Suchen

Die deutsche Corona App ist da

| Redakteur: Kristin Rinortner

Schon im April sollte die deutsche Corona-Warn-App kommen. Ab Dienstag kann sie nun im Google Play Store und im Apple Store heruntergeladen werden. Was bietet sie, wie funktioniert sie und wie sicher ist die App?

Firma zum Thema

Corona-Warn-App: So sieht die benutzerfreundliche Oberfläche der deutschen Variante aus.
Corona-Warn-App: So sieht die benutzerfreundliche Oberfläche der deutschen Variante aus.
(Bild: SAP / Telekom)

Seit Dienstag morgen (16. Juni 2020) können sich Nutzer die deutsche Corona-Warn-App im Google Play Store oder im Apple Store herunterladen. Unterstützt werden die Betriebssysteme ab iOS 13.5 (also ab iPhone 6s und iPhone SE) sowie ab Android 6 (d.h. ab Marshmallow) und Google Play Services. Der Name der App ist „Corona-Warn-App“, der angegebene Anbieter ist das Robert-Koch-Institut. Auf Huawei-Smartphones funktioniert die App nicht.

Die App ist kein „Allheilmittel“

Damit Sie die richtige App finden: So sehen die Einträge zur deutschen Corona-Warn-App in Google Play (links) und im Apple App Store (rechts) aus.
Damit Sie die richtige App finden: So sehen die Einträge zur deutschen Corona-Warn-App in Google Play (links) und im Apple App Store (rechts) aus.
(Bild: Google Play / Apple App Store)

Die App sei kein „Allheilmittel“, betonen Regierungskreise, sondern sie leiste einen Beitrag (neben Hygiene-Maßnahmen, Abstandhalten und Maskentragen) zur Unterbrechung von Infektionsketten. Die Nutzung erfolge freiwillig, man setze dabei auf die Eigenverantwortung der Bürger. Die App ist mehrsprachig: in der ersten Stufe in Deutsch und Englisch und später auf Türkisch, Arabisch, Französisch und Russisch. Das soll auch für die Hotline gelten.

Wichtig ist der Regierung in den nächsten Monaten auch eine interoperable Lösung mit anderen Staaten, die einen dezentralen Ansatz nutzen, beispielsweise Österreich und die Schweiz. Die Kompatibilität zur französischen Zentral-App sei dagegen schwierig. Hier müssen vorerst beide Apps installiert werden.

Die Entwicklungskosten beliefen sich laut Informationen aus dem Gesundheitsministerium auf ca. 20 Mio. Euro netto und lagen damit am unteren Ende des veranschlagten Budgets. Die Betriebskosten werden mit 2,5 bis 3,5 Mio. Euro / Monat beziffert, die zum überwiegenden Teil durch zwei Hotlines (Technikfragen sowie Verifikations- und Plausibilitätsprüfungen) verursacht werden.

So funktioniert die App

Die deutsche Tracing App basiert auf Bluetooth LE und einem dezentralen Ansatz zur Datenspeicherung. Die verwendete Technologie zur Abstandsmessung über die Signalstärke des Bluetooth-Signals ist Entwicklerkreisen zufolge weltweit einzigartig.

Wie die App funktioniert, beschreibt das Solution-Architecture-Dokument auf GitHub, wo auch der gesamte Code, die Architektur und Konzepte offengelegt sind. Damit lösten die Entwickler (SAP und Telekom) das Versprechen ein, die Tracing-App möglichst transparent zu machen. Seit der Veröffentlichung des ersten digitalen Bestandteils am 18. Mai 2020 gab es laut Aussage von Jürgen Müller (CTO SAP) 2100 Verbesserungsvorschläge (Kommentare) und 1500 Vorschläge zu Code-Veränderungen. Das System wird auch nach dem Launch mit jedem Update verbessert werden.

Die App auf dem Smartphone sendet und empfängt via Bluetooth pseudonymisierte Schlüssel (RPI, sich ändernde IDs), die lokal auf dem Smartphone gespeichert werden, wenn bestimmte Zeit- und Abstandsvorgaben erfüllt werden. Im Fall eines positiven Tests kann der Infizierte seinen verifizierten Diagnoseschlüssel auf einen Server des Robert-Koch-Instituts hochladen (via QR-Code oder TAN).

