Eines muss man den Entwicklern der "Stopp Corona"-App lassen: Sie waren früh dran, sehr früh sogar. Gerade im europäischen Vergleich konnte man damit eine Art Pionierrolle unter Apps zur Bekämpfung der Covid-19-Pandemie einnehmen. Eine Rolle, die aber oft auch undankbar ist, wie man schnell feststellen musste. Den großen Versprechen zu Beginn folgte bald die Erkenntnis, dass das alles technisch bei weitem nicht so einfach ist, wie man sich das vorgestellt hatte – und die App entsprechend kaum einen realen Nutzen hatte. Garniert wurde dies mit einer – von Teilen der ÖVP – los getretenen Diskussion über eine etwaige Verpflichtung zur Installation, die dem Vertrauen der Bevölkerung in die App schweren Schaden zugefügt hat.

Alles neu macht der Juni

Einige Monate später kommt nun der Neustart: Mit einer neuen Version der "Stopp Corona"-App wechselt diese auf eine komplett neue technische Grundlage, und zwar eine, die zentrale Probleme der Vorgängerversion ausräumen soll, wie die Softwareentwickler von Accenture, die die App im Auftrag des Roten Kreuz entwickelt habe, erklären. Die Basis bildet dabei ein sogenanntes "Tracing Framework", das gemeinsam von Apple und Google ersonnen wurde. Dieser Ansatz hat vor allem einen entscheidenden Vorteil: Er kann Kontakte auch dann aufzeichnen, wenn das Gerät gerade nicht aktiv genutzt wird – etwas, das bei iPhones, aber auch bei vielen Android-Smartphones bisher nicht der Fall war.

Der Kern dieser Technologie zur Kontaktnachverfolgung wurde in den vergangenen Wochen bereits an alle aktuellen iPhones (ab iOS 13.5) und Android-Smartphones (ab Android 6.0, Google-Dienste werden vorausgesetzt) ausgeliefert. Allerdings in einem inaktiven Zustand, erst die explizite Aktivierung durch eine passende App startet dann das eigentliche "Contact Tracing". Das gilt auch für jene, die die "Stopp Corona"-App bereits nutzen, diese müssen beim nächsten App-Start nun noch einmal der Datensammlung zustimmen.

Die App ist in diesem Modell übrigens genau genommen nur für das Bereitstellen von Informationen, einen Gesundheitscheck und die Abwicklung der Krankmeldungen zuständig, während die Kontaktnachverfolgung vom Betriebssystem selbst abgewickelt wird.

Bluetooth

Die Kernfunktionalität ist dabei zunächst einmal die gleiche wie zuvor: Über Bluetooth-Verbindungen tauschen Smartphones untereinander pseudonyme IDs aus. Gleichzeitig werden dabei andere Faktoren wie der Abstand zwischen den beiden Smartphones oder die Länge des Kontaktes ermittelt, woraus dann die App berechnet, ob es sich in diesem Fall um einen für eine Infektion relevanten Kontakt gehandelt hat – oder eben nicht. Diese Formel kann übrigens im Nachhinein angepasst werden, also um etwa je nach Bedarf – und neuen wissenschaftlichen Erkenntnissen – die Sensibilität für die Klassifizierung als "relevanter Kontakt" zu verändern. Erkrankt dann eine Person an Sars-CoV-2, meldet diese das in der App – so zumindest der Wunsch, eine Verpflichtung dazu gibt es nicht.

Die Krankmeldung ist dann auch der erste Moment, in dem Daten an einen Server des Roten Kreuzes übertragen werden. Zuvor werden sämtliche Tracing-Informationen lediglich lokal am Smartphone der Nutzer gespeichert – ein dezentrales Modell, für das sich die beiden Softwarehersteller mit Blick auf die Privatsphäre bewusst entschieden haben. Bei der Krankmeldung werden dann die eingesammelten IDs der vergangenen 14 Tage übertragen. Diese Zeitbeschränkung ergibt sich automatisch daraus, dass Kontakte im Apple/Google-Modell generell nicht länger aufgezeichnet werden, da dies einerseits für den Zweck ausreichend ist und andererseits verhindert werden soll, dass hier große Datenmengen dauerhaft gespeichert werden.

Das Rote Kreuz erfährt übrigens im Laufe dieses Prozesses lediglich, wer sich krankmeldet, wer hinter den übertragen IDs – also den relevanten Kontakten – steckt, ist hingegen nicht nachvollziehbar. Dafür sorgt ein ausgeklügeltes System, bei dem alle 15 Minuten die nach außen gesendete Kennung eines Smartphones neu erstellt wird – und die selbst wieder auf einem Schlüssel basiert, der alle 24 Stunden gewechselt wird.

