Unheimliche Begegnung der Vierten Art

Seit einiger Zeit gibt es „Contact-Tracing-Apps“. Zunächst war da die offizielle Corona-Warn-App, und sie wurde von Anfang an sehr zwiespältig gesehen. Aber spätestens seit auch die Luca-App auf dem Markt ist, schäumen die Meinungsbilder über. Sollte man sich überhaupt freiwillig eine App zur Kontaktverfolgung auf das Handy spielen? Und wenn ja, welche? Keine einfache Entscheidung, denn sie hat neben dem persönlichen Geschmack ganz entscheidend mit dem vielleicht schwierigsten zwischenmenschlichen Aspekt zu tun: Vertrauen.

Seit Anfang 2020 wütet Covid-19 in Deutschland, und es ist noch nicht vorbei, auch wenn Jens Spahn dies mit seinen Fantasien vom „Freedom Day“ ausdrücken will. Dass die Politik markige Versprechen viel lieber in den Vordergrund stellt als Fakten, ist keine Überraschung. Doch es ist wohl eher ein Kennzeichen einer Pandemie, dass sie weder schlagartig beginnt noch schlagartig endet. Die Mechanismen einer Infektionskrankheit deuten eher auf ein schleichendes Verhalten hin. Doch die Hoffnung stirbt zuletzt.

Vielleicht enden ja wirklich in ein paar Wochen alle staatlichen Maßnahmen und wir können zur gefühlten Normalität zurückkehren. Aber wenn wir alle Vorsichtsmaßnahmen schlagartig beenden, wird das Virus sich nicht von unseren bisherigen guten Taten beeindrucken lassen und sich zurückziehen. Es könnte mit einer fünften Welle zurückkehren, und die könnte mangels großflächiger Vorsicht und Hygienemaßnahmen schlimmer sein als jede vorherige. Vernunft kann man einem Virus wahrlich nicht unterstellen. Und wie ist es mit uns Menschen? Schaffen wir es, freiwillig vorsichtig zu sein?

Verpflichtungen

Von Anfang an überschlugen sich die Empfehlungen. Das Tragen des Mund-Nasen-Schutzes (gemeinhin „Maske“ genannt) wurde zu Beginn noch als völlig wirkungslos bezeichnet, später dann dringend empfohlen, zeitweise sogar verpflichtend zumindest im öffentlichen Raum. Es ist schwierig, einen aktuellen Überblick über die wöchentlich wechselnden Regeln zu behalten. Entsprechend gab und gibt es viele Menschen, die sich von diesen verschiedenen Anweisungen einfach die heraussuchen, die ihnen am ehesten zusagt. Und andere, die aus Prinzip gegen alles sind, was „die da oben“ ihnen aufoktroyieren. Die Corona-Warn-Apps sind da nur ein Teil des Problems.

Früher wurden Wissenschaftler dafür getötet, dass sie eine andere Meinung als die Kirche äußerten. Heute werden sie bereits diskreditiert, weil sie aufgrund neuer Forschungserkenntnisse eine andere Meinung äußern, als sie es selbst noch vor Monaten taten. Es hat den Anschein, dass ein Wissenschaftler gefälligst sofort alles zu wissen hat! Auch bei einem neuen Thema, so glauben viele offenbar, ist es der Wissenschaft von Anfang an völlig klar, was Sache ist. Dass das historisch fast nie so war, will man nicht wahr haben. Wir sind keine Götter, niemand kann alles wissen, schon gar nicht wenn es um etwas nie dagewesenes geht. Da muss man am Anfang erstmal etwas forschen, bis man Erkenntnisse haben kann. Da werden Theorien aufgestellt, einige Wissenschaftler preschen vielleicht auch mit öffentlich geäußerten Meinungen vor, wir sind ja alle nur Menschen, und Forscher werden auch daran gemessen, wie viel sie veröffentlichen. Doch wir sollten es inzwischen besser wissen. Statt die Wissenschaftler dafür zu kritisieren, dass sie sagen „ja, wir haben uns geirrt“, sollten wir sie dafür feiern, dass sie nicht unreflektiert und dogmatisch auf der ersten spontanen Aussage beharren.

