computerwoche.de

Mobile & Apps

Was gibt man über sich preis?

Corona-Warn-App im Check

04.08.2020
Von Andreas Hitzig
Seit Mitte Juni steht die Corona-Warn-App der Bundesregierung zum Download bereit. Im Vorfeld gab es viele Diskussionen rund um den Datenschutz und die Privatsphäre der Bürger. Wir haben die App näher untersucht und zeigen Ihnen, wie gläsern Sie bereits davor waren.

Die Corona-Warn-App der Bundesregierung hatte einen fulminanten Start. Nach zwei Tagen wurde sie laut RKI bereits fast acht Millionen Mal heruntergeladen. Mit der App soll es einfacher werden, Corona-Infektionen nachzuverfolgen. Dazu wird über Bluetooth untersucht, ob sich zwei Smartphone-Besitzer 15 Minuten oder länger in einem Abstand von zwei Metern oder weniger zueinander aufhalten. Die Besonderheit der App: Wird ein Nutzer positiv getestet und hinterlegt diese Information anschließend in der App, bekommen alle Personen, die sich in der Nähe der Person aufgehalten haben, eine Benachrichtigung. Erhalten Sie über die App einen entsprechenden Hinweis, dürfen Sie sich auf Kassenkosten testen lassen, auch wenn Sie noch keine Symptome zeigen.

Die Corona-Warn-App hat in Punkto Datenschutz viel Aufsehen erregt. Doch war das gerechtfertigt?
Die Corona-Warn-App hat in Punkto Datenschutz viel Aufsehen erregt. Doch war das gerechtfertigt?
Foto: coronawarn.app

Bei der Entwicklung der App wurde besonderer Wert auf Freiwilligkeit und Datenschutz gelegt. Sowohl die Installation der App als auch das Hinterlegen eines positiven Testergebnisses in der App sind freiwillig. Außerdem darf Personen, welche die App nicht verwenden, kein Nachteil entstehen. So ist es beispielsweise Restaurants oder Geschäften nicht gestattet, den Zutritt von der Nutzung der App abhängig machen.

Corona-Warn-App: Erste Erfahrungen

Wir hatten die App direkt nach dem Erscheinen auf ein Android-Smartphone mit Android 10 heruntergeladen. Dort hat die App im Hintergrund unauffällig ihren Dienst verrichtet. Negative Auswirkungen auf die Akkulaufzeit haben wir nicht bemerkt. Ein Blick in die Verbrauchsstatistik des Akkus zeigt, dass die Entwickler gute Arbeit geleitet haben. Obwohl wir die App mehrfach im Vordergrund aufgerufen hatten, waren die Verbrauchswerte nicht höher als gut ein Prozent des Gesamtverbrauchs. Da waren die Hintergrundaktivitäten unserer Fitness-App doppelt so hoch, obwohl wir diese kein einziges Mal gestartet hatten.

Andere Nutzer scheinen jedoch deutliche Probleme bei der Installation oder mit dem Betrieb der App gehabt zu haben. Bereits nach einem Tag berichtete die Vorsitzende des Bundesverbandes der Ärzte im öffentlichen Gesundheitsdienst, Ute Teichert, dass vor allem ältere Menschen Schwierigkeiten hätten. Die Hilfefunktion innerhalb der App beantwortet viele Fragen, allerdings müssen Sie erst einmal die App installiert haben, um zu dem Punkt zu gelangen. Alternativ dazu finden Sie die Hilfefunktion auch auf einer eigens eingerichteten Website der Bundesregierung.

Die Hotline-Nummer hat im Test gut funktioniert, und wir hatten uns recht schnell durch die Menüs navigiert. Wie bei jeden anderen Hotline werden Sie durch einige klärende Fragen zielsicher zum richtigen Ansprechpartner geleitet. Viel mehr hätte man als Bundesregierung aus unserer Sicht für die Betreuung der Nutzer bei technischen Problemen nicht machen können.

Systemvoraussetzungen: Probleme und Kritik

In der Corona-Warn-App sehen Sie, ob Sie mit einer infizierten Person in den letzten 14 Tagen Kontakt hatten. Außerdem sollten Sie dort hinterlegen, falls Sie positiv getestet wurden – alles natürlich anonym.
In der Corona-Warn-App sehen Sie, ob Sie mit einer infizierten Person in den letzten 14 Tagen Kontakt hatten. Außerdem sollten Sie dort hinterlegen, falls Sie positiv getestet wurden – alles natürlich anonym.