Zweistufiges Modell

Die Krankmeldung verläuft dabei in zwei Schritten. So sollen die User bereits dann eine Warnung verschicken, wenn sie entsprechende Symptome verspüren. Dies wird dann als Benachrichtigung an alle relevanten Kontakte verschickt. Diese "gelbe Warnung" rät zunächst einmal nur dazu, Abstand zu anderen Personen zu halten, und andere Sicherheitsmaßnahmen zu ergreifen. Erst wenn sich dann der auslösende Fall bestätigt, also eine Sars-CoV-2-Erkrankung bei der ursprünglichen Person über einen Test bestätigt wird, wird den Kontakten geraten sich in Selbstquarantäne zu begeben und einen Covid-19-Test durchführen zu lassen. Diese zweistufige System soll dabei helfen, möglichst früh zu warnen, gleichzeitig aber auch die Möglichkeit bieten, bei einem Fehlalarm wieder Entwarnung zu geben, bevor ein Test notwendig wird.

Einen Zwang, diesen Ratschlägen der App zu folgen, gibt es dabei nicht. Da wie erwähnt gar nicht nachvollziehbar ist, wer hinter den jeweiligen IDs steckt, liegt das also vollständig in der Eigenverantwortung der Betroffenen. Auch in die andere Richtung wurde großer Wert auf die Wahrung der Privatsphäre gelegt: Wird man über einen relevanten Kontakt informiert, weiß man ebenfalls nicht, mit wem oder wo dieser stattgefunden hat.

Zur Abwicklung der Krankmeldung noch ein wichtiger Punkt: Um zu verhindern, dass es hier zu gezielten Falschmeldungen kommt, müssen die Betroffenen in diesem Fall eine Telefonnummer angeben, an die dann eine TAN – ähnlich wie beim Online-Banking – geschickt wird, die anschließend in der App eingegeben werden muss.

Freiwilligkeit als Kernelement

Eigenheiten, die auf eines der Kernkonzepte der Apple/Google-Lösung zurückzuführen sind: die Freiwilligkeit. Diese wird von den beiden Unternehmen nämlich allen Herstellern solcher Apps vorgeschrieben, ansonsten werden die entsprechenden Programme schlicht nicht in die jeweiligen App Stores aufgenommen. Auch sonst gibt es klare Spielregeln: So darf es pro Land etwa nur eine solche "Contact Tracing"-App geben, und diese muss noch dazu von lokalen Gesundheitsbehörden stammen. Nichtautorisierte App-Hersteller haben hingegen keinerlei Zugriff auf die Contact-Tracing-Funktionen von Android und iOS. Eine weitere wichtige Vorschrift: Entsprechende Apps dürfen parallel keinerlei Standortdaten sammeln. Den Regeln von Google und Apple ist dabei auch eine der bisherigen Funktionen der "Stopp Corona"-App zum Opfer gefallen: Das Kontakttagebuch, das über die konkreten Tracing-Ereignisse informiert, wurde aus Privatsphärengründen gestrichen.

Gleichzeitig darf aber natürlich nicht übersehen werden, dass das mit der Freiwilligkeit so eine Sache ist. Denn auch wenn es von staatlicher Seite nicht vorgeschrieben ist, so warnen Kritiker doch davor, dass hier ein Zwang über die Hintertür eingeführt werden könnte – etwa wenn Arbeitgeber ihren Mitarbeitern die Nutzung vorschreiben. Entsprechend gibt es beispielsweise in Deutschland mittlerweile lautstarke Forderungen, solche Apps auch mit gesetzlichen Rahmenbedingungen zu begleiten, um exakt solche Dinge zu verhindern. In Österreich geht man hingegen davon aus, dass schon die aktuelle Gesetzeslage ausreicht. So betonte Arbeitsministerin Christine Aschbacher (ÖVP) unlängst in einer Beantwortung einer parlamentarischen Anfrage, dass Arbeitgeber ihre Arbeitnehmer nicht zur Installation der App zwingen können.

Geht bei vielen nicht

Diesen Befürchtungen steht allerdings zumindest derzeit auch noch eine andere Realität gegenüber: nämlich dass es einen guten Teil der Bevölkerung gibt, die überhaupt kein Smartphone haben und bisher solche Systeme zur Kontaktnachverfolgung gar nicht nutzen können. Dazu kommt noch, dass es eben auch Smartphones gibt, die das System nicht unterstützen – etwa aktuelle Huawei-Geräte, die aufgrund des US-Handelsbanns mittlerweile oft ohne Google-Dienste ausgeliefert werden.