Wahrscheinlich lief es mit den beiden Apps genauso. Viele Leute waren von Anfang an aus Prinzip dagegen, eine vom Staat beauftragte und vom Robert-Koch-Institut (RKI) herausgegebene Kontaktverfolgungs-App zu verwenden. Das RKI, das ständig neue Regeln formuliert, das uns vorschreiben will, was wir zu tun oder zu lassen haben! Und schließlich kann man dem Staat ja überhaupt nicht trauen, die wollen schließlich nur wissen, wo wir uns gerade aufhalten. Dass „der Staat“ dies über den Umweg der Mobilfunknetze wahrscheinlich sowieso längst weiß bzw. wenigstens wissen kann (falls es ihn überhaupt interessiert), bedenkt wohl niemand dabei. Schließlich tragen wir alle ja freiwillig ein Überwachungsgerät mit uns herum.

Verblüffenderweise hat die später hinzukommende Luca-App trotz aller auch öffentlich bekannt gewordener Datenschutzbedenken bemerkenswert viele Fans gewonnen. Dem Staat vertraut man nicht, aber einem Rapper wird die Kompetenz zugetraut, ein sensibles aber keineswegs simples Thema wie die datenschutzfreundliche Kontaktverfolgung zu beherrschen. Faszinierend!

Was macht die Corona-Warn-App?

Eines vorab: Ich habe weder den Quellcode durchgeschaut (obwohl dies bei der CWA möglich wäre), noch würde ich ihn wahrscheinlich mit vertretbarem Zeitaufwand so vollständig verstehen, dass ich die Mechanismen und Abläufe zweifelsfrei beschreiben könnte, die kryptographischen Prinzipien eingeschlossen. Ich muss mich also auf öffentlich zugängliche Informationen verlassen und entscheiden, wem ich dabei vertraue und wem nicht. Das ist im Grunde nichts neues.

Bei aller zum Teil durchaus berechtigten Kritik an „dem Staat“ muss man allerdings auch anerkennen, dass im Hinblick auf die Corona-Warn-App (CWA) sehr vieles gut gelaufen ist. Zunächst hat der Chaos-Computer-Club (CCC) schon im April 2020 10 Prüfsteine für die Beurteilung von „Contact Tracing“-Apps veröffentlicht. Klar, die Bedenken sind da:

Grundsätzlich wohnt dem Konzept einer „Corona App“ aufgrund der möglicherweise erfassten Kontakt- und Gesundheitsdaten ein enormes Risiko inne. (CCC)

Dem ist nicht zu widersprechen. Andererseits scheinen nach allem, was man so lesen kann, diese Forderungen bei der Programmierung der CWA berücksichtigt worden zu sein, und das ist ein gutes Zeichen.

Der etwa ein Jahr später veröffentlichte Artikel Luca-App: CCC fordert Bundesnotbremse führt zumindest für die Luca-App diverse Gründe auf, diese nicht zu verwenden, etwa die Tatsache, dass nicht der gesamte Quellcode öffentlich ist. Dies ist bei Luca laut eigener Angabe seit Mitte April 2021 der Fall.

Davon abgesehen ist es mir unverständlich, dass „der Staat“ einerseits eine eigene App entwickeln lässt und finanziert, und dann auch ein Konkurrenzprodukt dazu mit Steuergeldern fördert, das erheblich unsicherer ist. Laut Netzpolitik ist es ein hausgemachtes Problem:

Die Luca-App soll ein Problem lösen, das die deutsche Politik geschaffen hat. Die Corona-Verordnungen der Bundesländer erlegen Lokalen und Veranstaltungsorten die Verpflichtung auf, Kontaktdaten ihrer Gäste für die Kontaktnachverfolgung zu sammeln. Bislang lief das an vielen Orten mit Stift und Papier, was für hunderte Beschwerde bei den Datenschutzbehörden sorgte. In der Smartphone-App können sich Nutzer:innen mit ihrem Namen und ihren Kontaktdaten anmelden.