Alle Smartphones mit der App empfangen in regelmäßigen Abständen (etwa alle 2,5 bis 5 min) diese Schlüssel und prüfen, ob sie ein Schlüssel-Pendent gespeichert haben. Eine Übereinstimmung bedeutet, dass eine Begegnung mit einer Corona-infizierten Person in den letzten 14 Tagen stattgefunden hat. Alle weiteren Schritte (Anruf bei der Hotline 116/117, Test beim Arzt, Quarantäne, Hochladen des eigenen QR-Codes bei bestätigter Infektion…) liegen in der Eigenverantwortung des App-Nutzers.

Wie sicher ist die App?

Der Ansatz bietet laut Informationen der Entwickler ein Höchstmaß an Datenschutz und Datensicherheit und sei per Bot nicht manipulierbar. Es sei keine selbstlernende App, es würden auch keine GPS-Informationen oder Geodaten gespeichert.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zudem den TÜV Informationstechnik (TÜViT) auf dessen Angebot hin beauftragt, die App auf mögliche Sicherheitslücken in der App und in der Infrastruktur (Pentest) zu prüfen, damit sie Angriffen von außen bestmöglich widersteht.

Eine 100%ige Sicherheit gäbe es jedoch nie, davon geht man auch beim Bundesministerium des Inneren aus. Bei der deutschen Corona-App dürften zwei Punkte problematisch sein: Die Bestätigung der Infektion durch den Plausibilisierungs-Fragenkatalog über die Hotline, wenn man seinen Barcode verloren hat oder die Labore nicht über die entsprechenden Möglichkeiten verfügen, QR-Codes zu generieren und man eine TAN geschickt bekommt. Hier wird die Anonymität mit der Übermittlung der Telefonnummer aufgegeben und es besteht auch ein Risiko des Missbrauchs.

Update 16.6.2020, 13:00 Uhr: Alle Labore sollen laut Timotheus Höttges (CEO Telekom) in den nächsten vier Wochen digital angebunden sein. Aktuell seien etwa 20% der Labore digitalisiert.

IT-Experten, wie das Team der Technischen Universität Darmstadt, der Universität Marburg und der Universität Würzburg, dokumentierten Sicherheitsrisiken beim sogenannten „Google Apple Protokoll“ (GAP). Sie zeigten, dass GAP einerseits anfällig ist für die Erstellung von Profilen und so möglicherweise die De-Anonymisierung von infizierten Personen erlaubt.

Andererseits sind im GAP auch so genannte Relay- oder Wurmloch-Angriffe möglich, wodurch Angreifer falsche Kontaktinformationen generieren können und somit die Genauigkeit und Korrektheit des Gesamtsystems leidet. Insbesondere Google Location History könnte eine Hintertür zur De-Anonymisierung der Daten durch Google sein.

Wie zuverlässig traced die App?

Da das Funkverfahren Bluetooth zur Datenübertragung und nicht für die Abstandsmessung entwickelt wurde, sind Fehlalarme wahrscheinlich. Bei der Abstandsmessung mittels Bluetooth LE wird aus der Signalstärke die Entfernung geschätzt. Jedes Smartphone-Modell hat unterschiedliche Signalstärken, das Signal wird zudem durch Hindernisse unterschiedlich gedämpft. So haben beispielsweise Flüssigkeiten eine hohe Dämpfung, Glasscheiben oder Wände eine geringe.

Durch verschiedene Methoden wie Regression, Interpolation, Gewichtung lässt sich die Genauigkeit erhöhen. Der Kalibrierung in Praxistests kommt dabei eine maßgebliche Rolle zu. Die App berechnet auf Basis von drei Dämpfungsszenarien und der Kontaktdauer eine Infektionsrisiko-Stufe. Es wird sich zeigen, ob die gesetzten Kalibrierungen und Parameter letztendlich gut genug sind, dass weder zu viel falsch positiv gewarnt als auch nicht gewarnt wird.

Update 16.6.2020, 13:00 Uhr: Das Fraunhofer IIS hat vier Wochen die Schnittstelle getestet und verschiedene Szenarien simuliert und in der Praxis überprüft (siehe unten). Die Ergebnisse wurden an Google und Apple zur Optimierung der Schnittstelle zurückgespielt. In den Praxistests wurden laut Entwickler 80% der Begegnungen korrekt via Bluetooth LE unabhängig vom verwendeten Gerät eingeschätzt (korrekter Abstand und Zeit).