Zielsetzung

Eine der Kernfragen bei alldem ist: Wozu das alles eigentlich? Immerhin sind die Infektionszahlen ohnehin stark zurückgegangen. Das Rote Kreuz sieht aber gerade in dieser Situation die App als ein wichtiges Tool, um die aktuellen Lockerung auch aufrechterhalten zu können. Durch frühe Warnungen soll die Ausbreitung des Virus eingedämmt – und so im besten Fall eine zweite Welle verhindert werden. Bei Apple und Google versucht man hingegen die Erwartungen nicht allzu groß werden zu lassen. Das eigene Framework sei lediglich ein Hilfsmittel, das manuelles "Contact Tracing" – also durch eine Befragung nach einer Infektion – ergänzen und vereinfachen soll, aber keinesfalls ein vollständiger Ersatz.

Funktioniert das überhaupt?

Während es für die technische Umsetzung schon in den vergangenen Wochen viel Lob von Datenschützern und Sicherheitsexperten gegeben hat – etwa auch für den Umstand, dass die App Open Source ist, also der Quellcode frei einsehbar –, ist eine andere zentrale Frage derzeit noch offen: nämlich ob solche Apps überhaupt einen realen Nutzen haben. Gibt es zu diesem Punkt doch bisher nur theoretische Annahmen, aber noch kaum brauchbare Erfahrungswerte.

Befürworter berufen sich in diesem Zusammenhang gerne auf eine Studie von Forschern der Universität Oxford, die davon ausgeht, dass die Pandemie effektiv eingedämmt werden kann, wenn 60 Prozent der Bevölkerung die App benutzen – aber auch, dass sie schon bei einer deutlich niedrigeren Nutzungsrate positive Effekte zeigt. Kritiker verweisen hingegen darauf, dass all dies unter der Annahme von technischen Optimalbedingungen berechnet wurde, die Praxis aber eine komplett andere sei.

Viele Unwägbarkeiten

Und tatsächlich gibt es bei solchen Systemen zahlreiche Unsicherheitsfaktoren. So ist Bluetooth generell nur sehr begrenzt für die Abstandsbestimmung geeignet – und noch weniger, um relevante Kontakte aufzuzeichnen. Dafür gibt es zwei klassische Beispiele: So könnte etwa eine relativ nahe sitzende Person im gleichen Raum nicht als Kontakt aufgezeichnet werden, wenn dazwischen noch andere sitzen – einfach weil Menschen zu großen Teilen aus Wasser bestehen, durch die solche Wellen schlecht dringen. Deutlich "bessere" Chancen auf die Aufzeichnung eines Kontaktes gibt es hingegen, wenn man ein paar Meter von einer anderen Person entfernt sitzt, die durch eine Glasscheibe getrennt ist – obwohl hier gar keine Infektion möglich ist.

Kritiker befürchten nun, dass es zu einer großen Zahlen von "falschen Positiven" und "falschen Negativen" kommen könnte, beides Faktoren, die die Relevanz der von der App gelieferten Daten deutlich reduzieren könnten. Und das wiederum könnte negative soziale Effekte haben: Denn wenn einer Person mehrfach zur Selbstquarantäne geraten wird, und dann der Test immer negativ ist, könnte dies bald dazu führen, dass sie sich künftig nicht mehr an diese Ratschläge hält. Umgekehrt könnte es wiederum so sein, dass Nutzer der Apps leichtsinniger werden, weil sie sich ohnehin geschützt fühlen – und dann auch ohne Benachrichtigung erkranken. All diese Überlegungen sind aber wie gesagt derzeit rein spekulativer Natur, erst im längeren Praxiseinsatz wird sich zeigen, wie gut das alles wirklich klappt.

Sicherheitsfragen

Ein weiterer vieldiskutierter Punkt ist die Sicherheit solcher Apps. So haben Forscher erst unlängst vor einer theoretischen Standortüberwachung der Nutzer durch Aufzeichnung der von den Smartphones ausgesendeten Bluetooth-IDs gewarnt. In der Praxis dürfte das aber ein eher unrealistisches Szenario sein, weil hier die zuvor erwähnten Sicherheitsmaßnahmen von Apple und Google greifen – also der laufende Wechsel der ID. Wer hier also eine Totalüberwachung von Smartphone-Usern vornehmen will, müsste dafür nicht nur praktisch flächendeckend eine Unzahl an entsprechenden Bluetooth-Empfängern anbringen, er müsste diese Daten auch noch mit anderen Informationen wie Kameraaufnahmen kombinieren, um dann auch wirklich jemanden identifizieren zu können. Und spätestens an dieser Stelle dürfte sich dann selbst bei Geheimdiensten die Frage der Sinnhaftigkeit stellen. Immerhin gibt es zur Standortüberwachung von Smartphones einfachere und weniger auffällige Methoden.

