Neue Version der Corona-Warn-AppEinchecken per QR-Code

Die Corona-Warn-App bekommt diese Woche eine neue Funktion: Nutzer:innen können sich dann auf Veranstaltungen oder in der Gastronomie einchecken. Doch das Feature bringt auch neue Risiken mit sich.

Schaufenster eines Cafés mit QR-Code
Ab dieser Woche sollen sich Nutzer:innen der Corona-Warn-App per QR-Code in Cafés einchecken können – zumindest in der Theorie. Gemeinfrei-ähnlich freigegeben durch unsplash.com Rebecca Hausner

Aus dem zunächst angekündigten Termin „recht zeitnah nach Ostern“ wurde nichts mehr, doch noch diese Woche soll die Corona-Warn-App ein Update bekommen, das viele seit langem herbeisehnen. Dann wird man sich mit der offiziellen Warn-App des Bundes auch auf Veranstaltungen, im Museum oder Restaurant einchecken können, sobald diese Orte wieder öffnen. „Noch diese Woche“ soll die so genannte Event-Registrierung in der App kommen, sagt eine Sprecherin des Bundesgesundheitsministeriums, das die App bei SAP und der Telekom in Auftrag gegeben hat.

Die Idee hinter der neuen Funktion: Infektionsrisiken in Räumen erkennen, in denen man sich gemeinsam mit einer infizierten Person aufgehalten hat. Diese so genannte Cluster-Erkennung hatten Fachleute bereits vergangenen Herbst gefordert. Bisher registriert die App über ein Funksignal lediglich den räumlichen Abstand zu einem anderen Smartphone. Doch seit klar ist, wie stark Aerosole zum Infektionsrisiko beitragen, reicht dieser Ansatz nicht mehr aus. Inzwischen sind sogar Fälle bekannt, in denen Menschen andere angesteckt haben, die nicht mal zeitgleich, sondern nach ihnen in denselben Räumen waren. Mit der Event-Registrierung könnte die Corona-Warn-App künftig auch in solchen Fällen Gäste warnen – auch jene, die weiter als 1,5 Meter entfernt saßen oder später den Raum betraten.

Personen, die die App nutzen, sollen dazu künftig beim Betreten eines Restaurants oder einer Veranstaltung einen QR-Code scannen. Wird ein Gast später positiv auf das Virus getestet, kann er oder sie das in der App melden. Andere Gäste, die zeitgleich dort waren, werden gewarnt.

Anderes Prinzip als Luca

Eine Check-In-Funktion per QR-Code, das bietet auch die zuletzt prominent von Rapper Smudo beworbene Luca App. Doch die beiden Systeme unterscheiden sich in einem wesentlichen Punkt: In Luca müssen sich Nutzer:innen mit ihren persönlichen Daten anmelden: Telefonnummer, Name und Adresse. So soll später sicher gestellt werden, dass das Gesundheitsamt sie im Fall eines Infektionsrisikos persönlich erreichen kann. Das Amt trifft auch die Entscheidung darüber, ob überhaupt eine Warnung ausgelöst werden soll.

In der neuen Version 2.0 der Corona-Warn-App wird dagegen ein anderer Ansatz verfolgt: Nutzer:innen bleiben in diesem Fall weiterhin anonym. An welchen Orten sie in den vergangenen 14 Tagen eingecheckt waren, wird lediglich auf ihrem eigenen Smartphone gespeichert, in einem „Kontakttagebuch“, das in die App eingebaut ist. Meldet jemand eine Infektion, werden alle anderen Gäste der Veranstaltungen über die App gewarnt, so wie das bisher auch schon im Fall einer Risikobegegnung geschah. Das Gesundheitsamt ist an keiner Stelle dazwischen geschaltet und bekommt auch keine Daten.

Ministerium sieht Apps als Ergänzung

Um die Frage, welche der beiden Varianten im Kampf gegen die Ausbreitung des Virus den größeren Nutzen hat, ist in den vergangenen Wochen eine heftige Diskussion entbrannt. Die einen feierten Luca als einen Heilsbringer im Kampf gegen die Pandemie. Aus den zahlreichen Bundesländern, die bereits Lizenzen für Luca abgeschlossen haben, hört man, die persönlichen Daten seien für die Kontaktverfolgung der Gesundheitsämter unabdingbar.