Das bietet die CWA nicht an, weil sie von Anfang an erheblich datenschutzfreundlicher geplant und entwickelt worden ist. Inzwischen ist zumindest dieser Aspekt kein Problem mehr, denn …

Seit dem 16.09.2021 sind Gastronome und Veranstalter nicht mehr zur Kontaktdatenerfassung verpflichtet. Die Coronavirus-Schutzverordnung (CoSchuV) wurde überarbeitet und verpflichtet inzwischen nur noch Einrichtungen mit besonders gefährdeten Personen wie Krankenhäuser oder Alten- und Pflegeheime sowie Clubs, Diskotheken und Bordelle (im folgenden „Verpflichtete“) zur Kontaktdatenerfassung.(Quelle)

Der Code beider Apps kann auf einschlägigen Portalen eingesehen werden. Dort werden auch Bugs erfasst. Während der Recherchen für diesen Artikel waren in der Android-App der CWA 105 Bugs offen, 748 bereits geschlossen. Es bewegt sich also etwas, und das ist gut so. Keine Software ist vom ersten Moment an wirklich fertig! Wer Interesse hat, kann also hier auch die Entwicklung verfolgen oder eigene beobachtete Probleme eingeben. Generell ist aber empfohlen, zunächst in einem Forum oder mit Gleichgesinnten ein Problem zu besprechen, um die Entwickler nicht mit zahlreichen Supportfragen zu belasten. Dafür gibt es zum Beispiel auch die Hotline über eine kostenlose Telefonnummer.

Laut Googles Play-Store ist die Android-Version sowohl von CWA als auch von Luca bereits mehr als 10 Millionen mal heruntergeladen worden. Das Ärzteblatt spricht bereits im Oktober 2020 für Android- und iOS-Version der CWA zusammen von 18,4 Millionen.

Selbstversuch

Ich habe mich auch lange davor gedrückt. Aber nun im Herbst 2021 fragte ich mich doch endlich mal, was denn die CWA genau tut und wie sich deren Benutzung im täglichen Betrieb anfühlt. Spoiler: Ich fühle nichts. Aber gehen wir es langsam an.

Die Frage nach der Funktion wird schon recht gut in der Beschreibung der App im Google-Play-Store erklärt. Demzufolge erzeugt mein Smartphone des öfteren eine Zufalls-Kennung. Diese wird dann per Bluetooth mit anderen Smartphones in der Nähe ausgetauscht, d.h. jedes Smartphone speichert die Kennung von den jeweils anderen Kontakten. Laut Aussage des RKI (und Forderung des CCC) lässt diese Kennung keinen Rückschluss auf das Smartphone, die IP-Adresse oder die Telefonnummer (und damit auch nicht auf den Besitzer) zu. Diese Zufalls-Kennungen werden also gesammelt und auf dem Smartphone (und zunächst nur dort) für 14 Tage gespeichert. Die 14 Tage resultieren aus der Inkubationszeit des Corona-Virus‘. Wer nach dieser Zeit noch keine Symptome entwickelt hat, hat sich wohl nicht bei einem der Kontakte in diesem Zeitraum angesteckt. Alle Kontakt-Kennungen, die vor mehr als 14 Tagen erfasst wurden, werden also gelöscht.

„Die CWA kann über ein Infektionsrisiko informieren, falls infizierte Personen die App ebenfalls verwenden, stets ihr Bluetooth eingeschaltet hatten und ihr positives Testergebnis in der App eingetragen haben.“
(Zitat aus: Was „luca“ anders macht als die Corona-Warn-App)

Das sind ziemlich viele Voraussetzungen, bevor die App einen echten Nutzen bringt. Und dann ist noch keineswegs sicher, dass man bei einer Warnung auch wirklich infiziert ist, es ist eben nur eine Risikoabschätzung. Ein Test ist dann notwendig, um eine tatsächliche Infektion festzustellen oder auszuschließen.

Zusammen mit diesen Kennungen werden auch Informationen über die Dauer und die Entfernung des Kontaktes (Stärke des Bluetooth-Signals) gespeichert. Damit ist eine Risikoabschätzung im Sinne „je näher, desto mehr Risiko“ und „je länger, desto mehr Risiko“ möglich.

