Mehr als 300.000-mal wurde die "Stopp Corona"-App des Roten Kreuzes bisher heruntergeladen. Mit einer neuen Version will man nun weitere Nutzer für sich gewinnen. Und zwar vor allem mit zwei neuen Funktionen: einem Symptomcheck sowie der Möglichkeit, relevante Kontakte im Hintergrund automatisiert zu erfassen – also ganz ohne den von vielen als mühsam kritisierten manuellen "Handshake" zwischen zwei Geräten.

Eine Vertrauensfrage

Bei all dem betont Gerry Foitik, Bundesrettungskommandant des Österreichischen Roten Kreuzes, einmal mehr, wie wichtig das Vertrauen der Nutzer in die App sei. Und um dieses zu sichern, beharrt er nicht nur weiter auf der Freiwilligkeit der Nutzung, im Rahmen eines gemeinsame Pressegesprächs gewährten die Entwickler der Firma Accenture erstmals auch einen detaillierten Einblick in die technischen Hintergründe der App – und die Beschränkungen, mit denen man zu kämpfen hat.

Abfrage

Die erste große Neuerung ist der Symptomcheck: Über diesen sollen Nutzer herausfinden, ob ihre Erkrankungsmerkmale zu einer Infektion mit Sars-CoV-2 passen. Ist dies der Fall, gibt es dann die Möglichkeit, all die erfassten Kontakte über eine potenzielle Ansteckung zu informieren – und zwar noch vor einem positiven Test, wie Foitik betont. Das hat mit einer unerfreulichen Eigenheit des Virus zu tun, nämlich dass Covid-19 schon 24 bis 36 Stunden vor den ersten Symptomen infektiös ist, man also sonst unbemerkt jemanden anstecken könnte.

Wer solch eine Warnung erhält, soll sich dann in Isolation begeben, also nicht mehr außer Haus gehen und den Kontakt zu anderen generell vermeiden. Die Person, die selbst die Warnung ausgelöst hat, soll hingegen so schnell wie möglich einen Test durchführen lassen. Dessen Ergebnis bestimmt dann, wie es in der Phase zwei weitergeht: Entweder wird dann in der App eine Infektion bestätigt oder Entwarnung gegeben, über beides werden dann wieder die relevanten Kontakte informiert.

Kontaktparameter

Was unter einem relevanten Kontakt zu verstehen ist, umreißt Foitik folgendermaßen: Üblicherweise spreche man derzeit grob von einem 15 Minuten langen Kontakt in einem Abstand von nicht mehr als zwei Metern. Allerdings sei dies nur ein grober Richtwert. Wenn etwa jemand anderer hustet und man spaziert direkt durch diese Aerosol-Wolke, sei eine Ansteckungsgefahr wesentlich höher. Ähnlich sei es auch, wenn man gemeinsam in einem Auto sitze. All das sind auch Gründe, warum die zweite große Neuerung, die automatische Erfassung der Kontakte, nur als zusätzliche Hilfe gedacht ist – aber nicht als Ersatz für den manuellen Handshake. Eine solche App könne keine genaue Erfassung aller Umgebungsbedingungen liefern, bessere Daten liefere da die manuelle Eingabe durch die Nutzer.

Und auch die Entwickler von Accenture, die die App im Auftrag des Roten Kreuzes erarbeitet haben, schrauben die Erwartungen an den "automatisierten Handshake" erheblich zurück. Generell sei es schwierig, mit Smartphones exakte Abstandsmessungen zwischen zwei Personen zu machen, genau diesen wäre aber wichtig, um lückenlos und fehlerfrei die relevanten Kontakte zu erfassen.