Das Lager der Corona-Warn-App-Fans sieht hingegen den Vorteil gerade darin, dass Nutzer:innen auch ohne Zutun des Gesundheitsamtes gewarnt werden können: Die Ämter seien derzeit schließlich ohnehin überlastet. Sie plädieren für mehr Vertrauen auf die Eigenverantwortung als für Kontrolle. In der Dokumentation von SAP heißt es dazu lapidar: „Diese Lösung priorisiert die Geschwindigkeit der Warnungen über ihre Genauigkeit. Ein höheres Maß an Genauigkeit würde eine händische Einordnung einer lokalen Gesundheitsbehörde erfordern und die entsprechenden Ressourcen.“

Im Bundesgesundheitsministerium ist man explizit darauf bedacht, die beiden Apps nicht gegeneinander auszuspielen – wohl auch vor dem Hintergrund, dass 13 Bundesländer bereits Fakten geschaffen haben und der Bund ohnehin die Kosten von 20 Millionen Euro trägt. Dort lautet die Sprechregelung: „Die CWA bleibt das Mittel der Wahl, um unbekannte Risiken zu erkennen und Kontakte zu warnen. Die anonyme Event-Registrierung der CWA ist hauptsächlich für private Events gedacht.“ Luca solle dagegen die bisherigen Papierlisten in Restaurants ersetzen und dafür sorgen, dass Kontaktdaten zum Gesundheitsamt gelangen.

Damit Gäste beim Betreten einer Veranstaltung nicht mehrere QR-Codes checken müssen, hat man sich mit den Betreibern von Luca darauf verständigt, die Codes zusammenzuführen: Wer einen Code scannt, soll dann sowohl über Luca als auch anonym via Corona-Warn-App eingecheckt werden.

Neue Funktion bringt neue Risiken

Die Corona-Warn-App gilt vielen als vorbildliches IT-Projekt: Der Quellcode ist offen und wurde von unabhängigen Expert:innen überprüft, auch für ihre Datensparsamkeit wird sie gelobt. Doch die neue Funktion bringt auch neue Angriffsflächen mit sich. Darauf weisen auch die Entwickler:innen von SAP in ihrer Dokumentation hin.

Carmela Troncoso forscht an der Universität EPFL zum Thema Privatsphäre, sie hat das Modell CrowdNotifier mitentwickelt, das in der Schweiz bei der Event-Registrierung zum Einsatz kommt und ist im engen Austausch mit den Entwickler:innen von SAP. Kritisch seien vor allem drei Dinge an der neuen Funktion, sagt sie.

Die erste Schwachstelle betrifft gezielte Angriffe auf Veranstaltungsorte. Nutzer:innen könnten die Warnungen in der Corona-Warn-App dazu missbrauchen, um unliebsame Orte dicht zu machen. Denkbar wäre etwa eine Angreiferin, die alle Schwulenbars der Stadt fälschlicherweise zu Infektions-Hotspots erklärt. Dazu braucht diese Person lediglich eine Sammlung der QR-Codes dieser Orte, um sich dann zuhauf mit der App einzuchecken. Anschließend besorgt sie sich eine falsche Corona-Infektion, zum Beispiel mit einer überzeugenden Vorstellung bei der Hotline der Telekom, die ihr eine Tele-Tan zuteilt, mit der sie ihren Infektionsstatus in der App melden kann.

Um das Schlimmste zu verhindern, haben die Entwickler:innen von SAP die Menge der möglichen Check-ins pro Tag gedeckelt: Nach einer bestimmen Zahl ist Schluss. Wo die Grenze liegt, ist nicht bekannt. Behoben ist das Problem damit aber nicht, wie auch SAP eingesteht. Es wird dadurch lediglich schwerer, eine große Zahl an Veranstaltungsorten gleichzeitig dicht zu machen.

Versteckte Check-Ins

Weitere Schwächen betreffen die Anonymität der Nutzer:innen. Warnt eine positiv getestete Nutzerin über die neue Corona-Warn-App andere, dann lädt sie binnen kurzer Zeit ihre verschlüsselten Check-ins aus den vergangenen Tagen hoch. „Wenn ich all diese Schlüssel herunterlade, weiß ich, dass es eine Person gibt, die all diese Orte besucht hat“, sagt Troncoso. Die Daten sind zwar verschlüsselt und lassen sich erst mal keiner Person zuordnen. Gelingt es aber, die Orte hinter den Schlüsseln aufzudecken, könnte dieses Bewegungsprofil in Kombination viel über die Nutzerin verraten.

SAP betreibt hier Risikobegrenzung, indem es die echten Check-Ins mit einem Haufen falscher Veranstaltungen mischt. So sollen die echten Anmeldungen quasi unter Pseudo-Events begraben werden, die es in Wirklichkeit nie gab und die daher auch keine falschen Warnungen auslösen können. Troncoso bleibt aber skeptisch: „Es ist ein sehr schwer zu lösendes Problem.“

Ein weiteres Problem: Über den schnellen Upload der Check-Ins ließe sich auch ableiten, wie viele positive Personen sich zeitgleich an einem Ort oder auf einer Veranstaltung befanden. Anders als bei Luca kann dies jedoch nicht in Echtzeit abgelesen werden, sondern erst zeitversetzt, wenn diese Personen ihre Infektion in der App melden.

