Corona-Warn-App: Wie funktioniert Pepp-PT – und gibt es Risiken?
Die neue Corona-Warn-App auf Basis von Pepp-PT soll die Verbreitung von Corona eindämmen. Doch sorgt die App bei manchen für Skepsis. Sind die Zweifel berechtigt? Alle Fragen und Antworten.
Eigentlich sollte die App bereits zum Download bereitstehen, doch nun erscheint die Corona-Warn-App erst im Mai in Deutschland. Bundesgesundheitsminister Spahn sagt nun, dass sich die Menschen noch gedulden müssen.
Die erste Corona-Warn-App läuft auf Basis des neuen Standards Pepp-PT. Das kündigte Chris Boos an, einer der führenden Köpfe hinter dem Pepp-PT-Projekt. „Ich gehe davon aus, dass wir zwischen 15. und 19. April die erste App tatsächlich live haben“, so der IT-Unternehmer, der im Digitalrat der Bundesregierung sitzt, gegenüber der Deutschen Presseagentur. Daraus wird nichts, denn der Launch verschiebt sich. Die Anforderungen an Sicherheit, Datenschutz und dem Zweck der Anwendung seien noch nicht ausgereift genug.
„Aus heutiger Sicht sind es eher vier Wochen als zwei Wochen, bis wir tatsächlich dann eine haben, die auch alle Anforderungen voll erfüllt“, sagte der CDU-Politiker Spahn.
Die Plattform Pepp-PT war in den vergangenen Wochen von 130 Experten aus 8 europäischen Ländern entwickelt und von Soldaten der Bundeswehr in Berlin getestet worden. Die Idee: Die App soll Menschen schnell und anonym alarmieren, falls sie Kontakt zu anderen Nutzern der App hatten, die positiv auf das Coronavirus getestet wurden.
Die wichtigsten Fragen und Antworten:
Wie funktioniert die Pepp-PT-App?
Damit die App funktioniert, müssen die Nutzer die Bluetoothfunktion ihres Smartphones eingeschaltet haben. Über diese Nahbereich-Funkverbindung prüft das Programm, ob andere App-Nutzer in der Nähe sind – und ob sie einen Abstand von zwei Metern unterschreiten. Dabei kann über die Sensoren des Smartphones auch bestimmt werden, ob die Personen einander zugewandt sind oder nicht.
Ist ein App-Nutzer nachweislich mit Corona infiziert, kann er das über das Programm melden. Seine gespeicherten Begegnungen werden an ein nationales System übertragen, von dem aus die potentiell infizierten
App-Nutzer informiert werden – also all jene Menschen, die dem infizierten Nutzer nahe gekommen sind. Sie können sich dann in Selbstisolation begeben, bevor sie überhaupt Symptome zeigen. Die Idee: So sollen Infektionsketten schnell durchbrochen werden.
Wie viele Menschen müssen die Pepp-PT-App nutzen, damit sie effektiv ist?
Der Informatiker Christian Gawron von der Fachhochschule Südwestfalen hält die PEPP-PT-Technologie für durchaus sinnvoll. Eine Simulation des US-Mathematikers Grant Sanderson über die Wirksamkeit verschiedener Maßnahmen habe diesbezüglich interessante Schlussfolgerungen ermöglicht, so Christian Gawron: „Zumindest in der Simulation ist es so, dass Social Distancing nur funktioniert, wenn wirklich alle mitmachen. Wenn 20 & aber nicht mitmachen, dann ist der Erfolg fast vollständig weg.“
Anders sehe es beim Durchbrechen der Infektionsketten durch Quarantäne aus. „Wenn man die infizierten Menschen identifiziert und isoliert, sieht man auch dann noch einen großen positiven Effekt, wenn 20 % der Infizierten nicht erfasst werden.“ Deshalb halte er eine solche App, die dem Nutzer anzeigt, ob er Kontakt mit einer infizierten Person hatte, für sehr hilfreich. „Beim Social Distancing müssen sich sehr viele Menschen sehr strikt an die Regeln halten. Bei so einer App ist es weniger schlimm, wenn sich nicht alle daran halten.“ Aus Informatiker-Sicht wäre eine solche App-Lösung also noch effektiver, als das reine Social Distancing.