Berechtigte Probleme gibt es jedoch bei den Systemvoraussetzungen: Während bei Android die Messlatte mit Android 6 noch recht niedrig liegt, fordert die App auf der Apple-Seite mindestens iOS 13.5. Diese Betriebssystemversion steht für alle iPhones ab Modell 6S zur Verfügung. Laut einer Übersicht von Statcounter aus dem Mai 2020 setzen rund zehn Prozent der Android-Nutzer noch eine Version ein, die älter als Android 6 ist. Außerdem gehen Statistiken aktuell davon aus, dass rund 23% aller iPhone-Anwender noch nicht die aktuelle iOS-Version nutzen, obwohl sie dies technisch könnten.

Aktuell gibt es keine verlässliche Statistik, wie viele iPhones 6 oder älter noch im Einsatz sind. Schätzungen gehen aktuell davon aus, dass rund zehn Prozent der in Deutschland verwendeten Geräte aktuell nicht die Systemanforderungen für die Corona-Warn-App erfüllen. Dazu gehören im Übrigen auch die neuesten Huawei-Geräte, die nicht mehr mit dem Google Play Store ausgeliefert werden. Huawei hat darüber hinaus auch bekannt gegeben, die fehlenden Voraussetzungen für diese Smartphones nachzuliefern, und in Aussicht gestellt, dass die App ab Anfang Juli auch auf Geräten funktioniert, die keinen Play Store mehr erhalten.

Die Anforderungen hätte man sicherlich niedriger setzen können – vor allem auf iOS-Seite, denn die Funktionen der App verlangen nicht zwingend aktuelle Technologie.

Datenschutz: Deutscher Perfektionismus

Die Telekom und SAP haben den Programmcode der App als Open Source für alle Interessierten zur Einsicht bereitgestellt. Es gab eine rege Beteiligung Außenstehender während der Programmierung der App.
Die Telekom und SAP haben den Programmcode der App als Open Source für alle Interessierten zur Einsicht bereitgestellt. Es gab eine rege Beteiligung Außenstehender während der Programmierung der App.

Da die Funktionen der Corona-Warn-App letztendlich doch sehr überschaubar sind, bleibt die Frage, warum die Entwicklung der App so lange gedauert hat. Dies liegt sicherlich an der Umsetzung des Datenschutzes, der generellen Sicherheit sowie dem allgemeinen Wunsch nach Transparenz hinsichtlich der Umsetzung.

Die Bundesregierung hat den Auftrag für die Entwicklung der App an die Deutsche Telekom und SAP vergeben. Laut unterschiedlichen Pressemitteilungen soll die Entwicklung der App rund 20 Millionen Euro gekostet haben. Dafür hat die in Deutschland lebende Bevölkerung eine App erhalten, deren Programmcode frühzeitig als Open-Source-Code auf der Entwicklungsplattform GitHub zur Verfügung gestellt wurde. Laut SAP gab es über die komplette Entwicklungszeit hinweg über 100.000 Einzelbesuche auf der GitHub-Projektwebsite und über 7000 Beteiligungen. Daraus sollen nach Angaben der Bundesregierung auch 285 Verbesserungsvorschläge entstanden sein.

Wesentlich wichtiger war aber die Transparenz des Programmcodes: Experten konnten sich frühzeitig ein Bild über die Entwicklung machen, auf Schwachstellen hinweisen und damit auch für einen optimalen Schutz jedes einzelnen Nutzers sorgen.

Damit die App trotz aller Transparenz keine Sicherheitslücken besitzt, wurde vor der Veröffentlichung noch durch die auf IT-Sicherheit spezialisierte Tochter TÜViT des TÜV Nord eine Überprüfung der App durchgeführt. Diese hat rund zwei Wochen gedauert und einige Mängel zutage gebracht, die an die Entwickler gemeldet und daraufhin behoben wurden. Auf der Website von TÜVIT finden Sie einen ausführlichen Bericht zum Test und den Ergebnissen. Dort gibt es auch eine Verlinkung zum SWR-Podcast, in dem der TÜViT-Experte Markus Bartsch Auskunft zur Sicherheit der Corona-App gibt.

Wie sieht es mit der Sicherheit aus?

Zahlreiche Sicherheitsexperten haben den Programmcode der App genau analysiert. Zusätzlich gab es einen Pentest durch die Sicherheitsexperten von TÜViT.
Zahlreiche Sicherheitsexperten haben den Programmcode der App genau analysiert. Zusätzlich gab es einen Pentest durch die Sicherheitsexperten von TÜViT.

Vor allem im Hinblick auf die Sicherheit gibt es wenig Grund zur Kritik. Dank der dezentralen Speicherung der Daten bleiben Sie zu jedem Zeitpunkt der Nutzung anonym, bei der Installation ist keine Registrierung notwendig. Ihr Smartphone bzw. die installierte App tauscht mit anderen Geräten, sofern die Kriterien erfüllt sind, Zufallscodes aus und speichert diese in der lokalen Datenbank.