Troncoso betont, dass SAP all diese Schwachstellen selbst ausführlich dokumentiert habe. Es sei eine bewusste Entscheidung gewesen, diese Risiken in Kauf zu nehmen, als Preis für mehr Geschwindigkeit. Letztlich, sagt Troncoso, sei die Corona-Warn-App trotz dieser Risiken noch traumhaft, vergleiche man sie mit der Luca-App. Denn die dezentrale Architektur macht es Angreifer:innen eben schwer, an die Daten zu kommen: Sie zu sammeln, kostet Fleiß und Beinarbeit. In einem zentralen Modell wie Luca reicht hingegen der Zugriff auf den zentralen Server.

Könnten Apple und Google das Update verhindern?

Großbritannien hat von Anfang an eine Check-In-Funktion in seine nationale Warn-App „NHS Covid-19“ integriert. Nutzer:innen scannen bereits seit dem Herbst QR-Codes, wenn sie ins Pub oder auf den Sportplatz gehen. Allerdings läuft dort aktuell einiges nicht nach Plan. Die BBC berichtete Anfang der Woche, dass Apple und Google ein geplantes Update der App verhindert hätten. Nutzer:innen sollten gebeten werden, im Fall einer Infektion ihre Check-In-Historie hochzuladen. Das verstößt aber gegen die strikten Regeln, die Google und Apple jenen Apps auferlegen, die ihre Infrastruktur – die Exposure Notifications – für die Kontaktverfolgung nutzen. Sowohl die britische App als auch die Corona-Warn-App bauen auf diesem Gerüst auf.

Auf Twitter äußerten IT-Fachleute die Befürchtung, dieses Schicksal könne deswegen auch der neuen Version der Corona-Warn-App drohen, wenn die Event-Registrierung kommt. Doch eine Sprecherin des Gesundheitsministeriums räumt die Bedenken aus: Die App sei anders als die NHS COVID-19 App in Großbritannien nicht von der Sperre bedroht, da sie auf einem dezentralen Ansatz basiere. „Die Corona-Warn-App speichert weder ortsbezogene Daten via GPS, noch legt sie personenbezogene Daten auf einem zentralen Server ab. Nutzerinnen und Nutzer können allenfalls manuell und freiwillig im Kontakttagebuch Einträge zu besuchten Orten oder Personen als Erinnerungshilfen anlegen.“ Damit stehe die App in Einklang mit den Richtlinien von Google und Apple.

Update 15.4.: In einer ursprünglichen Version dieses Beitrags stand, durch die Check-In-Funktion der Corona-Warn-App könne man erfahren, wie viele Gäste auf einer Veranstaltung waren. Richtig ist: Über den Upload der Check-Ins kann man rekonstruieren, wie viele positive App-Nutzer:innen dort waren. Wir haben den Fehler korrigiert. Außerdem haben wir das Statement von Carmela Troncoso um einen Satz zur Risikoabwägung von SAP ergänzt.

Update 21.4.: Die neue Version 2.0 wurde veröffentlicht.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

6 Ergänzungen

  1. Zumindest das im letzten Abschnitt beschriebene Problem der drohenden Update-Verhinderung durch Google ließe sich elegant umgehen, wenn SAP die Nutzung der Exposure Notifications API der Google Play Services durch Marvin Wißfelds Nachbau aus microG (https://microg.org) ersetzen würde, der bereits im Google-freien CWA-Fork Corona Contact Tracing Germany (CCTG, https://f-droid.org/de/packages/de.corona.tracing/) integriert ist.
    CCTG funktioniert komplett standalone – ohne Google Play Services und ohne microG.
    Gleichzeitig wäre das ein Argument zur Nutzung der Corona Warn App für all diejenigen, diese nur deshalb nicht nutzen, weil Google seine Finger im Spiel hat.

  2. „..wie viele Personen sich zugleich auf einer Veranstaltung befanden.“ Dazu braucht es keine weitere App. Das macht Google schon lange. Getarnt als Auslastung der Läden lol.

  3. Die Systeme unterscheiden sich auch noch in dem Punkt, dass sich auch Veranstaltungen nicht mit ihren Daten anmelden müssen. Die CWA/das CrowdNotifier-Konzept eignet sich somit auch für private Veranstaltungen.

    Warum traut sich eigentlich niemand laut zu sagen, dass Smudo mit uns des Kaisers neue Kleider gespielt hat.

  4. Toller Artikel … ich fühle mich tatsächlich nach dem Lesen schlauer :) – auch das die Risiken überhaupt erwähnt sind. Vielen lieben Dank!

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.