Was hingegen ein durchaus relevanter Punkt ist: Mit der Aktivierung von Bluetooth wird ein Smartphone zu einem gewissen Grad auch leichter angreifbar. Immer wieder sind in den vergangenen Jahren entsprechende Lücken in den Betriebssystemen der Hersteller aufgetaucht. In der Praxis könnte dies also bedeuten, dass sich gerade Nutzer von veralteten Android-Geräten, die keine Updates mehr erhalten, einem höheren Risiko aussetzen. Für die wachsende Schar jener, die Bluetooth ohnehin immer anhaben, um etwa drahtlose Kopfhörer zu nutzen, ändert sich hingegen am Risiko nichts.

So halb international

Die Nutzung der einheitlichen Apple/Google Lösung hat aber noch einen weiteren, nicht zu unterschätzenden Vorteil: Das "Contact Tracing" funktioniert damit nämlich auch länderübergreifend. Also zumindest in jenen Ländern, die sich für diesen Ansatz entschieden haben. In Europa haben aber mittlerweile praktisch alle eingesehen, dass eine technisch auch wirklich funktionstüchtige Lösung ohne die direkte Einbindung in Android und iOS nicht möglich ist. Die große Ausnahme bildet hier derzeit Frankreich, während Großbritannien erst vor kurzem umgeschwenkt ist.

In Deutschland gibt es eine entsprechende App auf Apple/Google-Basis hingegen schon seit zwei Wochen. Und sie ist mit bisher mehr als zwölf Millionen Downloads erheblich erfolgreicher als die österreichische, bei der zuletzt von 680.000 Downloads die Rede war. Dazu kommt noch, dass die Zahl der aktiven Nutzer nur bei rund der Hälfte diese Zahl liegen soll. Ein guter Teil der Interessenten scheint die App also nur ausprobiert und dann wieder entfernt zu haben.

Mit der neuen Version der App fällt auch eine andere Beschränkung, die bisher den Zugang für manche erschwert hat. Schon bald soll die "Stopp Corona"-App auch auf Geräten von Nutzern aus anderen Ländern heruntergeladen werden – in einem kurzen Test klappt dies aber zumindest unter Android noch nicht. Die Beschränkung auf die österreichischen Varianten von App Store und Play Store hatte dazu geführt, dass viele, die Österreich besuchen oder auch in der jüngeren Vergangenheit hierher gezogen sind, ausgeschlossen wurden.

Es gibt bei der grenzüberschreitenden Kompatibilität aber eine entscheidende Einschränkung: Das Gesagte gilt nämlich nur für das "Contact Tracing" selbst. Die Abwicklung der Infektionsmeldungen obliegt hingen den lokalen Behörden – und funktioniert somit nur innerhalb der einzelnen Länder. Eine europaweite Lösung ist hier zwar in Entwicklung, aber diese befindet sich noch ganz am Anfang, wann sie zur Verfügung stehen wird, ist also noch unklar.

Die Masse macht es aus

Die wahre Hürde ist trotzdem eine ganz andere: nämlich genügend Smartphone-User dazu zu bringen, die App auch wirklich zu installieren. Das Rote Kreuz will dies mit einer Werbekampagne erreichen, die dieser Tage startet. Ob man damit erfolgreich sein wird, ist angesichts des durch all die Kontroversen genährten Misstrauens allerdings ungewiss.

Update

Die neue Version der App steht bereits in den App Stores von Apple und Google zur Verfügung. Hat man bereits die neue App merkt man dies schnell, da auf den Umstieg auf die Apple/Google-Schnittstellen beim ersten Start hingewiesen wird – und die dafür notwendigen Berechtigungen eingeholt werden. Eine Anmerkung noch für Android-User: Nach dem Update kann es auf manchen Geräten dazu kommen, dass die App abstürzt. In diesem Fall hilft eine komplett Deinstallation und anschließende Neueinrichtung der App. Accenture betont, dass das Problem bekannt ist, aber der Fehler auf Seiten Googles zu suchen sei, wohin man den Bug auch bereits gemeldet hat. (Andreas Proschofsky, 26.6.2020)