Bei der Installation werden ausführliche Informationen angezeigt. Man sollte sich ruhig die Zeit nehmen, diese aufmerksam durchzulesen, eine Installation an einem arbeitsfreien Tag ist daher empfehlenswert. Im Zuge des Screens „Datenspende“ wird zum Beispiel darum gebeten (es ist jedoch nicht verpflichtend!), Bundesland, Kreis und Altersgruppe zusammen mit den Nutzungsdaten der App an das RKI zu übermitteln. In Vorbereitung eines künftigen Corona-Tests kann man seine persönlichen Daten eingeben (muss aber nicht). Die Testregistrierung soll dann per eigens dafür kreiertem QR-Code leichter sein.

Natürlich bekommt das ganze erst dann einen Sinn, wenn man es der App mitteilt, falls man selbst positiv auf Corona getestet wurde. Angeblich haben das bis Ende August 2021 bereits eine halbe Million Menschen getan. Die App selbst zeigt dies offenbar taggenau ebenfalls an, am 3. November sind es demnach 592.317 gewesen, 3315 allein am 2.11., zwei Tage später dann sogar 5118. Mehrere Tausend Infizierte an einem Tag melden es der App, und das sind natürlich nur die getesteten! Das ist übrigens kein einfacher Button, denn damit wäre der Missbrauch zu leicht. Statt dessen muss entweder eine TAN eingegeben oder der bereitgestellte QR-Code gescannt werden.

Erst wenn man das gemacht hat, teilt die App diese Tatsache mit der eigenen Kennung (wie gesagt, es wird nicht die Identität des Smartphone-Benutzers übermittelt) dem Servernetzwerk mit. Da jedes Smartphone sich einmal täglich alle derart gekennzeichneten IDs herunterlädt, können darüber alle Kontakte gewarnt werden. Der Vergleich mit den gespeicherten IDs findet dann wieder nur auf dem Smartphone statt.

Zusätzlich kann man in der CWA noch seine Impfzertifikate und eventuell gemachte Testergebnisse einscannen. Damit hat man dann alles in einer App übersichtlich zur Verfügung und benötigt die Covpass-App (die nur die Zertifikate verwalten kann) nicht noch zusätzlich.

Geplante Begegungen

Neben den zufälligen Begegnungen in der Öffentlichkeit gibt es seit April 2021 eine weitere Funktion, das „Checkin“. Diese ursprünglich bei der Luca-App beschriebene Funktionalität erlaubt es seitdem auch der CWA, Veranstaltungen zu organisieren bzw. daran teilzunehmen. Als Veranstalter kann man einen QR-Code für eine spezielle Veranstaltung (einmalig, zeitlich begrenzt) oder einen Raum (längerfristig nutzbar) erzeugen. Jeder Teilnehmer scannt dann den eigens dafür kreierten QR-Code. Bei einem Raum kann neben der Bezeichnung und dem Ort auch die typische Dauer des Aufenthaltes angegeben werden, die jedoch vom Besucher ganz individuell erfasst werden kann. Bei einem Event lässt sich zusätzlich Anfang und Ende eingeben.

(Probieren Sie es ruhig mit dem nebenstehenden Code aus, um zu sehen, wie es funktioniert! Danach können Sie den Eintrag aus „Check-in“ jederzeit wieder löschen.)

Dadurch lassen sich auch Situationen erfassen, die durch die etwas beengteren Räumlichkeiten bedingt sind, weil die Erfassung von Zeit und Abstand in Innenräumen nicht so zuverlässige Ergebnisse bringt. Denn die Aerosole reichern sich in schlecht belüfteten Räumen typischerweise stärker an und verteilen sich im gesamten Raum. Dadurch können auch Personen gefährdet werden, die sich nicht in dem engen Radius von 2 Metern befinden. Im Freien wiederum verteilen sich die Aerosole schneller und besser, weil im Grunde unbegrenzter Raum zur Verfügung steht und auch der Wind für eine schnellere Verbreitung und damit Ausdünnung sorgt. Auch hier gilt: Wird einer der Teilnehmer positiv getestet, können alle potentiell betroffenen informiert werden, nur dass es dann halt alle Besucher der Veranstaltung sind, die in einem gewissen Zeitraum davor und danach mit dem Infizierten zusammen in diesem Raum waren.

