Die Corona-Warn-App können Sie unbesorgt nutzen!

Coronavirus

Skandale rund um die App-Entwicklung hat es gegeben. Aber das betrifft die Vorgeschichte.

 

Die Corona-Warn-App soll helfen, Infektionsketten zu erkennen und über die Warnung potentiell Infizierter zu unterbrechen. Das ist ein hehres Ziel! Dahinter steckt kein windiges Geschäftsmodell oder der Handel mit Daten – und erst recht keine staatliche Überwachungsfantasie! Wirklich nicht. Also nicht mehr, um genau zu sein.

Aber wollte Minister Spahn nicht Funkzellendaten erfassen und zentral speichern?

Ja, das hat er tatsächlich einmal vor gehabt. Es war sogar im Gesetzesentwurf seines Ministeriums nachzulesen. Das war im März 2020, als das Corona-Thema uns alle aus der Normalität riss. Und es war ein richtig dämlicher Plan, denn Funkzellendaten sind aus medizinischer Sicht viel zu grob, um nützlich zu sein. Tausende von Menschen können sich in einer Funkzelle aufhalten, sie sind ganz überwiegend viel zu weit entfernt, um Corona-Viren übertragen zu können. Der verworfene Plan war aber leider gut geeignet, zu zeigen, dass in der Politik alte gescheiterte Überwachungsideen bei der nächstbesten Gelegenheit aus der Mottenkiste gezerrt werden. Einfach, weil sich mal ein neuer Grund findet. Es bleibt wohl ein Traum für einige Innenpolitiker, auf Knopfdruck zu wissen, wer sich gerade wo aufhält oder letzte Woche war. Ein Bärendienst am so wichtigen gesellschaftlichen Konsens, der gemeinsame uneigennützige Anstrengungen zur Seuchenbekämpfung erst möglich macht.

Coronavirus
gemeinfreie Darstellung des Coronavirus

Die Corona-App sammelt aber keine Funkzellendaten, insbesondere werden keine Standorte gespeichert – weder dezentral noch zentral! Spahn musste bereits im März zurückrudern. Der plumpe Datensammelversuch war gescheitert. Er sollte sich dafür heute noch schämen, aber Sie brauchen sich deswegen nicht verunsichern lassen.

Aber haben Experten nicht Sicherheitslücken in der App gefunden?

Das haben sie – und das ist auch gut so! Der Quellcode der App wurde publiziert und jede Expertin und jeder Interessierte kann ihn sich weiterhin anschauen. Fehlerfreie Software gibt es ohnehin nicht. Umso wichtiger ist es, dass ausgiebig getestet wird und der Code untersucht werden kann.

Inzwischen herrscht im Bereich der Opensource-Software-Sicherheit eine Fehlerkultur, die der in der Wissenschaft stark ähnelt. Nicht überall und nicht bei allen Herstellern. Aber grundsätzlich haben sich einige Prinzipien durchgesetzt, was sich im Segment der sicherheitskritischen Software beobachten und auf die Corona-App übertragen lässt. Wer Fehler findet, dokumentiert diese nachvollziehbar und hilft dabei mit, dass diese in der nächsten Version eliminiert werden.

GitHub-Issues der Warn-App
öffentlich einsehbare GitHub-Issues der Warn-App

Dabei gewinnt der Fehlerfinder an Ansehen in der Community, sei es durch technisch-wissenschaftliche Publikationen oder einfach, weil „private“ Bughunter einen gewissen Ruhm genießen. Viele Hinweise von sachkundigen Privatleuten zu möglichen Implementierungsschwächen zeigen auch ganz einfach ein ehrenamtliches Engagement von Softwareentwicklern.

Für Unternehmen aus dem Bereich Security und Consulting ist es attraktiv, wenn sich ihre Mitarbeiterinnen an der Fehlersuche beteiligen. So zeigt man Kompetenz und Professionalität. Manche übertreiben dabei etwas in der Außendarstellung, aber das tun sie auf Messeständen auch. Das können Sie verzeihen. Und die Entwickler der Software freuen sich meistens, wenn Fehler konstruktiv gemeldet werden. Entwickler möchten gerne eine neue fehlerbereinigte Version herausgeben und das Problem beheben. Sie möchten vielleicht, dass es nicht mit so viel Brimborium passiert, wenn ein schwerwiegender Fehler aufgedeckt und darauf herumgehackt wird, aber jede berufliche Tätigkeit hat ihre Schattenseiten.

Natürlich ist es immer etwas peinlich, wenn einem große Klöpse unterlaufen und andere es bemerken – aber schämen muss man sich dafür nicht allzu lange, denn eine gute Fehlerkultur ist nach vorne gerichtet und hält sich nicht lange bei der Suche nach Schuldigen auf! In der Corona-App wurden bisher keine großen Klöpse gefunden, aber Fehler wurden während des Entwicklungsprozesses identifiziert. Wunderbar. Gut für die Reputation der untersuchenden Experten und gut für die Gesundheit der Bevölkerung. Das Interesse von Öffentlichkeit und Fachwelt war riesig. Gehen Sie davon aus, dass die Corona-App die am besten untersuchte erste Version einer „deutschen App“ ist, die es bisher gegeben hat. Und das erste Update mit Verbesserungen wird bestimmt noch 2020 kommen. Und jetzt überlegen Sie mal, welche bedauernswerte Code-Qualität die anderen hundert Apps auf Ihrem Smartphone aufweisen könnten. Gut, wenn diese keine schützenswerten Daten verarbeiten!

Aber warum sollte ich eine App nutzen, deren Funktionen mir schleierhaft sind und die mir nur Isolation empfiehlt, wenn es zu spät sein könnte?

Weil die App anderen Menschen möglicherweise das Leben retten könnte. Handeln Sie einfach menschlich und uneigennützig. Über die Deppen, die keine Rettungsgasse bilden, regen Sie sich doch auch so gerne auf. Also seien nicht Sie der Depp dieses Mal!

Ulrich Greveler

”The purpose of computing is insight, not numbers.” (Richard Hamming) Ulrich Greveler studierte in Gießen Mathematik und Informatik, arbeitete sechs Jahre in der Industrie im In- und Ausland, bevor er als Wissenschaftler an die Ruhr-Universität nach Bochum wechselte. Seit 2006 lehrt er Informatik mit dem Schwerpunkt IT-Sicherheit an der Fachhochschule Münster (bis 03/2012) und der Hochschule Rhein-Waal (seit 03/2012). Sein besonderes Interesse gilt datenschutzfördernden Technologien und dem Spannungsverhältnis zwischen Privatsphäre und digitaler Vernetzung.

13 Kommentare

  1. Habe ich das richtig verstanden: Die Nachricht ob Corona positiv getestet wurde gibt der App-Nutzer anonym selbst ein?

    Na das wird dann ja ein hübsches Spiel für die Liebhaber von reichlich Chaos und Panik!?

    • @hto Der Nutzer braucht dazu eine TAN, die mit dem positiven Testergebnis vergeben wird. Oder er muss eine Hotline bemühen, die ihn zum Testergebnis befragt, bevor die TAN vergeben wird. Ganz so einfach ist es also nicht.

  2. Also auf mein Handy kommt die nicht. Da ist mir zuviel Freiwilligkeit bei zuviel bekannter Unvernunft.
    Zuviele neue Fragen, bei zuviel alter Ungereimtheiten.
    Diese App ist bestenfalls Humbug.

  3. Im Moment kann ich die App nicht installieren, da sie die Google-Play-Dienste, bzw. Apple-Dienste voraussetzt. Soweit ich weiß, wird darüber die API bereitgestellt. Diese Wahl kann ich insofern nachvollziehen, da man darüber die große Anzahl überhaupt erreichen kann.
    Mit meinem Setup gehöre ich zwar zu einer kleinen Minderheit, aber ich finde es schade, dass dies bislang so geregelt ist. So ist die API auch nur eingeschränkt nachvollziehbar, da sie von Apple und Google kontrolliert wird.