Nicht mit dem iPhone

Vor allem aber gibt es auch Eigenheiten der großen Smartphone-Plattformen, die das automatisierte Erfassen von Kontakten behindern. Oder um es einfach zu formulieren: Zumindest bei Apple-Smartphones wird das Ganze vorerst nicht so funktionieren, wie sich das viele Nutzer wohl erwartet haben. Grund dafür sind Sicherheitsbeschränkungen von iOS: Apples Betriebssystem erlaubt die Ermittlung der Signalstärke eines anderen Bluetooth-Geräts, das die "Stopp Corona"-App zur Abstandsbestimmung nutzt, nur, wenn die App gerade aktiv genutzt wird. Hat man das Smartphone hingegen eingesteckt oder nutzt gerade eine andere App, blockiert iOS solche Anfragen generell. Unter Android sollte das Contact-Tracing hingegen wirklich im Hintergrund erfolgen – wobei auch hier gewisse Einschränkungen gelten. Immerhin gibt es diverse Android-Hersteller, die eigene Maßnahmen zum Stromsparen einsetzen, die hier in die Quere kommen könnten.

Lokale Speicherung

Einmal mehr betonen die Entwickler, dass die Kontakte nur am Gerät gespeichert werden. Dabei nutzt man ein Public-Key-Verfahren, wie man es von diversen Verschlüsselungsverfahren kennt. Eine eindeutige User-ID wird hingegen nicht erstellt – womit diese auch nicht nachvollzogen werden kann, wie man betont. Nach 30 Tagen werden die Daten automatisch gelöscht, da sie für die Kontaktnachverfolgung dann nicht mehr relevant sind.

Was in der Cloud landet

Allerdings gibt es auch zwei Ausnahmen von der lokalen Speicherung: Bei einer Meldung wird die Telefonnummer des potenziell Infizierten erfasst und dann 30 Tage lang gespeichert. Dann ist es natürlich auch mit der Pseudonymität vorbei. Zudem erfasst die App aber noch statistische Daten zur Nutzung. Dies sei ein expliziter Wunsch des Roten Kreuzes gewesen, da man wissen wolle, wie viel die App tatsächlich verwendet wird. Dabei werde aber lediglich der Umstand erfasst, dass eine Handshake stattgefunden hat, aber nicht, zwischen wem. Zudem wird auch der Zeitstempel mit einer gewissen zeitlichen Unschärfe versehen, um eine Nachvollziehbarkeit auszuschließen. Auch diese Daten würden nach 30 Tagen gelöscht. Zur Speicherung benutzt man einen Cloud-Server von Microsoft Azure in Frankfurt, wo die Daten verschlüsselt abgelegt seien, wie man versichert.

Ein weiteres interessantes Detail: Jene TAN, die bei einer Infektionsmeldung ausgeschickt wird, um die Telefonnummer zu validieren, wird über ein schon zuvor eingesetztes SMS-Gateway des Roten Kreuzes verschickt.

Google bleibt

Auch sonst hat sich an der Softwarebasis mit der neuen Version nur wenig geändert. Für den Handshake setzt man also weiter auf Google Nearby, eine Sammlung an Programmierschnittstellen, die die lokale Kommunikation via Bluetooth und Ultraschall zwischen zwei Geräten erlaubt. Das bedeutet natürlich auch, dass die App weiterhin das Vorhandensein von Google-Diensten auf einem Android-Gerät voraussetzt. Das ist zwar bei den meisten in Umlauf befindlichen Geräten der Fall, aktuelle Huawei-Smartphones werden aufgrund des US-Handelsbanns aber ohne diese Google-Komponenten ausgeliefert.

In Hinblick auf den Akkuverbrauch sehen die Entwickler hingegen keine großen Probleme: Die Abwicklung über Bluetooth Low Energy erfolge äußerst sparsam, da würden verbundene Bluetooth-Kopfhörer wesentlich mehr Strom benötigen. Und noch ein Punkt, der den Entwicklern wichtig ist: Standortdaten würden von der App generell nicht gesammelt, es werden tatsächlich nur Kontakte verzeichnet, aber nicht, wo diese stattgefunden haben.