Das macht natürlich bei einem weitläufigen Zoo als Veranstaltungsort wenig Sinn, aber bei einer Uni-Bibliothek durchaus. Wer den Luca-Code mit der CWA scannt, braucht sich übrigens nicht zu wundern, denn dabei passiert einfach nichts, und umgekehrt wohl auch. Das hat den Nachteil, dass Veranstalter oder Gastwirte sich theoretisch mit beiden Apps beschäftigen müssen. (UPDATE 10.11.2021: Bitte beachten Sie dazu unseren neuen Artikel!) Beide Apps sind aber kostenlos verfügbar. Sofern beide QR-Codes jeweils existieren, kann der Besucher entscheiden, welche App er verwendet. Und die einmalige Erstellung und der Ausdruck eines Codes für z.B. einen Friseurladen ist nun nicht so ein großer Aufwand. Eine Verpflichtung, überhaupt eine der Warn-Apps zu verwenden, besteht übrigens nicht. Allerdings kann der Inhaber eines Geschäfts oder Restaurants aufgrund seines Hausrechts hier gewisse Vorschriften erlassen. Dann muss er natürlich auch damit leben, dass einige Leute ihn nicht besuchen.

Event- oder Raum-QR-Codes für die CWA können über diesen Link auch online erstellt werden. Dadurch wird die Weiterverarbeitung vielleicht etwas einfacher, da er nicht erst aus dem Smartphone auf den PC übertragen werden muss.

Eine Funktion, die zwar technisch sicher machbar wäre, aber aus gutem Grund zumindest in der CWA nicht einprogrammiert wurde, ist das „Geofencing“. Man müsste dabei auf die GPS-Daten des Smartphones zugreifen. Dann könnte man ein automatisches Checkout realisieren, wenn der Abstand zu groß ist. Daher muss man selbst darauf achten, sich auch wieder auszuchecken. Das geht entweder automatisch nach Ablauf der vorgegebenen Zeitspanne oder manuell durch Druck auf die entsprechende Taste.

Freiwillig oder verpflichtend?

Wie ist das nun? Muss das jeder machen? Ganz klar: Nein. Wie gesagt, für die Benutzung dieser Apps gibt es keine Verpflichtung, sie ersetzen lediglich die Kontaktverfolgungsmethoden auf Papier, die anfänglich eingeführt wurden. Je mehr Leute diese Apps verwenden, umso besser ist es. Aber das alles macht natürlich nur Sinn, wenn ein positiver Test der App auch mitgeteilt wird. Verzichten die meisten Leute darauf, ist überhaupt nichts gewonnen!

Das Problem bei der Papierform war, dass jeder lesen konnte, wer vor ihm bereits dort gewesen ist, was natürlich im Hinblick auf den Datenschutz sehr fragwürdig war. Das hat sich inzwischen allerdings erledigt, eine Verpflichtung besteht nicht mehr.

Wir sollten uns nur über eines im Klaren sein: Die Bedrohung durch eine Infektionskrankheit lässt sich nicht durch den Gebrauch einer App eliminieren, denn Software ist keine Magie. Test und Quarantäne sind dann regelmäßige Empfehlungen, Vorsichtsmaßnahmen wie Maske und Hygiene sind nach wie vor notwendig. Die Apps helfen lediglich dabei, im Falle eines erhöhten Infektionsrisikos durch den Kontakt mit einem nachweislich infizierten Menschen diese Infektionsketten zu unterbrechen, letztlich also den R-Wert zu reduzieren. Die Apps schützen also nicht den Anwender, sondern helfen Infektionsketten sichtbar zu machen und die Betroffenen zu warnen. Durch den automatischen Scan auch in Bus und Bahn oder in der Einkaufsmeile kann das erheblich besser und flächendeckender geschehen (übrigens auch im Urlaub) als die bisher nur in öffentlichen Räumen verwendeten Listen. Und im Falle der CWA – nach allem was man so lesen kann – sogar datenschutzfreundlich.

Offenlegung: Der Autor ist förderndes Mitglied im CCC.