Frederik Armknecht. Foto: zg
Von Matthias Kehl
Heidelberg/Mannheim. Gesundheitspolitiker versprechen sich von einer Corona-Warn-App, Kontaktpersonen schneller zu identifizieren und so die geltenden Einschränkungen langfristig lockern zu können. Die RNZ hat dazu mit Frederik Armknecht, Professor für IT-Sicherheit an der Universität Mannheim, gesprochen, der sich mit Vor- und Nachteilen der Technik beschäftigt hat.
Wie kann die sogenannte Tracing-App Kontaktpersonen von Infizierten ermitteln? Bei einer dezentralen Lösung, wie Sicherheitsexperten sie favorisieren, generiert die Anwendung für den Benutzer geheime, zufällige Identifikationsnummern (IDs). Befinden sich zwei App-Nutzer in unmittelbarer Nähe zueinander, kann das über die eingeschaltete Bluetooth-Funktion registriert und diese IDs ausgetauscht und in der App gespeichert werden. "Die App und die Bluetooth-Funktion sollten dann aktiv sein, wenn man sich in den öffentlichen Raum begibt – also beispielsweise zum Einkaufen oder in der S-Bahn", sagt Frederik Armknecht.
Wie funktioniert das genau? Es wird vermutlich ein Kontaktzeitrahmen festgelegt, der als kritisch bemessen wird, beispielsweise 15 Minuten. Die generierten IDs werden vermutlich mehrmals pro Minute gesendet, sodass ein langfristiger Kontakt daran erkannt werden kann, wie oft man die gleiche ID empfangen hat, so Armknecht. Infiziert sich ein Nutzer, kann dieser das aktiv über seine IDs kenntlich machen, sodass andere Handys diese mit den gespeicherten Kontaktdaten – also mit ihren IDs – abgleichen können. "Zuvor muss eine Bestätigung durch eine zentrale, staatliche Stelle erfolgen, damit die Information verlässlich ist", sagt Armknecht. Stellt dann ein App-Nutzer fest, dass er oder sie längeren Kontakt zu einem Erkrankten hatte, kann er oder sie sich an die jeweilige Gesundheitsstelle wenden und selbst gegebenenfalls in Quarantäne gehen.
Was sind die Vorteile einer solchen App? Bei dem skizzierten, dezentralen Verfahren werden lange erprobte kryptographische Verfahren angewendet. Zudem werden die Daten nur lokal gespeichert und verarbeitet. Ein Bewegungsprofil kann nicht nachverfolgt werden. Selbst wenn Millionen von Menschen die Anwendung nutzen, sei der Datenverkehr und der Mehraufwand vertretbar, so Armknecht. Jeder, der die App nutze, trage dazu bei, Kontaktpersonen zu identifizieren. Das könne auch Lockerungen begünstigen.
Funktioniert die Anwendung auch länderübergreifend? "Das kann sie durchaus", sagt Armknecht. Dazu müssten vor allem die generierten IDs und deren Erfassung kompatibel sein. Die internationale Gruppe der Sicherheitsexperten schlägt beispielsweise vor, pro Staat eine zentrale Stelle zu installieren, über welche die IDs der Infizierten veröffentlicht werden können.
Wie steht es um die Sicherheit der Daten? Generell besteht bei jeder App, die Daten versenden kann, das Risiko, dass mehr verschickt wird als erlaubt. Idealerweise sollte der Code der App veröffentlicht werden. Die IDs einer Corona-App sind allerdings zufällig erzeugt und unabhängig vom Benutzer. "Ich sehe kaum einen Nutzen dabei, diese Daten missbräuchlich zu verwenden", sagt Armknecht. Die Wissenschaftler, die es entwickelt und veröffentlicht haben, ermunterten ausdrücklich dazu, auf mögliche Lücken hinzuweisen. "Insgesamt finde ich das Konzept sehr durchdacht und schlüssig", sagt Armknecht und fügt an: "Dies gilt allerdings nur für die beschriebene dezentrale Lösung. Zentralen Lösungen stehe ich skeptisch gegenüber".
Welche technischen Voraussetzungen sind nötig? Frederik Armknecht gibt zu bedenken: "Eine Tracing-App kann nur von Menschen eingesetzt werden, die ein Smartphone nutzen. Nach meinem Kenntnisstand sind das etwa drei Viertel der Bundesbürger." Darüber hinaus sagte Neil Shah, Analyst beim Marktforschungsunternehmen Counterpoint Research, der "Financial Times" am Montag, dass die erforderliche "Bluetooth-Low-Energy"- Funktion von etwa jedem vierten Smartphone weltweit nicht unterstützt werde.
