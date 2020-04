Wer geglaubt hatte, dass die Corona-App des Robert Koch-Instituts (RKI) noch vor dem geplanten Ende der Beschränkungen am 3. Mai herauskommen würde, den enttäuschte der Bundesgesundheitsminister am Freitag. „Aus heutiger Sicht sind es eher vier Wochen als zwei Wochen, bis wir tatsächlich dann eine haben, die auch alle Anforderungen voll erfüllt“, sagte Jens Spahn. Die App habe mehreren Ansprüchen zu genügen: Sie müsse sicher sein, den Datenschutz gewährleisten und zugleich ihren eigentlichen Zweck erfüllen, also die Epidemie eindämmen.

Ursprünglich sollte die App jetzt schon verfügbar sein. Sie gilt vielen Fachleuten als besonders wichtiger Baustein für einen „Exit“, denn ohne ein digitales Instrument zum Aufspüren der Kontaktpersonen von Infizierten wäre es ein noch schwerer zu kalkulierendes Risiko, die Ausgangsbeschränkungen aufzuheben. Die Verspätung hängt zum einen mit technischen Problemen zusammen: Die Abstandsmessung mit Bluetooth muss getestet und dann verfeinert werden, damit am Ende nicht Personen einen Warnhinweis auf ihrem Bildschirm erhalten, die gar nicht gefährdet sind. Zum anderen sind grundsätzliche Konflikte entstanden zwischen den Machern der App und Außenstehenden: Sie berühren Fragen des Datenschutzes ebenso wie die Rolle der IT-Giganten Google und Apple. Im Kern geht es darum, ob die erhobenen Daten zentral oder dezentral gespeichert werden sollen.

Die beiden amerikanischen Unternehmen haben über die Osterfeiertage angekündigt, dass sie die Entwicklung von Corona-Apps mittels Bluetooth unterstützen wollen. Erst einmal geht es dabei darum, dass solche Apps auf den verschiedenen Smartphone-Betriebssystemen reibungslos laufen. Das ist wichtig, denn bei Smartphones von Apple war es zum Beispiel bislang nicht möglich, über Bluetooth Daten auszutauschen, wenn Anwendungen im Hintergrund liefen. Das wäre für die Corona-App problematisch.

Was könnten Hacker erbeuten?

Apple und Google verfolgen aber auch einen anderen Ansatz als die europäische Initiative PEPP-PT, was die Speicherung der Daten angeht. Die beiden amerikanischen Unternehmen wollen die Kennnummer, die bei einem Kontakt zwischen Personen ausgetauscht wird, ausschließlich auf den Geräten selbst speichern, also dezentral. Sie soll nicht auf einen Server geladen werden; es gäbe also keine zentrale Instanz, die auf die Informationen zugreifen kann. Meldet sich jemand als infiziert, so wird dessen Kennnummer an alle Teilnehmer der App gesendet. Wer sie auf seinem Handy gespeichert hat, wer also der Person begegnet ist, der wird gewarnt, alle anderen nicht. Bei der Lösung, die PEPP-PT nun für das RKI entwickelt, laufen die Identitätsnummern hingegen auf einem zentralen Server zusammen.

Einige Experten für Kryptographie halten den Vorschlag von Apple und Google für besser, weil dann alle Teilnehmer die gleichen Informationen haben. Wenn keiner einen Informationsvorsprung hat, gibt es etwa für Hacker kein lohnendes Ziel. Was zum Beispiel wäre, wenn sich Hacker Zutritt zum zentralen Server verschaffen könnten, auf dem die Daten lagerten? Dann hätten sie Einblick in ein gigantisches Netzwerk von Personen. Zwar könnten sie noch nicht sagen, welche reale Person sich hinter welcher Kennnummer verbirgt. Dafür müssten sie noch weitere Daten erbeuten, die eine solche Zuordnung ermöglichen, zum Beispiel die Transaktionsdaten von Kreditkarten. Hätten sie diese aber, dann könnten sie auf einen Schlag die Bewegungen fast ganz Deutschlands nachvollziehen.

Mehr zum Thema 1/

Cybersicherheitsexperten warnen außerdem davor, dass Geheimdienste stets ein Interesse an solchen Metadaten hätten. Die zentrale Speicherung der Daten könnte deshalb nach ihrer Ansicht das Vertrauen der Bürger in die Lösung von PEPP-PT untergraben – dieses Vertrauen ist aber entscheidend, damit genügend Leute die App freiwillig nutzen.