Seit Dienstag, 16.06.2020, ist auch in Deutschland eine von der Bundesregierung zur Verfügung gestellte Contact-Tracing-App zur Eindämmung des Corona-Virus verfügbar. Das dezentrale Konzept, auf dessen Basis die Anwendung entwickelt wurde, wird von Wissenschaftlern des Horst Görtz Instituts für IT-Sicherheit (HGI) befürwortet. Auch die Möglichkeit, dass der Quellcode aus Gründen der Transparenz offen im Internet einsehbar ist, bewerten sie als positiv.
„Die Corona-Warn-App entspricht grundsätzlich aktuellen Datenschutzstandards, auch wenn wir im Detail Verbesserungsmöglichkeiten sehen. Wir würden uns aber wünschen, dass die Bundesregierung in einem Gesetz die Zwecke der Nutzung der App eng beschränkt," erklären Dr. Martin Degeling vom Lehrstuhl für Systemsicherheit und Maximilian Golla vom Max-Planck-Institut für Sicherheit und Privatsphäre Bochum.
„Ich selbst habe sie mir eben heruntergeladen und hoffe, dass auch viele andere Menschen diesen Schritt gehen werden. Denn nur durch eine breite Nutzung der App können Infektionsketten besser nachvollzogen werden,“ fügt Prof. Thorsten Holz, Sprecher des HGI, hinzu.
Daten werden dezentral gelagert
Die Anwendung ist auf der Basis des technischen Konzepts „DP-3T“ entwickelt worden. Dabei tauschen die Geräte über Bluetooth zufällig generierte kryptographische Schlüssel aus, die alle zweieinhalb bis fünf Minuten verschickt werden (Rolling Proximity Identifier). Die Daten werden dezentral auf den Endgeräten gelagert. Wenn User positiv auf das Covid-19-Virus getestet worden ist, kann dem Server via TAN oder QR-Code darüber Bescheid gegeben werden. Dieser verteilt eine Liste mit infizierten IDs, die von den mobilen Endgeräte lokal daraufhin geprüft werden können, ob ein Treffen mit eine dieser IDs stattgefunden hat und über welchen Zeitraum. Darauf basierend wird das Risiko eingeschätzt und eine Warnung angezeigt.
Diskussionen zu Konzepten „PEPP-PT“ und „DP-3T“
Im Vorfeld hatte es einige Diskussionen um die Entwicklung der App gegeben. Gegen das ursprünglich geplante Konzept „PEPP-PT“ hatten sich zahlreiche internationale Wissenschaftler*innen, unter ihnen auch zahlreiche HGI-Forscher*innen, und Expert*innen der Computersicherheit aus datenschutzrechlichen Bedenken in einem offenen Brief ausgesprochen. Der öffentliche Aufruf hat Wirkung gezeigt, die Bundesregierung hat sich durch eine Kursänderung noch für die Basis „DP-3T“ (Decentralized Privacy-Preserving Proximity Tracing) entschieden. (Wie dies funktioniert, erfahren Sie unter https://hgi.rub.de/presse/aktuelles/news/cryptool-projekt-veranschaulicht-hintergruende-von-dezentralen-tracing-apps/?tx_news_pi1%5Bcontroller%5D=News&tx_news_pi1%5Baction%5D=detail&cHash=60f6e301bd22ddfa35d25edcf1392cb7).
Der Download ist kostenlos und die Nutzung der App erfolgt auf freiwilliger Basis.