Wird eine Person, welche die App installiert hat, im Nachgang positiv getestet, kann sie das Ergebnis in der App hinterlegen. In diesem Fall werden alle Kontaktpersonen über das Ergebnis informiert und bekommen in der App eine Warnung angezeigt. Hierfür ist dann ein zentraler Server notwendig. Aber auch dabei werden keine personenbezogenen Daten gespeichert. Besonders wichtig war den Entwicklern, dass zu keinem Zeitpunkt Rückschlüsse auf Sie als Nutzer sowie auf Ihren Standort möglich sind.

Trotz allem benötigt die Android-App zusätzlich zu Bluetooth noch eine aktivierte Standortermittlung auf Ihrem Smartphone. Nur dann ist auch die Ortung Ihres Smartphones per Bluetooth möglich. Diese Berechtigung ist innerhalb des Android-Betriebssystems jedoch so aufgesetzt, dass nicht zwischen den genutzten Quellen – also WLAN, GPS, Mobilfunknetz und Bluetooth – unterschieden wird. Sind die Standortdienste nicht aktiv, erhalten Sie nach der Installation eine entsprechende Benachrichtigung angezeigt. Innerhalb der AGBs der App wird in Paragraph 7b) explizit darauf hingewiesen, dass keine Standortdaten erhoben werden.

Besitzen noch andere Länder eine nationale Corona-App?

Nicht nur Deutschland hat eine Corona-Warn-App im Einsatz. Auch Spanien, Italien, Island, Großbritannien und Australien haben bereits eigene Lösungen entwickelt.

In Island ist die App seit April im Einsatz und wird von rund 40 Prozent der Bevölkerung genutzt. Sie verwendet für die Lokalisierung der Smartphones GPS, was deutlich ungenauer als Bluetooth ist. Dadurch ist der Nutzen laut Berichten recht gering. Die Lösungen aus Italien und Spanien bauen wie die deutsche App auf eine dezentrale Speicherung der Daten und setzen Bluetooth als Kommunikationsprotokoll ein.

Eine der ersten Implementierungen gab es in Australien bereits im April. Laut australischem Fernsehen blieb der gewünschte Erfolg allerdings aus, und es wurde bisher keine Infektion identifiziert, die nicht auf herkömmlichem Weg bekannt geworden wäre.

Andere Länder wie Großbritannien und Frankreich haben sich für eine zentrale Speicherung der Daten entschieden. Da dies von Google und Apple nicht mit einer Standard-Schnittstelle unterstützt wird, ist der Entwicklungs- und Testaufwand deutlich höher. Bis Mitte Juni gab es für die beiden Apps auch noch keinen verbindlichen Veröffentlichungstermin.

Bei Google und Apple sind Sie bereits heute der gläserne Nutzer

In der Zeitachse von Google Maps finden Sie genaue Angaben, wo Sie an einem bestimmten Tag und zu einer bestimmten Uhrzeit gewesen sind. Google weiß somit genau, was Sie wann unternommen haben.
In der Zeitachse von Google Maps finden Sie genaue Angaben, wo Sie an einem bestimmten Tag und zu einer bestimmten Uhrzeit gewesen sind. Google weiß somit genau, was Sie wann unternommen haben.

In den meisten Ländern gab es bereits im Vorfeld sehr viel Kritik von Datenschützern, als die Idee der Corona-Warn-App aufkam. Dabei geben die meisten Smartphone-Nutzer bereits heute an verschiedensten Stellen sehr bereitwillig ihre Daten preis. Werfen Sie nur mal einen Blick in Ihre persönliche Zeitachse unter Google Maps. Sie finden diese in der App über das Kontosymbol in der rechten oberen Ecke.

Die App trackt genau mit, wo Sie zu welchem Zeitpunkt waren, und speichert auch Ihre Gewohnheiten ab. Wenn Sie in Ihrem Fahrzeug Android Auto verwenden, bekommen Sie als Navigationsziele die Orte angeboten, die Sie normalerweise um diese Uhrzeit ansteuern. Das ist jedoch nicht alles, was Google an Daten über Sie gespeichert hat. Wenn Sie sich über den Browser an Ihrem Google-Konto anmelden und in das Menü „Daten und Personalisierung“ gehen, dann sehen Sie unter „Aktivitäten und Zeitachse“ nicht nur, wo Sie überall im Internet mit dem Chrome Browser unterwegs waren, sondern auch, welche Apps Sie wann auf Ihrem Android-Smartphone genutzt haben.