Andreas Noack von der Hochschule Stralsund gibt allerdings zu Bedenken: „Jeder, der Kontakt zu anderen Personen hat, müsste diese App nutzen, damit der Vorteil der App, nämlich die frühzeitige Information, voll wirksam wird.“
Wenn in einem Haushalt mehrere Personen leben, von denen aber nur eine Person Kontakt zu anderen Menschen hat – etwa beim Einkaufen – reiche es, wenn nur diese eine Person die App nutzt, so der Experte für Netzwerksicherheit und Kryptographie.
Noch genauer skizziert es Joachim Charzinski von der Hochschule der Medien (HDM) in Stuttgart: „Wie bei allen Technologien, die auf den Netzwerk-Effekt setzen, skaliert das zunächst quadratisch.“
______
Corona – Zahlen in Kürze (Stand: 17. April, 10 Uhr):
- Weltweit:
- 2.158.033 bestätigte Infektionen
- 144.221 Todesfälle
- 543.732 Genesungen
- Deutschland:
- Zwischen 133.338 und 137.698 bestätigte Corona-Infektionen
- Zwischen 3.868 und 4.052 Todesfälle
- 81.800 Genesungen
- (Quellen: Robert Koch-Institut, Johns Hopkins University, eigene Recherchen. Die Zahlen variieren derzeit je nach Quelle. Lesen Sie dazu auch: Deshalb unterscheiden sich die Zahlen zu Infizierten so stark )
______
Das heiße: Wenn weniger als 50 % die App nutzen, ist die Wahrscheinlichkeit, dass bei einem Treffen relevante Information entsteht, kleiner als 25 %. „Nach meinem Gefühl ist das eine untere Schwelle dafür, dass sich der Einsatz wirklich lohnt“, so Charzinski, der den Studiengang Mobile Medien an der HDM leitet.
Corona und Ausgangssperre: Das sagt der Fachanwalt
„Ab wann der Einsatz überhaupt etwas bringt, kann man auch abschätzen, indem man überlegt, wie groß die Wahrscheinlichkeit ist, dass man überhaupt jemanden trifft, der das Virus trägt. Die ist bei momentan etwa 10Hoch5 Infizierten und einer Gesamtbevölkerung in der Größenordnung von 10Hoch8 Menschen in Deutschland bei jedem Treffen 0,1 %.“ Bei zehn Kontakten pro Tag liegt die Wahrscheinlichkeit also bei etwa 1 %. „Wenn der App-Anteil bei unter 3 % liegt, dann kann das Pepp-Pt-System wohl quantitativ nichts bewirken“, glaubt Charzinski.
Gefährdet die App die Sicherheit meiner Daten und meiner Privatsphäre?
Laut einer ARD-Umfrage zum Umgang mit dem Coronavirus hatten zuletzt nur 45 % der Befragten angegeben, künftig eine solche App nutzen zu wollen – aus Angst vor Datenschutzlücken und Verlust der Privatsphäre. „Ich glaube, dass viele Angst haben, weil sie nicht verstanden haben, wie die App funktioniert“, konstatiert Informatiker Christian Gawron. Bei der App gehe es ja eben genau darum, keine personenbezogenen Daten zu erfassen.
Andreas Noack von der Hochschule Stralsund sieht das ähnlich: „Durch die anonymen Identitäten und das reine Aufzeichnen von Begegnungen ohne ortsbezogene Informationen sowie durch das rechtzeitige Löschen der
Daten ist aus meiner Sicht das Risiko für einen Datenschutzvorfall minimiert.“
Das Robert Koch-Institut (RKI) hat zuletzt eine App zur Verfügung gestellt, die ebenfalls helfen soll, die Ausbreitung des Coronavirus einzudämmen.
