt werden kann. So benötigen Besitzer von Android-Geräten mindesten Version 6.0 und Apple-Nutzer Geräte mit iOS 13.5, was ältere Geräte ausschließt. Außerdem muß die Bluetooth Funktion des Gerätes dauerhaft eingeschalten sein. Dies führt nicht nur zu einem erhöhten Akkuverbrauch, sondern birgt auch Sicherheitsrisiken.
Fremde können per Bluetooth-Hack Zugriff auf das Smartphone erhalten und so private Daten erbeuten. Bereits im September 2017 warnte das BSI vor erheblichen Sicherheitslücken bei Bluetooth-Geräten. Über fünf Milliarden Geräte waren damals von der „Blueborn“-Sicherheitslücke betroffen. Die wurde zwar geschlossen und seitdem besteht keine größere Möglichkeit, das Bluetooth-System zu hacken, es bleibt jedoch die Empfehlung des BSI: „Grundsätzlich (…), Bluetooth und andere Kommunikationskanäle wie etwa W-Lan nur dann zu aktivieren, wenn sie tatsächlich gebraucht werden.“
Was geschieht nach Corona?
Ein weiteres Manko der App ist der Schutz vor falschen Infektionsmeldungen. So können Nutzer der Corona-Warn-App freiwillig angeben, wenn sie positiv auf das Virus getestet wurden. Um einen Mißbrauch vorzubeugen, werden die Informationen aber erst dann an andere App-Nutzer gesendet, wenn sich der Infizierte mittels eines QR-Codes durch ein Testlabor verifiziert hat. Nicht alle Labore bieten aber einen solchen QR-Code an. Die Alternative dazu ist, die Meldung einer Infektion mittels TAN-Eingabe zu verifizieren, den TAN erhält man telefonisch. Spätestens hier ist es aber dann vorbei mit der Anonymität.
Was bleibt, wenn wir diese Pandemie überstanden haben? Immerhin ist das 20 Millionen Euro teure Projekt dann auf Tausenden Smartphones installiert. Klar ist, daß dies am Ende kein großes soziales Experiment werden darf. Was dabei rauskommt, wenn man vorschnell handelt, hat man beim Patriot Act nach dem 11. September in den USA gesehen. Daher bleibt abzuwarten, ob die Corona-Warn-App tatsächlich das entscheidende Mittel bei der Pandemiebekämpfung darstellt. Oder wird es nur ein weiteres Millionengrab, das von einem Großteil der Bevölkerung mit Mißachtung gestraft wird?