Ausblick nach Europa

Langfristig denkt man bei Accenture über einen Wechsel bei der technologischen Basis nach. Derzeit sei man intensiv im Austausch über die Nutzung von Pepp-PT, eines europaweiten Projekts, das sich als Ziel gesetzt hat, eine gemeinsame – und Privacy-freundliche – Grundlage für Contact-Tracing-Apps zu schaffen.

Kein Zwang für Reisen

Generell betont Foitik, dass die Interoperabilität mit den Apps anderer Länder wichtig wäre, geht er doch davon aus, dass solche Programme zumindest für die nächsten 12 bis 18 Monate eine wichtige Rolle bei der Kontaktnachverfolgung spielen werden. Von einer Verpflichtung hält er dabei aber weiterhin nichts. Neben der erwähnten Frage des Vertrauens sei so etwas ohnehin nicht umsetzbar, weil dann die Nutzer einfach Bluetooth auf ihrem Smartphone deaktivieren würden. Und auch von gezielten Kontrollen – etwa vor Flugreisen – hält er nichts. Denn einerseits vollziehen Fluglinien ohnehin schon ein sehr umfassendes Contact-Tracing, da sie exakt wissen, wer wo sitzt. Und generell sei die Ansteckungsgefahr im Flieger aufgrund der dauernden Filterung der Luft sehr gering.

Open Source? Bitte warten!

Eine von Datenschützern immer wieder geäußerte Forderung ist jene zur Freigabe des Quellcodes. Denn nur so könnte unabhängig geprüft werden, ob die Angaben der Entwickler auch wirklich korrekt seien. Bei Accenture tritt man in dieser Hinsicht etwas auf die Bremse: Ja, eine Freigabe sei geplant, aber werde wohl noch einige Zeit dauern, heißt es offiziell. Grund dafür sei, dass man dafür einerseits den Code noch dokumentieren müsse. Zudem müsse der Code zuvor auch noch besser abgesichert werden, wie Michael Zettel, Country Managing Director Accenture Österreich, eingesteht.

Als ersten Schritt unternehme man insofern zunächst einmal eine Art "Shared Source"-Modell, wie es etwa auch Microsoft immer wieder verwendet hat. Der Quellcode wird also einzelnen Organisationen zur Einsicht gegeben. Zurzeit würden dazu etwa die Datenschutz-NGOs Noyb sowie Epicenter Works gehören, die in den kommenden Tagen erste Analysen des Source Codes veröffentlichen sollen.

Bluetooth Beacons

Zu jenen Bluetooth Beacons, die etwa in Form eines Schlüsselanhängers für jene ohne Smartphone angeboten werden sollen, hatte man hingegen wenig Neues zu vermelden. Derzeit warte man hier auf die Entwicklungen anderer, etwa des Pepp-PT-Projekts, die man dann übernehmen könne. Zudem schaue man sich gerade nach passenden Geräten um und überlege auch, wie die Finanzierung laufen könne, damit diese dann möglichst günstig oder auch kostenlos verfügbar wären.

Finanzierungsfragen

Apropos: Besonders wichtig sind Foitik auch ein paar Worte zur Finanzierung der App, immerhin kommt diese von der Uniqa-Versicherung – was bei einigen die Alarmglocken schrillen ließ. Deswegen betonte der Bundesrettungskommandant des Österreichischen Roten Kreuzes, dass es sich hierbei um eine Spende handle, die den dafür üblichen Vereinbarungen unterliegt. Das heißt, dass die Uniqa lediglich eine Zweckwidmung vergibt und einen Abschlussbericht erhält – Daten über die Nutzung würden hingegen in keiner Form übermittelt.

Update

Die neue Version der "Stopp Corona"-App wurde bereits bei Apple und Google für die Veröffentlichung in ihren jeweiligen App Stores freigegeben. Die Entwickler gehen davon aus, dass eine Freigabe des Updates noch im Laufe des Freitags erfolgen wird. (Andreas Proschofsky, 10.4.2020)