Die Hintergründe und Testszenarien

Die App sollte eigentlich schon im April kommen, damals basierte sie noch auf einem zentralen Ansatz. Nach Kritik von Datenschützern, unter anderem dem Chaos Computer Club, und der Ankündigung von Google und Apple zur Entwicklung des Google-Apple-Protokolls, schwenkte die Regierung auf einen dezentralen Ansatz um und beauftragte SAP und T-Systems als neues Projektteam mit der Umsetzung.

Nach einer Projektdauer von sechs Wochen war vergangenen Donnerstag (11. Juni 2020) aus Entwicklerkreisen zu hören, dass die Entwicklungsarbeiten abgeschlossen sind und man sich mittlerweile in der Testphase befinde. Getestet wurden neben den Funktionen der Energieverbrauch, bei dem ein relativ stabiler Status erreicht sei. Über die Gerätevielfalt und unterschiedliches Gerätealter hinweg sehe man kein Problem in der Effizienz. „Inzwischen sind wir überzeugt, dass wir eine gute Lösung haben, mit der man starten kann – auch wenn wir wissen, dass sie nicht perfekt ist“, sagte SAP-CTO Jürgen Müller gegenüber dpa.

Getestet wurde ebenfalls, wie Bluetooth bei den unterschiedlichen Geräten (beispielsweise Samsung, Apple und Sony) funktioniert. Das Fraunhofer Institut IIS in Erlangen übernahm die Kalibrierung bei den verschiedenen Hardware-Konfigurationen, die insbesondere bei den Android-Versionen vorhanden sind. Dazu wurden auch verschiedene Szenarien durchgespielt, wie das Schlangestehen, ein Restaurantbesuch, die Nutzung öffentlicher Verkehrsmittel und eine Cocktailparty. Die Tests umfassten weiterhin einen Komponententest (App, Server, Infrastruktur) sowie einen Ende-zu-Ende-Test mit bis zu zweistelligen Benutzerzahlen durch die Telekom.

Parallel dazu liefen abschließende 24-Stunden-Sicherheitstests (Pentests) bei App und Infrastruktur durch den TÜV Informationstechnik, die Freitag Abend erfolgreich abgeschlossen wurden. Die Testphase betrug insgesamt 14 Tage.

In einem Beta-Test flossen auch Nutzererfahrungen zur Anwenderfreundlichkeit ein. Mit Hilfe von Testern im Alter zwischen 19 und 74 Jahren wurde auf unterschiedlichen Endgeräten die Benutzerfreundlichkeit schrittweise angepasst und validiert. Während des gesamten Prozesses kooperierte SAP mit #GesundZusammen.

Fazit zur Corona App

SAP und Telekom-Systems haben die Corona-Warn-App in erstaunlich kurzer Zeit entwickelt und Quellcode und Architektur auf GitHub komplett veröffentlicht und ausführlich dokumentiert. So war die Beteiligung einer unabhängigen Entwickler-Community möglich. Das schafft Vertrauen und Akzeptanz. Soweit Experten das einschätzen können, sind ein hoher Datenschutz und Sicherheit bei den von SAP und Telekom entwickelten Parts vorhanden. Noch gibt es Schwachstellen, insbesondere bei „Google Location History“, die der Lösung harren.

Wie sich die App in der Praxis bewährt, wird sich zeigen. Im ersten Schritt kommt es darauf an, dass möglichst viele die App nutzen und an diesem großen sozialen Experiment teilnehmen. Dann kann die App dabei helfen, Infektionswege effektiv nachzuverfolgen und die Infektion einzudämmen.

Wie geht es weiter? Hier finden Sie Zukunftsszenarien von COVID-19: eine spielbare Simulation von Marcel Salathé (Epidemiologe) & Nicky Case (Kunst/Code). Lese-/Spielzeit: 30 Min.

Update 19. Juni 2020: Hotline

Für technische Fragen rund um die Corona-Warn-App können Sie sich an die Hotline der Entwickler unter der kostenlosen Rufnummer: +49 (0)800 754 000 1 wenden (Deutsch und Englisch). Die Hotline ist von Montag bis Samstag zwischen 7 und 22 Uhr (außer an bundesweiten Feiertagen) besetzt.