Die zusammen mit dem e-Health-Unternehmen Thryve entwickelte App mit dem Namen “Corona-Datenspende” ist sowohl für iOS als auch für das Android-Betriebssystem ab Mai in Deutschland verfügbar. Sie soll ergänzende Informationen dazu liefern, wo und wie schnell sich das Coronavirus in Deutschland ausbreitet, teilt das RKI mit. Die App funktioniert in Kombination mit Fitnessarmbändern und Smartwatches. Die Idee: Viele Menschen in Deutschland zeichnen regelmäßig mit Smartwatches oder Fitnessarmbändern ihre Vitaldaten auf. Dazu zählen der Ruhepuls, Schlaf und das Aktivitätsniveau. Bei einer akuten Atemwegserkrankung ändern sich diese Vitalzeichen in den meisten Fällen deutlich. Daher können auch typische Covid-19-Symptome wie Fieber durch die App erkannt werden.
Tatsächlich ist es so, dass die Apps nur verschlüsselt auf dem Endgerät abspeichern, dass eine Begegnung stattgefunden hat – aber nicht, wo das passiert ist. Beide beteiligten Geräte erhalten eine temporäre anonyme Identität, so dass die Nutzer der App nicht identifiziert werden können. Nach 21 Tagen werden auch die gespeicherten Bewegungen gelöscht.
Zudem sichert sich Pepp-PT vor Falscheingaben mit einem TAN-Mechanismus ab: Nach einem positiven Corona-Test erhält der Nutzer eine TAN, um damit seine Begegnungsdaten an das nationale System zu übertragen
Aber: „Sollte es eine Schwachstelle in der App geben, kann es gegebenenfalls zu einem Missbrauch der Endgeräte seitens Dritter geben. Dies ist allerdings ein allgemeines Risiko, das auf jede kommunizierende App zutrifft“, erklärt Andres Noack. „Wenn falsche Daten an die nationale Datenbank versendet würden oder Endgeräte durch eine Malware verseucht werden etwa beim Austausch der App durch einen Virus im Android Playstore kann das zu einem
Cybersicherheitsvorfall führen“, so Noack weiter.
Coronavirus: Wann darf ich im Home-Office arbeiten?
Joachim Charzinski von der HDM in Stuttgart sieht es so: „Missbrauch kann man mit einer vernünftigen Architektur, Diskussion unter Experten und einer sorgfältigen Implementierung einigermaßen verhindern.“ Da werde aus seiner Sicht bereits viel getan. Aber: „Wenn jeglicher Missbrauch ausgeschlossen sein soll, dann darf man die App nicht verwenden.“ Allein dadurch, dass jetzt viele Menschen versuchen, die Kontakte zu anderen so weit wie möglich zu beschränken, werde es überschaubare Fallzahlen geben. „Dadurch ist das Risiko einer Deanonymisierung durch Korrelation immer gegeben“, so Charzinski.
Außerdem zeige die Geschichte, dass Daten, die einmal vorhanden sind, auch gerne von anderen Stellen weiterverwendet würden. „Letztlich fallen hier zumindest indirekt hochsensible Bewegungsdaten an, die die Bewegungsmuster der App-Nutzer sehr genau widerspiegeln können, auch wenn wie im Fall von Pepp-PT zwei Indirektionsschritte nötig sind, um die Daten aus dem Handy zu bekommen.“
Fazit: Die Experten sind sich einig, dass die Hürden für Datenklau und Missbrauch hoch sind. Angriffsflächen gebe es aber auch hier – wie bei jeder App.
Insgesamt gilt die App als effektiv. Bei der Eindämmung der Corona-Verbreitung kann die Technologie nach Expertenmeinung durchaus helfen. Letztlich ist es also eine Risiko-Nutzen-Frage, die jeder Nutzer für sich selbst beantworten muss.
Ein Beitrag von: