Corona-Warn-App für alle: So funktioniert sie

Die Corona-Warn-App, die Benutzer warnen soll, wenn sich ein Corona-Infizierter in unmittelbarer Nähe befand, nimmt Gestalt an. Mit der unter dem Begriff Pepp-PT (Pan European Privacy Protecting Proximity Tracing) entwickelten Technik können auch Datenschützer leben, wie Spiegel Online schreibt. An dem Projekt sind unter anderem das Frankfurter Unternehmen Arago, das Fraunhofer Heinrich-Hertz-Institut in Berlin, das Robert-Koch-Institut RKI und das Digital Epidemiology Lab an der EPFL in Lausanne beteiligt. Die Technik soll EU-weit zum Einsatz kommen.

Bei Pepp-PT handelt es sich nicht um eine konkrete App, sondern um den zugrundeliegenden Standard, auf dessen Basis dann die eigentlichen Warn-Apps entwickelt werden können. Ein Team von rund 130 Mitarbeitern aus 17 Instituten, Organisationen und Firmen in Europa hat diese Lösung in den letzten Wochen entwickelt. Mit der neuen Technik soll es nicht möglich sein, Infizierte persönlich zu identifizieren. Zudem müssen die Nutzer der Verwendung zustimmen.

Jeder Nutzer muss die App, sobald sie zum Download bereitsteht, freiwillig auf sein Smartphone herunterladen und Bluetooth aktiviert lassen. Es werden keine Daten in der Cloud gespeichert, sondern alle beteiligten Smartphones mit den Pepp-PT-Apps, die sich innerhalb der gegenseitigen Bluetooth-Reichweite befinden, tauschen IDs, die jeweils eigens erstellt werden, miteinander aus und speichern diese verschlüsselt auf den Smartphones. Diese ausschließlich lokal auf den Geräten gespeicherten anonymiserten IDs werden nach 21 Tagen automatisch gelöscht.

Wird bei einem Benutzer eine Corona-Infektion nachgewiesen, dann bittet ihn sein Arzt, die Kontaktliste des Smartphones an einen zentralen Server zu übertragen. Dieser Server sieht nur diese IDs und kann darüber dann die Smartphones der Personen, die in Bluetooth-Reichweite des Infizierten waren, warnen. Stellt die App fest, dass sich eine Person, bei der eine Infektion mit SARS CoV2 nachgewiesen wurde, in der Nähe aufhielt, so schlägt die App Alarm. Diese Warnungen sollen auch grenzüberschreitend funktionieren. Auch auf dem Server ist die Speicherzeit auf 21 Tage beschränkt.

Um welche infizierte Person es sich handelt und wann und wo der Kontakt stattfand, geht aus der Alarmmeldung nicht hervor, die Anonymität bleibt also gewahrt. Die europäische App erstellt zudem keine Bewegungsprofile von Nutzern oder Infizierten.

Gradmesser für das Auslösen eines Alarms ist der Abstand zur infizierten Person. Die App zeichnet den Kontakt mit anderen Personen auf, die ebenfalls die Software auf ihren Smartphones installiert haben. Als Kontakt gilt laut der Bundeswehr , "wenn sich zwei Personen für mindestens zwei Minuten im Abstand von weniger als 1,5 Meter nähern". Wurde der Sicherheitsabstand unterschritten und es liegt eine Infektion vor, dann schlägt die App Alarm. Die Abstandsmessung erfolgt via Bluetooth Low Energy. Bluetooth wird beispielsweise auch bei der Trace-Together-App in Singapur zur Ermittlung von möglicherweise infizierten Personen verwendet.

Die Bundeswehr unterstützt die Entwicklung mit Testläufen. Der Feldversuch in der Julius-Leber-Kaserne in Berlin soll Schwachstellen und Fehler in der Software aufdecken. Das Testszenario sieht folgendermaßen aus: „Der Test läuft gleichzeitig in drei Räumen und auf zwei Freiflächen. Für das Experiment erhielten 50 Soldaten Handys mit einer Testversion der RKI-App. Zudem wurden sie an der Uniform mit Nummern und Farbcodes versehen. Die Bewegungen der Soldaten werden mit mehreren Kameras aufgezeichnet und ausgewertet. An den fünf Versuchsorten ist eine Teststrecke mit Pfeilen und 50x50 Zentimeter großen Quadraten auf den Boden markiert. Erst zu zweit, am Ende zu zehnt müssen die Soldaten die festgelegte Strecke ablaufen und für jeweils eine bestimmte Zeit in den Quadraten stehen bleiben.“ Damit sollen reale Kontakte simuliert werden.

Verfügbarkeit: Geplant ist, die App bis zum 17. April 2020 zum Download bereitzustellen.

Mit der App lassen sich also Infektionsherde schnell erkennen und möglicherweise neu angesteckte Personen warnen. Damit das funktioniert, müssen aber möglichst viele Personen die App installieren. Gerade bei der Risikogruppe der Senioren erscheint das zweifelhaft. Und natürlich muss eine gewarnte Person dann auch richtig reagieren und sich testen lassen sowie bis zum Erhalt des Testergebnisses in Selbstquarantäne gehen.

Das Pepp-PT-Verfahren via Bluetooth hat nichts mit anderen Überwachungstechniken in der Corona-Krise zu tun. Beispielsweise kann man die Einwahldaten von Handys bei Funkzellen verwenden, um Bewegungsströme sichtbar zu machen. Damit kann man die Einhaltung einer Ausgangssperre oder Ausgangsbeschränkung überwachen: Je mehr Handys zeitgleich in einer Funkzelle eingewählt sind, desto unwahrscheinlicher ist es, dass dort die Ausgangssperre und der Mindestabstand zwischen den Menschen eingehalten werden. Hierfür stellt beispielsweise die Deutsche Telekom anonymisiert ihre Mobilfunkdaten zur Verfügung.

Genauso wie mit den Einwahldaten in Funkzellen kann man Bewegungsströme auch mit GPS-Daten nachvollziehen und somit eine Ausgangsbeschränkung überwachen. Doch sowohl die Funkzellendaten als auch die GPS-Daten sind zu grobmaschig, um möglicherweise infizierte Personen identifizieren zu können. Das geht nur über Bluetooth.

Es gibt allerdings technische Gründe, die gegen den durchgehenden Betrieb von Bluetooth sprechen: Es leert den Akku und stellt ein potenzielles Einfallstor für Angreifer dar.