In Ihrem Google-Konto sehen Sie, welche Daten Google in der Cloud über Sie gespeichert hat. Sie werden erstaunt sein, wie viel Google bereits über Sie weiß.
In Ihrem Google-Konto sehen Sie, welche Daten Google in der Cloud über Sie gespeichert hat. Sie werden erstaunt sein, wie viel Google bereits über Sie weiß.

Recht beeindruckend ist auch die Weltkarte, auf der Sie genau nachverfolgen können, an welchen Tagen Sie welche Orte besucht haben. Google führt darüber genau Buch – auch von Ereignissen die schon Jahre zurückliegen. Natürlich können Sie den Standortverlauf auch komplett löschen und die künftigen Aufzeichnungen unterbinden. Den Ausschalter finden Sie auf Ihrem Android-Smartphone in der Google-Maps-App über Ihren „Benutzer“, dann „Einstellungen“ und „Google-Standorteinstellungen“.

In den Einstellungen von Google Maps können Sie festlegen, ob Ihr aktueller Standort aufgezeichnet werden soll.
In den Einstellungen von Google Maps können Sie festlegen, ob Ihr aktueller Standort aufgezeichnet werden soll.

Die Sammelwut Ihrer Positionsdaten ist unter iOS nicht ganz so ausgeprägt. Trotz allem werden auch hier besuchte Orte lokal auf Ihrem Gerät gespeichert. Sie finden die aktuell gespeicherten Orte in den Einstellungen unter „Datenschutz –> Ortungsdienste –> Systemdienste –> Wichtige Orte“ und können sie an dieser Stelle auch löschen sowie generell deaktivieren.

Welche Apps haben bereits heute Zugriff auf Ihren Standort?

Unter Android sehen Sie im Berechtigungsmanager, welche Apps aktuell auf Ihren Standort zugreifen dürfen. Sie ändern dies direkt aus der Liste heraus.
Unter Android sehen Sie im Berechtigungsmanager, welche Apps aktuell auf Ihren Standort zugreifen dürfen. Sie ändern dies direkt aus der Liste heraus.

Nicht nur die Apps von Google und Apple haben aktuell Zugriff auf Ihre Positionsdaten. Sie haben vermutlich auch anderern Apps während der Installation oder im Rahmen der Nutzung den Zugriff auf Ihre Positionsdaten erlaubt – sonst funktionieren viele der Apps auch gar nicht.

Unter Android lassen Sie sich dies über die „Einstellungen –> Apps & Benachrichtigungen –> Berechtigungsmanager“ genauer anzeigen. Die Berechtigung „Standort“ zeigt Ihnen, welche Apps auf Ihre Positionsdaten entweder immer oder nur während der Nutzung zugreifen dürfen. Sie ändern eine Berechtigung aus dieser Ansicht heraus direkt, indem Sie die App antippen und das Zugriffsverfahren anpassen.

Unter iOS sehen Sie unter „Einstellungen –> Datenschutz“, welche Apps auf den Standort zugreifen möchten und welche Berechtigungen im Einzelfall vergeben sind. Hintergrundaktivitäten, wie bei Android der Standard, sind bei iOS für die Ortungsdienste nicht vorgesehen. Sie kommen allerdings im Bereich der Systemdienste vor – es lohnt sich, noch einen Blick in dieses Untermenü zu werfen.

Unser persönliches Fazit

Durch die Corona-Warn-App werden wir in Deutschland sicherlich nicht zum gläsernen Nutzer. In vielen Fällen waren wir das bereits zuvor. Gerade wenn Sie ein Android-Smartphone verwenden und viele Dienste – angefangen vom Google Chrome bis hin zu Android Auto – aktiv nutzen, bekommt Google sehr schnell ein klares Bild von Ihnen. Am Ende müssen Sie entscheiden, wie viele Informationen Sie preisgeben möchten. Denn auch mit weniger Freizügigkeit lassen sich die meisten Google-Dienste genauso verwenden.

Um dem steigenden Unwillen der Nutzer, persönlichen Daten preiszugeben, entgegenzusteuern, hat Google eine Umfrage-App gestartet. Über sie können Sie regelmäßig an Umfragen etwa über Ihr aktuelles Einkaufsverhalten, das gewählte Bezahlverfahren bis hin zu Ihrer Berufsbildung teilnehmen. Natürlich bekommen Sie auch etwas für die Preisgabe der Informationen: meist einige Cent als Gutschein für Einkäufe im Google Play Store. Mit diesen gezielten Fragen gelingt es Google, die noch bestehenden Lücken in Ihrem Profil zu stopfen. (PC-Welt)