    Haben Sie Informationen darüber, ob das so bleiben soll? Oder wird die API noch zugänglich veröffentlicht und in den OpenSource-Teil von Android integriert?

  4. Was mich mal ernsthaft interessieren würde: was ist eigentlich mit den ganzen Sicherheitslücken in der Bluetooth-Technologie? Das scheint ja wohl überhaupt kein Thema mehr zu sein. Was ist mit Smartphones, die seit 2016 (wie meins, funktioniert aber noch) kein Sicherheitsupdate mehr bekommen haben? Ich finde es ja immer herzallerliebst, wenn es heißt, man solle dafür sorgen, daß das Smartphone auf den neuesten Stand zu bringen sei. Ja gerne, wenn man mir sagt wie, wenn der Hersteller keine Updates mehr liefert. So wird das wohl nichts werden. Es gibt viele Gurken, die haben nicht mal Android 6, gerade ältere kaufen die sich, da sie günstig noch immer bei Saturn zu kaufen sind.

    • Ich habe ein S4 (Android 5.01), das seit Jahren nicht mehr geupdatet wird. Nur für die Corona-App möchte ich es nicht austauschen, da ich auch kein Modell sehe, dass annähernd so klein ist und so wenig Aufwand erfordert.

      An die Aufrüstung mit Fremdbetriebssystemen traue ich mich nicht ran (LineageOS oder sowas).

  5. Diese App ist sicherlich eine mögliche hilfreiche Unterstützung – und durch Open-Source und intensive Betrachtung durch Datenschützer auch bestimmt “ok”. Da auch in D. ganz sicher enorm viele “Smart”phones mit Android 6 und höher laufen, ist auch die mögliche Zahl der Anwender sicherlich “groß genug” um eine Unterstützung überhaupt werden zu können.

    Aus meiner (natürlich sehr beschränkten) Sicht ist allerdings die Abstützung auf die Bluetooth-Komponente als wesentliches Funktionselement und -voraussetzung eventuell ein Problem. Ich habe natürlich keine Ahnung, wie viele Leute bei ihren Telefonen Bluetooth (einigermaßen ständig) aktiviert haben – ich selbst zum Beispiel habe es außer beim Autofahren (bei dem wiederum das Telefon mit Strom versorgt wird) NIE aktiviert. Denn auch wenn es “wenig” sein mag: *jede* aktivierte Komponente, egal welche, erhöht den Batterieverbrauch. Bei mindestens einigen Marken soll die Bluetooth-Nutzung auch keineswegs ein “geringer” Verbrauch sein (ok, das ist nur Hörensagen bzw. Zeitschriftenaussagen).

    Wenn die Bluetooth-Komponente aber nicht aktiviert ist, dann dürfte die gesamte Funktionalität der App geblockt sein.

    Nun ja, man wird sehen wie die Nutzungszahlen und Ergebnisse aussehen – irgendwo / irgendwie muss man ja auch mal anfangen.

  6. Zum Glück habe ich mir nie ein Smartphone gekauft. Mir war von Anfang an klar, wohin das führt und ich werde jeden Tag in meiner Entscheidung bestärkt. Die App ist sowieso überflüssig, sämtliche Verbindungsdaten liegen der NSA sowieso vor. Warum nicht einfach mal bei unseren “Freunden” nachfragen?

  7. @Müller

    Wenn die Ladenbesitzer allerdings die Empfehlung des Vorzeigens des Smartphones als Einlassvoraussetzung annehmen, dann wird es nochmal “lustiger” – ganz abgesehen davon das man dann gezwungen wird ein Smartphone zu besitzen: zum einen ist es freiwillig einen positiven Test mittels TAN einzugeben, zum anderen sind es eh die nicht getesteten Träger des Virus die …! 😏👊

Schreibe einen Kommentar