Update 20. Juni 2020: Downloadzahlen laut Robert-Koch-Institut 10,6 Millionen

Gab es zu Anfang des Downloads am Dienstag früh (16. Juni 2020) noch Irritationen, welche App im Store die richtige ist, rankte die Corona-Warn-App schnell auf Platz 1 im iOS App Store und im Google Play Store. Auch die Bewertungen waren positiv.

Wie das Robert-Koch-Institut am Samstag mitteilte, wurde die App seit ihrem Start am Dienstagmorgen bereits 10,6 Millionen Mal heruntergeladen und installiert. Laut Informationen des ZDF erfolgte etwa die Hälfte der Downloads durch Apple-Nutzer. Das verwundert insofern, da etwa ¾ der Smartphone-Besitzer ein Android-Betriebssystem nutzen und man hier 15 bis 20 Millionen Downloads erwarten könnte.

Update 22. Juni 2020: Die Risikobewertungen

Als Risiko-Begegnungen gelten für die App Begegnungen mit einer Corona-positiv getesteten Person, die einen Schwellenwert verschiedener Messwerte überschreitet. Den Personen, die die App nutzen, wird ihr Risikostatus abhängig von diesen Werten angezeigt. Es gibt drei Statusinformationen.

Corona-App-Warnungen: Besteht ein geringes Risiko einer Infektion, bleibt die App grün.
Corona-App-Warnungen: Besteht ein geringes Risiko einer Infektion, bleibt die App grün.
(Bild: RKI)

Niedriges Risiko: Die Person wird darüber informiert, dass die Risiko-Überprüfung ihrer Begegnungs-Aufzeichnung keine Begegnung mit nachweislich Corona-positiv getesteten Personen ergeben hat oder dass etwaige Begegnungen nicht über dem vom RKI definierten Schwellenwert lagen.

Die App informiert Sie in diesem Fall lediglich über die allgemein geltenden Abstandsregelungen und gibt Ihnen Hygiene-Empfehlungen. Also alles gut.

Corona-Warn-App: Ist das Risiko einer Infektion hoch, wird das Display rot. Jetzt sollten Sie sich mit Ihrem Hausarzt oder unter der Nummer 116 117 mit den Corona-Infektionsstellen in Verbindung setzen.
Corona-Warn-App: Ist das Risiko einer Infektion hoch, wird das Display rot. Jetzt sollten Sie sich mit Ihrem Hausarzt oder unter der Nummer 116 117 mit den Corona-Infektionsstellen in Verbindung setzen.
(Bild: RKI)

Erhöhtes Risiko: Sie werden darüber informiert, dass die Risiko-Überprüfung Ihrer Begegnungs-Aufzeichnung ein erhöhtes Infektionsrisiko ergeben hat, da innerhalb der vergangenen 14 Tage Begegnungen mit mindestens einer Corona-positiv getesteten Person stattgefunden haben.

Sie erhalten via App den Verhaltenshinweis sich, wenn möglich, nach Hause zu begeben bzw. zu Hause zu bleiben sowie sich mit Ihrem Hausarzt, dem ärztlichen Bereitschaftsdienst unter 116 117 oder dem Gesundheitsamt in Verbindung zu setzen und dort das weitere Vorgehen abzustimmen. Das bedeutet in der Regel, dass Sie einen Test machen, den die Krankenkassen bezahlen.

Unbekanntes Risiko: War die Risiko-Ermittlung bei Ihnen nicht lange genug aktiviert, konnte zu diesem Zeitpunkt kein Infektionsrisiko berechnet werden. Sie erhalten dann die Statusanzeige „unbekanntes Risiko“.

Wichtig: Die Warnung durch die App dient lediglich als Hinweis, Kontakt zum Gesundheitswesen aufzunehmen. Wenn Sie durch die App gewarnt werden, sollten Sie ärztliches Fachpersonal (also Ihren Hausarzt oder die Hotline 116 117) kontaktieren und das weitere Vorgehen abklären. Werden Sie positiv auf Corona getestet, erhalten Sie eine Krankschreibung und haben Anspruch auf Lohnfortzahlung. Ordnet das Gesundheitsamt eine Quarantäne für Sie an, zahlt Ihr Arbeitgeber Ihr Gehalt weiter. Ihr Arbeitgeber wird dafür wiederum vom Gesundheitsamt entschädigt.

(ID:46649491)